Найти

Расширенные фильтры
Опубликовано после
Опубликовано до

Результаты поиска

Найден один результат.

  • ГОСУДАРСТВЕННОЕ РЕГУЛИРОВАНИЕ ИМЕНОВАНИЯ И ИДЕНТИФИКАЦИИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В ПРОЦЕССАХ УПРАВЛЕНИЯ УЯЗВИМОСТЯМИ

    В.Г. Жуков , С.В. Селигеев
    2025-01-14
    Аннотация

    Управление ИТ активами является базисом для построения эффективного процесса управ-
    ления уязвимостями. Не имея представления о контролируемых ИТ активах, технически невоз-
    можно начать построение процесса управления уязвимостями. При наличии действующего про-
    цесса управления ИТ активами, одной из задач, являющейся важной для управления уязвимостями,
    является однозначное именование программного обеспечения как актива. Такое однозначное име-
    нование позволяет идентифицировать программное обеспечение и его уязвимости без применения
    активного сканирования узлов ИТ инфраструктуры, а только при помощи взаимодействия с сис-
    темой управления ИТ активами. Технически данный подход можно назвать «пассивное обнару-
    жение уязвимостей», однако использование существующих систем именования для его реализации
    является крайне трудоемкой задачей. Для того чтобы сделать пассивное обнаружение реальным,
    в работе авторами предлагается создать общий фундамент путем формирования концептуаль-
    ной схемы и последующего создания системы стандартизированного именования и идентифика-
    ции программного обеспечения, регулирование которой будет происходить централизованно на
    государственном уровне. В рамках рассмотрения существующих систем именования программно-
    го обеспечения, внимание уделяется проблемам CPE как со стороны специалистов на местах, а
    именно получение CPE-идентификаторов и трансляция информации о программном обеспечении в
    CPE-идентификатор, так и со стороны агрегатора данных об уязвимостях, а именно получение
    сведений об уязвимостях через CPE-идентификатор. Обнаруженные в ходе исследования пробле-
    мы применения CPE, а также проблемы взаимодействия с агрегаторами данных об уязвимостях
    из недружественных стран формируют предпосылки к формированию национальной системы
    государственного регулирования именования и идентификации программного обеспечения, кото-
    рая устранит проблемы существующих систем именования программного обеспечения. В заклю-
    чении приводятся преимущества национальной системы именования и идентификации программ-
    ного обеспечения в случае ее создания и использования в реальных условиях всеми участниками
    процесса управления уязвимостями.

1 - 1 из 1 результатов