<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">vdgtu</journal-id><journal-title-group><journal-title xml:lang="ru">Вестник Дагестанского государственного технического университета. Технические науки</journal-title><trans-title-group xml:lang="en"><trans-title>Herald of Dagestan State Technical University. Technical Sciences</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">2073-6185</issn><issn pub-type="epub">2542-095X</issn><publisher><publisher-name>Daghestan State Technical University</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.21822/2073-6185-2023-50-2-83-89</article-id><article-id custom-type="elpub" pub-id-type="custom">vdgtu-1290</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И ТЕЛЕКОММУНИКАЦИИ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>INFORMATION TECHNOLOGY AND TELECOMMUNICATIONS</subject></subj-group></article-categories><title-group><article-title>Оценка уровня защищенности (безопасности функционирования) автоматизированных систем на основе их уязвимостей, формализованная при помощи теории систем массового обслуживания</article-title><trans-title-group xml:lang="en"><trans-title>Assessment of the level of security (safety of functioning) of automated systems based on their vulnerabilities, formalized using the theory of queuing systems</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Ефимов</surname><given-names>А. О.</given-names></name><name name-style="western" xml:lang="en"><surname>Efimov</surname><given-names>A. O.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Ефимов Алексей Олегович, адъюнкт очной формы обучения</p><p>394065, г. Воронеж, пр. Патриотов, 53</p></bio><bio xml:lang="en"><p>Aleksey O. Yefimov, Full-time adjunct</p><p>53 Patriotov Str., Voronezh 394065</p></bio><email xlink:type="simple">ea.aleksei@yandex.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Рогозин</surname><given-names>Е. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Rogozin</surname><given-names>E. A.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Рогозин Евгений Алексеевич, доктор технических наук, профессор, профессор кафедры автоматизированных информационных систем органов внутренних дел</p><p>394065, г. Воронеж, пр. Патриотов, 53</p></bio><bio xml:lang="en"><p>Evgeny A. Rogozin, Dr. Sci. (Eng.), Prof., Prof., Department of Automated Information Systems of Internal Affairs Bodies</p><p>53 Patriotov Str., Voronezh 394065</p></bio><email xlink:type="simple">evgenirogozin@yandex.ru</email><xref ref-type="aff" rid="aff-1"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Воронежский институт МВД России</institution><country>Россия</country></aff><aff xml:lang="en"><institution>Voronezh Institute of the Ministry of Internal Affairs of Russia</institution><country>Russian Federation</country></aff></aff-alternatives><pub-date pub-type="collection"><year>2023</year></pub-date><pub-date pub-type="epub"><day>31</day><month>07</month><year>2023</year></pub-date><volume>50</volume><issue>2</issue><fpage>83</fpage><lpage>89</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Ефимов А.О., Рогозин Е.А., 2023</copyright-statement><copyright-year>2023</copyright-year><copyright-holder xml:lang="ru">Ефимов А.О., Рогозин Е.А.</copyright-holder><copyright-holder xml:lang="en">Efimov A.O., Rogozin E.A.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://vestnik.dgtu.ru/jour/article/view/1290">https://vestnik.dgtu.ru/jour/article/view/1290</self-uri><abstract><p>Цель. Целью работы является разработка методологического аппарата, а также математической модели на основе теории систем массового обслуживания, предназначенных для оценки уровня защищенности автоматизированных систем.Метод. В качестве математического аппарата рассматривается теория систем массового обслуживания. В частности, проблема устранения уязвимостей рассматривалась как многоканальная СМО с неограниченной очередью. В качестве входящего потока заявок рассматривался поток обнаруженных уязвимостей автоматизированной системы. Система за счет возможности обнаружения множества уязвимостей за короткий срок обладает очередью из уязвимостей. В качестве каналов обслуживания рассматриваются специалисты информационной безопасности, ответственные за устранение уязвимостей в данной системе. Несмотря на возможность взаимопомощи между специалистами, в данной работе рассматривается ситуация, когда каждому сотруднику ставится задача по устранению конкретной уязвимости. Выходящим потоком заявок является поток устраненных уязвимостей автоматизированной системы.Результат. Разработан методологический и математический аппарат оценки уровня защищенности автоматизированных систем на основе их уязвимостей и процесса устранения уязвимостей. В качестве основы применялась теория систем массового обслуживания. Дана оценка уровней защищенности в зависимости от вероятности возникновения очереди из не устраненных уязвимостей.Вывод. Разработанная методика может применяться в целях оценки уровня защищенности автоматизированных систем. А также позволяет производить оценку достаточности ресурсов, затрачиваемых на устранение уязвимостей конкретной автоматизированной системы.</p></abstract><trans-abstract xml:lang="en"><p>Objective. The aim of the work is to develop a methodological apparatus, as well as a mathematical model based on the theory of queuing systems designed to assess the level of security of automated systems.Method. The theory of queuing systems is considered as a mathematical apparatus. In particular, the problem of eliminating vulnerabilities was considered as a multi-channel CFR with an unlimited queue. The flow of detected vulnerabilities of the automated system was considered as an incoming flow of applications. The system, due to the possibility of detecting many vulnerabilities in a short time, has a queue of vulnerabilities. Information security specialists responsible for eliminating vulnerabilities in this system are considered as service channels. Despite the possibility of mutual assistance between specialists, this paper considers a situation where each employee is tasked with eliminating a specific vulnerability. The outgoing flow of applications is the flow of eliminated vulnerabilities of the automated system.Result. A methodological and mathematical apparatus for assessing the level of security of automated systems based on their vulnerabilities and the process of eliminating vulnerabilities has been developed. The theory of queuing systems was used as a basis. The assessment of security levels is given depending on the probability of a queue of unresolved vulnerabilities.Conclusion. The developed methodology can be used to assess the level of security of automated systems. And also allows you to assess the sufficiency of resources spent on eliminating vulnerabilities of a specific automated system.</p></trans-abstract><kwd-group xml:lang="ru"><kwd>автоматизированная система</kwd><kwd>защита информации</kwd><kwd>система массового обслуживания</kwd><kwd>оценка защищенности</kwd><kwd>уязвимость</kwd></kwd-group><kwd-group xml:lang="en"><kwd>automated system</kwd><kwd>information security</kwd><kwd>queuing system</kwd><kwd>security assessment</kwd><kwd>vulnerability</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Щеглов, К. А. Защита от атак на уязвимости приложений. Модели контроля доступа / К. А. Щеглов, А. Ю. Щеглов // Вопросы защиты информации. – 2013. – № 2(101). – С. 36-43. – EDN QAVHRX.</mixed-citation><mixed-citation xml:lang="en">Shcheglov, K. A. Protection against attacks on application vulnerabilities. Access control models / K. A. Shcheglov, A. Yu. Shcheglov. Questions of information protection. 2013; 2(101):36-43. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Плескунов, М. А. Теория массового обслуживания: Учебное пособие для студентов вуза, обучающихся по УГН 01.00.00 «Математика и механика» / М. А. Плескунов; Министерство науки и высшего образования Российской Федерации, Уральский федеральный университет имени первого Президента России Б.Н. Ельцина. – Екатеринбург: Издательство Уральского университета, 2022. – 264 с. – ISBN 978-5-7996-3539-8. – EDN RSQUKA.</mixed-citation><mixed-citation xml:lang="en">Pleskunov, M. A. Theory of queuing: A textbook for university students studying at the USN 01.00.00 “Mathematics and Mechanics” ; Ministry of Science and Higher Education of the Russian Federation, Ural Federal University named after the first President of Russia B.N. Yeltsin. – Yekaterinburg: Ural University Publishing House, 2022; 264. – ISBN 978-5-7996-3539-8.</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Вентцель, Е.С. Исследование операций / Е.С. Вентцель. – Москва: Советское радио, 1972. – 552 с.</mixed-citation><mixed-citation xml:lang="en">Wentzel, E.S. Operations research / E.S. Wentzel. Moscow: Soviet Radio, 1972; 552 .</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Вентцель, Е.С. Исследование операций: Задачи, принципы, методология: учеб. пособие / Е.С. Вентцель. – 5-е изд., стер. – Москва: КноРус, 2010. – 192 с.</mixed-citation><mixed-citation xml:lang="en">Wentzel, E.S. Operations research: Tasks, principles, methodology: textbook. manual / E.S. Wentzel. – 5th ed., erased. Moscow: KnoRus, 2010; 192.</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Саати, Т.Л. Элементы теории массового обслуживания и ее приложение / Т.Л. Саати. – Москва: Советское радио, 1965. – 510 с.</mixed-citation><mixed-citation xml:lang="en">Saati T.L. Elements of queuing theory and its application. Moscow: Sovetskoe radio, 1965; 510.</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Common Vulnerability Scoring System v3.0: Specification Document. FIRST Org. Inc, 2015. -21 p. (https://www.first.org/cvss/specification-document).</mixed-citation><mixed-citation xml:lang="en">Common Vulnerability Scoring System v3.0: Specification Document. FIRST Org. Inc, 2015; 21. (https:// www.first.org/cvss/specification-document).</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств: утв. ФСТЭК России 28 октября 2022 г.: Методический документ ФСТЭК России от 28.02.2022 г.</mixed-citation><mixed-citation xml:lang="en">Methodology for assessing the level of criticality of vulnerabilities of software, hardware and software: approved by the FSTEC of Russia on October 28, 2022: Methodological Document of the FSTEC of Russia dated 02/28/2022.</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">Коноваленко С.А., Королев И.Д. Выявление уязвимостей информационных систем посредством комбинированного метода анализа параметрических данных, определяемых системами мониторинга вычислительных сетей. Альманах современной науки и образования. 2016, № 11(113), c. 60–66. – EDN XEEDXH.</mixed-citation><mixed-citation xml:lang="en">Konovalenko S.A., Korolev I.D. Identification of vulnerabilities of information systems by means of a combined method of analysis of parametric data determined by monitoring systems of computer networks, Al’manah sovremennoj nauki i obrazovaniya. 2016; 11(113): 60–66 (in Russ)</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">Сердечный А.Л., Тарелкин М.А., Ломов А.А., Симонов К.В. Карты источников, содержащих сведения об уязвимостях программного обеспечения. Информация и безопасность. 2019, т. 22, № 3, с. 411–422. – EDN ZOUMGN.</mixed-citation><mixed-citation xml:lang="en">Serdechnyj A.L., Tarelkin M.A., Lomov A.A., Simonov K.V. Maps of sources containing information about software vulnerabilities. Informaciya i bezopasnost’. 2019; 22( 3): 411–422 (in Russ).</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">Федорченк А.В., Чечулин А.А., Котенко И.В. Исследование открытых баз уязвимостей и оценка возможности их применения в системах анализа защищенности компьютерных сетей. Информационно-управляющие системы. 2014, № 5(72), с. 72–79. – EDN SXXXKH.</mixed-citation><mixed-citation xml:lang="en">Fedorchenko A.V., CHechulin A.A., Kotenko I.V. Research of open databases of vulnerabilities and assessment of the possibility of their application in systems of security analysis of computer networks. Informacionnoupravlyayushchie sistemy. 2014; 5(72):72–79 (in Russ).</mixed-citation></citation-alternatives></ref><ref id="cit11"><label>11</label><citation-alternatives><mixed-citation xml:lang="ru">Сердечный А.Л.,. Герасимов И.В,. Макаров О.Ю и др. Технология выявления сведений об уязвимостях сторонних компонентов программного обеспечения с открытым исходным кодом. Информация и безопасность. 2020, т. 23, № 3, с. 347–364. DOI: http://dx.doi.org/10.36622/VSTU.2020.23.3.003. – EDN PYXOUT.</mixed-citation><mixed-citation xml:lang="en">Serdechnyj A.L., Gerasimov I.V., Makarov O.YU. i dr. Technology for identifying information about vulnerabilities of third-party components of open source software. Informaciya i bezopasnost’. 2020; 23 (3):347–364 (in Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit12"><label>12</label><citation-alternatives><mixed-citation xml:lang="ru">Аветисян А.И., Белеванцев А.А., Чукляев И.И. Технологии статического и динамического анализа уязвимостей программного обеспечения. Вопросы кибербезопасности. 2014, № 3(4), с. 20–28. – EDN SSYPXV.</mixed-citation><mixed-citation xml:lang="en">Avetisyan A.I., Belevancev A.A., Chuklyaev I.I. Technologies of static and dynamic analysis of software vulnerabilities. Voprosy kiberbezopasnosti. 2014; 3(4): 20–28 (in Russ).</mixed-citation></citation-alternatives></ref><ref id="cit13"><label>13</label><citation-alternatives><mixed-citation xml:lang="ru">Russell R. et al. Automated Vulnerability Detection in Source Code Using Deep Representation Learning. 17th IEEE International Conference on Machine Learning and Applications (ICMLA), Orlando, FL, USA. 2018, p. 757–762. DOI: http://dx.doi.org/10.1109/ICMLA.2018.00120.</mixed-citation><mixed-citation xml:lang="en">Russell R. et al. Automated Vulnerability Detection in Source Code Using Deep Representation Learning. 17th IEEE International Conference on Machine Learning and Applications (ICMLA), Orlando, FL, USA. 2018; 757–762. DOI: http://dx.doi.org/10.1109/ICMLA.2018.00120.</mixed-citation></citation-alternatives></ref><ref id="cit14"><label>14</label><citation-alternatives><mixed-citation xml:lang="ru">Wang T., Wei T., Gu G. and Zou W. TaintScope: A Checksum-Aware Directed Fuzzing Tool for Automatic Software Vulnerability Detection. IEEE Symposium on Security and Privacy, Oakland, CA, USA. 2010, p. 497–512. DOI: http://dx.doi.org/10.1109/SP.2010.37.</mixed-citation><mixed-citation xml:lang="en">Wang T., Wei T., Gu G. and Zou W. TaintScope: A Checksum-Aware Directed Fuzzing Tool for Automatic Software Vulnerability Detection. IEEE Symposium on Security and Privacy, Oakland, CA, USA. 2010;. 497–512. DOI: http://dx.doi.org/10.1109/SP.2010.37.</mixed-citation></citation-alternatives></ref><ref id="cit15"><label>15</label><citation-alternatives><mixed-citation xml:lang="ru">Lin G., Wen S., Han Q. -L., Zhang J. and Xiang Y. Software Vulnerability Detection Using Deep Neural Networks: A Survey in Proceedings of the IEEE. Oct. 2020, vol. 108, no. 10, p. 1825–1848. DOI: http://dx.doi.org/10.1109/JPROC.2020.2993293.</mixed-citation><mixed-citation xml:lang="en">Lin G., Wen S., Han Q. -L., Zhang J. and Xiang Y. Software Vulnerability Detection Using Deep Neural Networks: A Survey in Proceedings of the IEEE. Oct. 2020;108(10):1825–1848. DOI: http://dx.doi.org/10.1109/JPROC.2020.2993293.</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
