ГОСУДАРСТВЕННОЕ РЕГУЛИРОВАНИЕ ИМЕНОВАНИЯ И ИДЕНТИФИКАЦИИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В ПРОЦЕССАХ УПРАВЛЕНИЯ УЯЗВИМОСТЯМИ
Аннотация
Управление ИТ активами является базисом для построения эффективного процесса управ- ления уязвимостями. Не имея представления о контролируемых ИТ активах, технически невоз- можно начать построение процесса управления уязвимостями. При наличии действующего про- цесса управления ИТ активами, одной из задач, являющейся важной для управления уязвимостями, является однозначное именование программного обеспечения как актива. Такое однозначное име- нование позволяет идентифицировать программное обеспечение и его уязвимости без применения активного сканирования узлов ИТ инфраструктуры, а только при помощи взаимодействия с сис- темой управления ИТ активами. Технически данный подход можно назвать «пассивное обнару- жение уязвимостей», однако использование существующих систем именования для его реализации является крайне трудоемкой задачей. Для того чтобы сделать пассивное обнаружение реальным, в работе авторами предлагается создать общий фундамент путем формирования концептуаль- ной схемы и последующего создания системы стандартизированного именования и идентифика- ции программного обеспечения, регулирование которой будет происходить централизованно на государственном уровне. В рамках рассмотрения существующих систем именования программно- го обеспечения, внимание уделяется проблемам CPE как со стороны специалистов на местах, а именно получение CPE-идентификаторов и трансляция информации о программном обеспечении в CPE-идентификатор, так и со стороны агрегатора данных об уязвимостях, а именно получение сведений об уязвимостях через CPE-идентификатор. Обнаруженные в ходе исследования пробле- мы применения CPE, а также проблемы взаимодействия с агрегаторами данных об уязвимостях из недружественных стран формируют предпосылки к формированию национальной системы государственного регулирования именования и идентификации программного обеспечения, кото- рая устранит проблемы существующих систем именования программного обеспечения. В заклю- чении приводятся преимущества национальной системы именования и идентификации программ- ного обеспечения в случае ее создания и использования в реальных условиях всеми участниками процесса управления уязвимостями.
