<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">vdgtu</journal-id><journal-title-group><journal-title xml:lang="ru">Вестник Дагестанского государственного технического университета. Технические науки</journal-title><trans-title-group xml:lang="en"><trans-title>Herald of Dagestan State Technical University. Technical Sciences</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">2073-6185</issn><issn pub-type="epub">2542-095X</issn><publisher><publisher-name>Daghestan State Technical University</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.21822/2073-6185-2023-50-3-57-65</article-id><article-id custom-type="elpub" pub-id-type="custom">vdgtu-1341</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И ТЕЛЕКОММУНИКАЦИИ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>INFORMATION TECHNOLOGY AND TELECOMMUNICATIONS</subject></subj-group></article-categories><title-group><article-title>Рекомендации по применению методики оценки защищённости автоматизированной системы управления критической информационной инфраструктуры от DDoS-атак на основе имитационного моделирования методом Монте-Карло</article-title><trans-title-group xml:lang="en"><trans-title>Recommendations for using a methodology for assessing the security of an automated control system for critical information infrastructure from DDoS attacks based on Monte Carlo simulation</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Воеводин</surname><given-names>В. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Voevodin</surname><given-names>V. A.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Воеводин Владислав Александрович, кандидат технических наук, доцент, доцент кафедры «Информационная безопасность»,</p><p>124498, г. Москва, г. Зеленоград, пл. Шокина, 1</p></bio><bio xml:lang="en"><p>Vladislav A. Voevodin, Cand. Sci.(Eng.), Assoc. Prof., Department of Information Security</p><p>1 Shokin Square, Moscow, Zelenograd 124498</p></bio><email xlink:type="simple">vva541@mail.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Черняев</surname><given-names>В. С.</given-names></name><name name-style="western" xml:lang="en"><surname>Chernyaev</surname><given-names>V. S.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Черняев Валентин Сергеевич, магистрант, </p><p>124498, г. Москва, г. Зеленоград, пл. Шокина, 1</p></bio><bio xml:lang="en"><p>Valentin S. Chernyaev, Master’s student,</p><p>1 Shokin Square, Moscow, Zelenograd 124498</p></bio><email xlink:type="simple">sergeich1997@yandex.ru</email><xref ref-type="aff" rid="aff-2"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Виноградов</surname><given-names>И. В.</given-names></name><name name-style="western" xml:lang="en"><surname>Vinogradov</surname><given-names>I. V.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Виноградов Иван Вадимович, студент, </p><p>124498, г. Москва, г. Зеленоград, пл. Шокина, 1</p></bio><bio xml:lang="en"><p>Ivan V. Vinogradov, Student,</p><p>1 Shokin Square, Moscow, Zelenograd 124498</p></bio><email xlink:type="simple">ivanvinogradov1111@gmail.com</email><xref ref-type="aff" rid="aff-1"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Национальный исследовательский университет «Московский институт электронной техники»</institution><country>Россия</country></aff><aff xml:lang="en"><institution>National Research University of Electronic Technology</institution><country>Russian Federation</country></aff></aff-alternatives><aff xml:lang="ru" id="aff-2"><institution>Национальный исследовательский университет «Московский институт электронной техники»</institution><country>Russian Federation</country></aff><pub-date pub-type="collection"><year>2023</year></pub-date><pub-date pub-type="epub"><day>27</day><month>10</month><year>2023</year></pub-date><volume>50</volume><issue>3</issue><fpage>57</fpage><lpage>65</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Воеводин В.А., Черняев В.С., Виноградов И.В., 2023</copyright-statement><copyright-year>2023</copyright-year><copyright-holder xml:lang="ru">Воеводин В.А., Черняев В.С., Виноградов И.В.</copyright-holder><copyright-holder xml:lang="en">Voevodin V.A., Chernyaev V.S., Vinogradov I.V.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://vestnik.dgtu.ru/jour/article/view/1341">https://vestnik.dgtu.ru/jour/article/view/1341</self-uri><abstract><sec><title>Цель</title><p>Цель. Целью исследования является разработка методики оценки защищённости автоматизированной системы управления критической информационной инфраструктуры от DDoS-атак. Данная методика позволяет лицу, принимающему решение (ЛПР), получить оценку риска подверженности вычислительной сети (ВС) DDoS-атакам и принять необходимые меры для снижения уровня риска реализации угрозы воздействия DDoS-атак.</p></sec><sec><title>Метод</title><p>Метод. Для достижения заявленной цели исследования использовалось имитационное моделирование на основе метода Монте-Карло, реализованное в рамках специализированного программного средства, а также метод расчёта интегрального риска.</p></sec><sec><title>Результат</title><p>Результат. Была предложена методика оценки защищённости автоматизированной системы управления критической информационной инфраструктуры от DDoS-атак с учётом значимости отдельных узлов её ВС.</p></sec><sec><title>Вывод</title><p>Вывод. Разработанная методика полезна при проведении аудита информационной безопасности (АИБ) для оценки интегрального риска реализации угрозы воздействия DDoS-атаки на ВС. Методика призвана помочь организации в достижении глобальных целей информационной безопасности (ИБ), а также для обоснования размера выплачиваемой страховой премии при страховании киберрисков.</p></sec></abstract><trans-abstract xml:lang="en"><sec><title>Objective</title><p>Objective. The objective of the research is to develop a methodology for the security of an automated control system of critical information infrastructure from DDoS attacks. The methodology allows the decision-maker to obtain an assessment of the risk of exposure of the computer network (CN) to DDoS attacks and take necessary actions to reduce the risk of this threat.</p></sec><sec><title>Method</title><p>Method. To achieve the stated objective of the research, simulation modeling based on the Monte Carlo method was used, implemented within the framework of a specialized software environment, as well as a method for calculating integral risk.</p></sec><sec><title>Result</title><p>Result. A methodology was proposed for assessing the security of an automated control system for critical information infrastructure from DDoS attacks, taking into account the importance of individual nodes of its CN.</p></sec><sec><title>Conclusion</title><p>Conclusion. Thus, the developed methodology is useful when conducting an information security audit to assess the integral risk of impact implementation of a DDoS attack on a CN and is designed to help an organization achieve global information security goals, as well as to justify the amount of the insurance premium paid when insuring cyber risks.</p></sec></trans-abstract><kwd-group xml:lang="ru"><kwd>имитационное моделирование</kwd><kwd>метод Монте-Карло</kwd><kwd>DDoS-атака</kwd><kwd>аудит информационной безопасности</kwd><kwd>оценка риска информационной безопасности</kwd></kwd-group><kwd-group xml:lang="en"><kwd>simulation modeling</kwd><kwd>Monte Carlo method</kwd><kwd>DDoS attack</kwd><kwd>information security audit</kwd><kwd>information security risk assessment</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">DDoS-атаки на банки в России. [Электронный ресурс]: https://www.tadviser.ru/index.php/Статья:DDoSатаки_на_банки_в_России</mixed-citation><mixed-citation xml:lang="en">DDoS attacks on banks in Russia. Available at: https://www.tadviser.ru/index.php/Статья:DDoS-атаки_на_банки_в_России (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р ИСО/МЭК 27001— 2021 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2021 г. № 1653-ст. Москва Российский институт стандартизации 2021, - 24 с.</mixed-citation><mixed-citation xml:lang="en">GOST R ISO/IEC 27001—2021 Information technology. Methods and means of ensuring safety. Information security management systems. Requirements. Approved and put into effect by Order of the Federal Agency for Technical Regulation and Metrology dated November 30, 2021 No. 1653-st. Moscow Russian Institute of Standardization 2021; 24. (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Implementing capacity management according to ISO 27001:2013 control A.12.1.3 [Электронный ресурс]: https://advisera.com/27001academy/blog/2016/02/22/implementing-capacity-management-according-toiso-270012013-control-a-12-1-3/</mixed-citation><mixed-citation xml:lang="en">Implementing capacity management according to ISO 27001:2013 control A.12.1.3 [Electronic resource]: https://advisera.com/27001academy/blog/2016/02/22/implementing-capacity-management-according-to- iso-270012013-control-a-12-1-3/(In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Стандарт Банка России СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности». Введен в действие распоряжением ЦБР от 28 апреля 2007 г. N Р-345.</mixed-citation><mixed-citation xml:lang="en">Standard of the Bank of Russia STO BR IBBS-1.1-2007 “Ensuring information security of organizations of the banking system of the Russian Federation. Information security audit.” Put into effect by order of the Central Bank of Russia dated April 28, 2007;345. (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р ИСО 19011–2021 Руководящие указания по проведению аудита систем менеджмента. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 21 апреля 2021 г. N261-ст. М.: Стандартинформ, 2021. – 42 с.</mixed-citation><mixed-citation xml:lang="en">GOST R ISO 19011–2021 Guidelines for conducting audits of management systems. Approved and put into effect by Order of the Federal Agency for Technical Regulation and Metrology dated April 21, 2021 N261-Art. M.: Standartinform, 2021; 42. (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Информационная безопасность автоматизированных систем / А.В. Солодянников - СПб. Изд-во СПбГЭУ, 2020 - 108 с.</mixed-citation><mixed-citation xml:lang="en">Information security of automated systems / A.V. Solodyannikov - St. Petersburg. : Publishing house of St. Petersburg State Economic University, 2020;108. (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">Макаренко С. И. Аудит информационной безопасности: основные этапы, концептуальные основы, классификация мероприятий // Системы управления, связи и безопасности. 2018. № 1. С. 1–29. Электронный ресурс: http://sccs.intelgr.com/archive/2018-01/01-Makarenko.pdf</mixed-citation><mixed-citation xml:lang="en">Makarenko S.I. Information security audit: main stages, conceptual foundations, classification of activities. Management, communication and security systems. 2018;1:1–29. Electronic resource: http://sccs.intelgr.com/archive/2018-01/01-Makarenko.pdf(In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. N 632-ст. М.: Стандартинформ, 2012, - 91 с.</mixed-citation><mixed-citation xml:lang="en">GOST R ISO/IEC 27005-2010 Information technology. Methods and means of ensuring safety. Information security risk management. Approved and put into effect by Order of the Federal Agency for Technical Regulation and Metrology dated November 30, 2010 N 632-st. M.: Standartinform, 2012; 91.</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">Вычислительные системы, сети и телекоммуникации: учебник. В 2 ч. Ч. 2. Сети и телекоммуникации / В. П. Галас ; Владим. гос. ун-т им. А. Г. и Н. Г. Столетовых. – Владимир: Изд-во ВлГУ, 2017. − 284 с.</mixed-citation><mixed-citation xml:lang="en">Computing systems, networks and telecommunications: textbook. In 2 hours. Part 2. Networks and telecommunications. V. P. Galas; Vladim. state University named after A. G. and N. G. Stoletov. Vladimir: VlSU Publishing House, 2017; 284. (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">Вычислительные системы, сети и телекоммуникации: учебник для студ. учреждений высш. проф. образования / А. И. Гусева, В.С. Киреев – М.: Издательский центр «Академия», 2014 – М. Издательский центр «Академия», 2014. – 288с. – (Сер. Бакалавриат).</mixed-citation><mixed-citation xml:lang="en">Computing systems, networks and telecommunications: a textbook for students. institutions of higher education prof. education. A.I. Guseva, V.S. Kireev. M.: Publishing center “Academy”, 2014 - M.: Publishing center “Academy”, 2014; 288 (Ser. Bachelor’s degree). (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit11"><label>11</label><citation-alternatives><mixed-citation xml:lang="ru">Губарева О. Ю. Разработка методики оценки рисков информационной безопасности корпоративных телекоммуникационных сетей специальность 05.12.13 «Сети, системы и устройства телекоммуникаций» автореферат диссертации на соискание учёной степени кандидата технических наук. Федеральное государственное бюджетное образовательное учреждение высшего образования «Поволжский государственный университет телекоммуникаций и информатики» – Самара, 2018. – 176 с.</mixed-citation><mixed-citation xml:lang="en">Gubareva O. Yu. Development of a methodology for assessing the risks of information security of corporate telecommunication networks, specialty 05.12.13 “Networks, systems and devices of telecommunications”: abstract of the dissertation for the degree of candidate of technical sciences. Federal State Budgetary Educational Institution of Higher Education “Volga Region State University of Telecommunications and Informatics”. Samara, 2018; 176. (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit12"><label>12</label><citation-alternatives><mixed-citation xml:lang="ru">Воеводин В.А., Буренок Д.С., Черняев В.С. 2021, Программа для оценки защищенности сервера от DDoS-атак свидетельство официальной регистрации компьютерной программы номер 2021615403.</mixed-citation><mixed-citation xml:lang="en">Voevodin V.A., Burenok D.S., Chernyaev V.S. 2021, Program for assessing server security against DDoS attacks, certificate of official registration of the computer program number 2021615403. (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit13"><label>13</label><citation-alternatives><mixed-citation xml:lang="ru">Воеводин В.А., Черняев В.С., Буренок Д.С., Виноградов И.В. Методика оценки защищённости автоматизированной системы управления критической информационной инфраструктуры от DDoSатак на основе имитационного моделирования методом Монте-Карло. Вестник Дагестанского государственного технического университета. Технические науки. 2023;50(1):62-74.</mixed-citation><mixed-citation xml:lang="en">Voevodin V.A., Chernyaev V.S., Burenok D.S., Vinogradov I.V. Methodology for assessing the security of an automated control system for critical information infrastructure from DDoS attacks based on Monte Carlo simulation. Herald of Daghestan State Technical University. Technical Science. 2023; 50(1):62-74. DOI: 10.21822/2073-6185-2023-50-1-62-74 (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit14"><label>14</label><citation-alternatives><mixed-citation xml:lang="ru">Воеводин В. А., Маркин П. В., Маркина М. С., Буренок Д. С. Методика разработки программы аудита информационной безопасности с учетом весовых коэффициентов значимости свидетельств аудита на основе метода анализа иерархий // Системы управления, связи и безопасности. 2021. № 2. С. 96–129. DOI: 10.24412/2410-9916-2021-2-96-129.</mixed-citation><mixed-citation xml:lang="en">Voevodin V. A., Markin P. V., Markina M. S., Burenok D. S. Methodology for developing an information security audit program taking into account the weighting coefficients of the significance of audit evidence based on the hierarchy analysis method. Management Systems, Communications and security. 2021; 2. 96–129. DOI: 10.24412/2410-9916-2021-2- 96-129. (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit15"><label>15</label><citation-alternatives><mixed-citation xml:lang="ru">Воеводин В. А., Карманьян А. И., Суханов Е. Э., Штанг К. С. О методике оценки значимости аудиторских свидетельств информационной безопасности // Интеллектуальные системы в информационном противоборстве: сборник научных трудов Российской научной конференции. 2019. С. 40-44.</mixed-citation><mixed-citation xml:lang="en">Voevodin V. A., Karmanyan A. I., Sukhanov E. E., Shtang K. S. On the methodology for assessing the significance of audit certificates of information security. Intelligent systems in information warfare: collection of scientific papers of the Russian scientific conference. 2019; 40-44. (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit16"><label>16</label><citation-alternatives><mixed-citation xml:lang="ru">Кибербезопасность АСУ ТП: вести с передовой / [Электронный ресурс]. Режим доступа: https://www.kaspersky.ru/blog/ics-report-2017/17812/</mixed-citation><mixed-citation xml:lang="en">Cybersecurity of automated process control systems: news from the front lines / [Electronic resource]. Access mode: https://www.kaspersky.ru/blog/ics-report-2017/17812/(In Russ).</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
