<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">vdgtu</journal-id><journal-title-group><journal-title xml:lang="ru">Вестник Дагестанского государственного технического университета. Технические науки</journal-title><trans-title-group xml:lang="en"><trans-title>Herald of Dagestan State Technical University. Technical Sciences</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">2073-6185</issn><issn pub-type="epub">2542-095X</issn><publisher><publisher-name>Daghestan State Technical University</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.21822/2073-6185-2022-49-3-91-103</article-id><article-id custom-type="elpub" pub-id-type="custom">vdgtu-1126</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И ТЕЛЕКОММУНИКАЦИИ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>INFORMATION TECHNOLOGY AND TELECOMMUNICATIONS</subject></subj-group></article-categories><title-group><article-title>Методический подход к количественной оценке рисков реализации угроз несанкционированного доступа к информационному ресурсу автоматизированных систем органов внутренних дел</article-title><trans-title-group xml:lang="en"><trans-title>Methodical approach to quantitative assessment of the risks of the implementation of threats unauthorized access to an information resource automated systems of internal affairs bodies</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Мещерякова</surname><given-names>Т. В.</given-names></name><name name-style="western" xml:lang="en"><surname>Meshcheryakova</surname><given-names>T. V.</given-names></name></name-alternatives><bio xml:lang="ru"><p> доктор технических наук, начальник кафедры автоматизированных информационных систем органов  внутренних дел</p><p> 394065, г. Воронеж, пр. Патриотов, 53, Россия </p></bio><bio xml:lang="en"><p> Dr. Sci. (Eng.), Head of the Department of Automated Information Systems of Internal Affairs Bodies </p><p> 53 Patriotov Str., Voronezh 394065, Russia </p></bio><email xlink:type="simple">tmeshcheriakova4@mvd.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Рогозин</surname><given-names>Е. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Rogozin</surname><given-names>E. A.</given-names></name></name-alternatives><bio xml:lang="ru"><p> доктор технических наук, профессор, профессор кафедры автоматизированных информационных систем органов внутренних дел</p><p> 394065, г. Воронеж, пр. Патриотов, 53, Россия </p></bio><bio xml:lang="en"><p> Dr. Sci. (Eng.), Prof., Prof., Department of Automated Information Systems of Internal Affairs Bodies </p><p> 53 Patriotov Str., Voronezh 394065, Russia </p></bio><email xlink:type="simple">evgenirogozin@yandex.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Ефимов</surname><given-names>А. О.</given-names></name><name name-style="western" xml:lang="en"><surname>Efimov</surname><given-names>A. O.</given-names></name></name-alternatives><bio xml:lang="ru"><p> адъюнкт</p><p> 394065, г. Воронеж, пр. Патриотов, 53, Россия </p></bio><bio xml:lang="en"><p> adjunct </p><p> 53 Patriotov Str., Voronezh 394065, Russia </p></bio><email xlink:type="simple">APMO6@yandex.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Романова</surname><given-names>В. Р.</given-names></name><name name-style="western" xml:lang="en"><surname>Romanova</surname><given-names>V. R.</given-names></name></name-alternatives><bio xml:lang="ru"><p> адъюнкт</p><p> 394065, г. Воронеж, пр. Патриотов, 53, Россия </p></bio><bio xml:lang="en"><p> adjunct </p><p> 53 Patriotov Str., Voronezh 394065, Russia </p></bio><email xlink:type="simple">romanovna_vika@inbox.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Коноваленко</surname><given-names>С. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Konovalenko</surname><given-names>S. A.</given-names></name></name-alternatives><bio xml:lang="ru"><p> кандидат технических наук, старший преподаватель кафедры защиты информации специальными методами и средствами</p><p> 350063, г. Краснодар, ул. Красина, 4, Россия </p></bio><bio xml:lang="en"><p> Cand.Sci. (Eng.), Senior Lecturer of the Department of Information Security by Special Methods and Means </p><p>4 Krasina Str., Krasnodar 2350063, Russia</p></bio><email xlink:type="simple">konovalenko_rcf@mail.ru</email><xref ref-type="aff" rid="aff-2"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Воронежский институт МВД России</institution><country>Россия</country></aff><aff xml:lang="en"><institution>Voronezh Institute of the Ministry of Internal Affairs of Russia</institution><country>Russian Federation</country></aff></aff-alternatives><aff-alternatives id="aff-2"><aff xml:lang="ru"><institution>Краснодарское высшее военное училище имени генерала армии С.М. Штеменко</institution><country>Россия</country></aff><aff xml:lang="en"><institution>General of the Army S.M. Shtemenko Krasnodar Higher Military School</institution><country>Russian Federation</country></aff></aff-alternatives><pub-date pub-type="collection"><year>2022</year></pub-date><pub-date pub-type="epub"><day>08</day><month>11</month><year>2022</year></pub-date><volume>49</volume><issue>3</issue><fpage>91</fpage><lpage>103</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Мещерякова Т.В., Рогозин Е.А., Ефимов А.О., Романова В.Р., Коноваленко С.А., 2022</copyright-statement><copyright-year>2022</copyright-year><copyright-holder xml:lang="ru">Мещерякова Т.В., Рогозин Е.А., Ефимов А.О., Романова В.Р., Коноваленко С.А.</copyright-holder><copyright-holder xml:lang="en">Meshcheryakova T.V., Rogozin E.A., Efimov A.O., Romanova V.R., Konovalenko S.A.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://vestnik.dgtu.ru/jour/article/view/1126">https://vestnik.dgtu.ru/jour/article/view/1126</self-uri><abstract><sec><title>Цель</title><p>Цель. Характерной особенностью современного этапа развития сферы информатизации органов внутренних дел (ОВД) является значительный рост объема и многообразия видов служебной информации ограниченного распространения, хранящейся, обрабатываемой и передаваемой в автоматизированных системах (АС). Это порождает возникновение большого количества и расширение номенклатуры угроз безопасности информации, в первую очередь – угроз, связанных с несанкционированным доступом (НСД) к информационному ресурсу АС ОВД, и вызывает необходимость совершенствования имеющихся способов борьбы с данным видом преступлений для обеспечения информационной безопасности объектов информатизации ОВД. Для получения информации, позволяющей оценивать степень угроз, необходимо провести количественную оценку рисков.</p></sec><sec><title>Метод</title><p>Метод. Метод оценки рисков реализации угроз несанкционированного доступа к информационному ресурсу АС ОВД и получения данных в количественном представлении основывается на использовании методов математического моделирования. Преимущество количественной оценки по сравнению с качественной оценкой заключается в возможности сопоставления рисков с конечным результатом, который можно представить в денежном эквиваленте, и дальнейшего использования при оценивании вероятности реализации информационных угроз и расчете нанесенного ущерба.</p></sec><sec><title>Результат</title><p>Результат. Предложен методический подход к количественной оценке рисков реализации угроз НСД к информационному ресурсу АС ОВД, позволяющий оценивать уровень защищенности служебной информации.</p></sec><sec><title>Вывод</title><p>Вывод. Предложенный методический подход к количественной оценке рисков реализации угроз НСД к информационному ресурсу АС ОВД дает наглядное представление в денежном эквиваленте по объектам оценки (ущербу, затратам). Данные расчеты можно использовать при обосновании требований к уровню защищенности АС ОВД при их разработке и эксплуатации.</p></sec></abstract><trans-abstract xml:lang="en"><sec><title>Objective</title><p>Objective. A characteristic feature of the current stage of development of the sphere of informatization of internal affairs bodies (OVD) is a significant increase in the volume and variety of types of service information of limited distribution, stored, processed and transmitted in automated systems (AS). This gives rise to the emergence of a large number and expansion of the range of threats to information security, primarily threats associated with unauthorized access (UAS) to the information resource of the ATS AS, and necessitates the improvement of existing methods to combat this type of crime in order to ensure the information security of objects of informatization of ATS. To obtain information that allows assessing the degree of threats, it is necessary to conduct a quantitative risk assessment.</p></sec><sec><title>Method</title><p>Method. The method for assessing the risks of implementing threats of unauthorized access to the information resource of the ATS AS and obtaining data in a quantitative representation is based on the use of mathematical modeling methods. The advantage of a quantitative assessment compared to a qualitative assessment is the ability to compare risks with the final result, which can be represented in monetary terms, and further use in assessing the likelihood of information threats and calculating the damage caused.</p></sec><sec><title>Result</title><p>Result. A methodical approach to the quantitative assessment of the risks of the implementation of UA threats to the information resource of the ATS AS is proposed, which makes it possible to assess the level of security of service information.</p></sec><sec><title>Conclusion</title><p>Conclusion. The proposed methodological approach to quantitative assessment of the risks of the implementation of UA threats to the information resource of the ATS AS provides a visual representation in monetary terms of the objects of assessment (damage, costs). These calculations can be used to justify the requirements for the level of security of ATS ASs during their development and operation.</p></sec></trans-abstract><kwd-group xml:lang="ru"><kwd>автоматизированная система</kwd><kwd>риск</kwd><kwd>несанкционированный доступ</kwd><kwd>угроза</kwd><kwd>защита информации</kwd></kwd-group><kwd-group xml:lang="en"><kwd>automated system</kwd><kwd>risk</kwd><kwd>unauthorized access</kwd><kwd>threat</kwd><kwd>information security</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">ФСТЭК РФ. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения.</mixed-citation><mixed-citation xml:lang="en">FSTEC of the Russian Federation. Guidance document. Protection against unauthorized access to information. Terms and definitions. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р 50922–2006. Защита информации. Основные термины и определения // М.: Федеральное агентство по техническому регулированию и метрологии. 2006. 12 c.</mixed-citation><mixed-citation xml:lang="en">GOST R 50922-2006. Information protection. Basic terms and definition. Moscow: Federal Agency for Technical Regulation and Metrology. 2006.12 K. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р 56546–2015. Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем. 2016. 8с.</mixed-citation><mixed-citation xml:lang="en">GOST R 56546-2015. Information protection. Communications of information systems. Classification of information systems. 2016; 8. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">ФСТЭК РФ. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.</mixed-citation><mixed-citation xml:lang="en">FSTEC of the Russian Federation. Guidance document. Automated systems. Protection against unauthorized access to information. Classification of automated systems and information security requirements. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р 15408–2013. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий // М.: Стандартинформ. 2014. 152 c.</mixed-citation><mixed-citation xml:lang="en">GOST R 15408-2013. Methods and means of ensuring security. Criteria for assessing the security of information technologies Moscow: Standartinform. 2014;152. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р 53114–2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. 2008. 22с.</mixed-citation><mixed-citation xml:lang="en">GOST R 53114-2008. Information protection. Ensuring information security in the organization. Basic terms and definitions. 2008; 22. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">Руководящий документ. Безопасность информационных технологий. Концепция оценки соответствия автоматизированных систем требованиям безопасности информации: утв. ФСТЭК России 2004 г.</mixed-citation><mixed-citation xml:lang="en">Guidance document. Information technology security. The concept of assessing the compliance of automated systems with information security requirements: approved by FSTEC of Russia 2004. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">Руководящий документ Гостехкомиссии. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий: утв. Приказом Гостехкомиссии от 19.06.2002 №187.</mixed-citation><mixed-citation xml:lang="en">The guiding document of the State Technical Commission. Information technology security. Criteria for assessing the security of information technologies: approved. By Order of the State Technical Commission No. 187 dated 06/19/2002. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">Методика определения угроз безопасности информации в информационных системах: утв. ФСТЭК России 2015 г.</mixed-citation><mixed-citation xml:lang="en">Methodology for determining the risk of information security in information systems: approved by FSTEC of Russia 2015 (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">Коцыняк М.А., Кулешов И.А., Кудрявцев А.М., Лаута О.С. Киберустойчивость ИТКС. СПб, 2015 г.</mixed-citation><mixed-citation xml:lang="en">Kotsynyak M. A., Kuleshov I. A., Kudryavtsev A.M., Lauta O. S. Cyberstability of ITCS. St. Petersburg, 2015(In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit11"><label>11</label><citation-alternatives><mixed-citation xml:lang="ru">Требования о защите информации, содержащейся в информационных системах общего пользования: утв. Приказом ФСТЭК России от 31 августа 2010 г. №489</mixed-citation><mixed-citation xml:lang="en">Requirements for the protection of information contained in public information systems: approved by Order No. 489 of the FSTEC of Russia dated August 31, 2010. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit12"><label>12</label><citation-alternatives><mixed-citation xml:lang="ru">Бешелев С.Д., Гурвич Ф.Г. Математико-статистические методы экспертных оценок. – М.: Статистика,1980. – 263 с.</mixed-citation><mixed-citation xml:lang="en">Beshelev S. D., Gurvich F. G. Mathematical and statistical methods of expert assessments. M.: Statistics, 1980; 263. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit13"><label>13</label><citation-alternatives><mixed-citation xml:lang="ru">Мочалов Д.А., Вольф В.А., Романова В.Р., Рогозин Е.А., Калач А.В. Анализ существующих угроз внешнего нарушителя к информационному ресурсу веб-серверов в автоматизированных системах вооруженных сил российской федерации // Вестник Воронежского института ФСИН России №1–2022. С. 68-75.</mixed-citation><mixed-citation xml:lang="en">Mochalov D. A., Wolf V. A., Romanova V. R., Rogozin E. A., Kalach A.V. Analysis of existing threats of an external intruder to the information resource of web servers in automated systems of the Armed forces of the Russian Federation. Bulletin of the Voronezh Institute of the Federal Penitentiary Service of Russia 2022; 1: 68-75. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit14"><label>14</label><citation-alternatives><mixed-citation xml:lang="ru">Коноваленко С.А., Королев И.Д. Выявление уязвимостей информационных систем посредством комбинированного метода анализа параметрических данных, определяемых системами мониторинга вычислительных сетей // Альманах современной науки и образования №11-2016. С.60-66.</mixed-citation><mixed-citation xml:lang="en">Konovalenko S.A., Korolev I.D. Identification of vulnerabilities of information systems by means of a combined method of analysis of parametric data determined by monitoring systems of computer networks. Almanac of modern science and education 2016; 11:60-66. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit15"><label>15</label><citation-alternatives><mixed-citation xml:lang="ru">Система защиты информации от несанкционированного доступа «Страж NT». Описание применения. URL: http://www.rubinteh.ru/public/opis30.pdf (дата обращения: 23.06.2022).</mixed-citation><mixed-citation xml:lang="en">Information protection system from unauthorized access "Sentinel NT". Description of the application. Stole: http://www.rubinteh.ru/public/opis30.pdf (accessed: 06/23/2022). (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit16"><label>16</label><citation-alternatives><mixed-citation xml:lang="ru">Yang N. Modeling and quantitatively predicting software security based on stochastic Petri nets / N. Yang, H. Yu, Z. Qian, H. Sun // Mathematical and Computer Modelling. — 2012. — Vol. 55. — Issues 1–2. — pp.102–112.</mixed-citation><mixed-citation xml:lang="en">Yang N. Modeling and quantitatively predicting software security based on stochastic Petri Nets / N. Yang, H. yu, Z. kIan, H. Sun. Mathematical and Computer Modeling. 2012; 55: 1-2:102-112.</mixed-citation></citation-alternatives></ref><ref id="cit17"><label>17</label><citation-alternatives><mixed-citation xml:lang="ru">Klaic А. Conceptual Modeling of Information Systems within the Information Security Policies / A. Klaic, M. Golub // Journal of Economics / Business and Management. — 2013. — vol. 1. — Issue 4. — pp. 371–376.</mixed-citation><mixed-citation xml:lang="en">Klaik A. Conceptual Modeling of Information Systems within the Information Security Policies / A. Klaik, M. Golob / Journal of Economics. Business and Management. 2013; l (4): 371-376.</mixed-citation></citation-alternatives></ref><ref id="cit18"><label>18</label><citation-alternatives><mixed-citation xml:lang="ru">Nazareth D. System dynamics model for information security management / D. Nazareth, J. Choi // Information &amp; Management. — 2015. — vol. 52. — Issue 1. — pp. 123–134.</mixed-citation><mixed-citation xml:lang="en">Nazareth D. System dynamics model for Information security management / D. Nazareth, J. Choi. Information &amp; Management. 2015; 52 (1): 123-134.</mixed-citation></citation-alternatives></ref><ref id="cit19"><label>19</label><citation-alternatives><mixed-citation xml:lang="ru">Complex Event Processing Modeling by Prioritized Colored Petri Nets / H. Macià [and others] // IEEE Access. — 2016. — vol 4. — pp. 7425–7439.</mixed-citation><mixed-citation xml:lang="en">Complex Event Processing Modeling would be Prioritized Colored Petri Nets / H. Makià [and others]. IEEE Access. 2016; 4: 7425-7439.</mixed-citation></citation-alternatives></ref><ref id="cit20"><label>20</label><citation-alternatives><mixed-citation xml:lang="ru">Nikishin K. Implementation of time-triggered ethernet using colored Petri NET / K. Nikishin, N. Konnov, D. Pashchenko // International Conference on Industrial Engineering, Applications and Manufacturing (ICIEAM). —2017. — pp. 1–5.</mixed-citation><mixed-citation xml:lang="en">Nikishin K., N. Konnov, D. Pashchenko. Implementation of time-triggered ethernet using colored Petri net. International Conference on Industrial Engineering, Applications and Manufacturing (IKIEAM). 2017; 1-5.</mixed-citation></citation-alternatives></ref><ref id="cit21"><label>21</label><citation-alternatives><mixed-citation xml:lang="ru">Korniyenko B.Y. Design and research of mathematical model for information security system in computer network / B.Y. Korniyenko, L.P. Galata // Science-Based Technologies. — 2017. — vol. 34. — Issue 2. — pp. 114–118.</mixed-citation><mixed-citation xml:lang="en">Kornienko B. Y. Design and research of mathematical model for Information security system in computer network / B. Y. Kornienko, L. P. Galata. Science-Based Technologies. 2017; 34(2): 114-118.</mixed-citation></citation-alternatives></ref><ref id="cit22"><label>22</label><citation-alternatives><mixed-citation xml:lang="ru">White S.C. Comparison of Security Models: Attack Graphs Versus Petri Nets / S.C. White, S.S. Sarvestani // Advances in Computers. — 2014. — vol. 94. — pp. 1–24.</mixed-citation><mixed-citation xml:lang="en">White S. C. Comparison of Security Models: Attack Graphs Versus Petri Nets / S. S. White, S. S. Sarvestany. Advances in Computers. 2014; 94:1-24.</mixed-citation></citation-alternatives></ref><ref id="cit23"><label>23</label><citation-alternatives><mixed-citation xml:lang="ru">Jasiul В. Detection and Modeling of Cyber Attacks with Petri Nets / B. Jasiul, M. Szpyrka, J. Sliwa // Entropy. — 2014. — vol. 16. — Issue 12. — pp. 6602–6623.</mixed-citation><mixed-citation xml:lang="en">Zhasiul V. Detection and Modeling of Cyber Attacks in Petri Nets / B. Zhasiul, M. Szpyrka, J. Sliva . Entropy. 2014; 16; 12: 6602-6623.</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
