<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">vdgtu</journal-id><journal-title-group><journal-title xml:lang="ru">Вестник Дагестанского государственного технического университета. Технические науки</journal-title><trans-title-group xml:lang="en"><trans-title>Herald of Dagestan State Technical University. Technical Sciences</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">2073-6185</issn><issn pub-type="epub">2542-095X</issn><publisher><publisher-name>Daghestan State Technical University</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.21822/2073-6185-2024-51-1-68-78</article-id><article-id custom-type="elpub" pub-id-type="custom">vdgtu-1454</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И ТЕЛЕКОММУНИКАЦИИ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>INFORMATION TECHNOLOGY AND TELECOMMUNICATIONS</subject></subj-group></article-categories><title-group><article-title>Характеристика дефектов безопасности и анализ критичности уязвимостей в программном обеспечении автоматизированных систем органов внутренних дел</article-title><trans-title-group xml:lang="en"><trans-title>Characterization of security defects and analysis of vulnerability criticality in software for automated systems of internal affairs bodies</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Дровникова</surname><given-names>И. Г.</given-names></name><name name-style="western" xml:lang="en"><surname>Drovnikova</surname><given-names>I. G.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Дровникова Ирина Григорьевна, доктор технических наук, доцент, профессор кафедры автоматизированных информационных систем органов внутренних дел</p><p> 394065, г. Воронеж, пр. Патриотов, 53, Россия </p></bio><bio xml:lang="en"><p>Irina G. Drovnikova, Dr. Sci.(Eng.), Assoc. Prof., Prof., Department of Automated Information Systems of Internal Affairs Bodies </p><p>53 Patriotov Ave., Voronezh 394065, Russia </p></bio><email xlink:type="simple">idrovnikova@mail.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Попова</surname><given-names>А. Д.</given-names></name><name name-style="western" xml:lang="en"><surname>Popova</surname><given-names>A. D.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Попова Арина Дмитриевна, адъюнкт кафедры автоматизированных информационных систем органоввнутренних дел</p><p> 394065, г. Воронеж, пр. Патриотов, 53, Россия </p></bio><bio xml:lang="en"><p>Arina D. Popova, Adjunct, Department of Automated Information Systems of Internal Affairs Bodies</p><p>53 Patriotov Ave., Voronezh 394065, Russia </p></bio><email xlink:type="simple">arnpva@mail.ru</email><xref ref-type="aff" rid="aff-1"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Воронежский институт МВД России</institution><country>Россия</country></aff><aff xml:lang="en"><institution>Voronezh Institute of the Ministry of Internal Affairs of Russia</institution><country>Russian Federation</country></aff></aff-alternatives><pub-date pub-type="collection"><year>2024</year></pub-date><pub-date pub-type="epub"><day>16</day><month>04</month><year>2024</year></pub-date><volume>51</volume><issue>1</issue><fpage>68</fpage><lpage>78</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Дровникова И.Г., Попова А.Д., 2024</copyright-statement><copyright-year>2024</copyright-year><copyright-holder xml:lang="ru">Дровникова И.Г., Попова А.Д.</copyright-holder><copyright-holder xml:lang="en">Drovnikova I.G., Popova A.D.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://vestnik.dgtu.ru/jour/article/view/1454">https://vestnik.dgtu.ru/jour/article/view/1454</self-uri><abstract><sec><title>Цель</title><p>Цель. Целью исследования является теоретический анализ дефектов безопасности и исследование критичности уязвимостей в программных средствах, используемых в современных автоматизированных системах органов внутренних дел.</p></sec><sec><title>Метод</title><p>Метод. Использован метод системного подхода к рассмотрению сущности проблемы оценивания защищенности программного обеспечения автоматизированных систем органов внутренних дел и критичности его уязвимостей.</p></sec><sec><title>Результат</title><p>Результат. Представлены результаты анализа теоретических аспектов исследования уязвимостей в программном обеспечении автоматизированных систем. Проанализированы компоненты типичного программного обеспечения, используемого на автоматизированном рабочем месте пользователя современной автоматизированной системы органов внутренних дел, на наличие известных уязвимостей, представленных в Национальной базе уязвимостей США и Банке данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю России, с получением базовых оценок по стандарту Common Vulnerability Scoring System версий 3.0 и 3.1.</p></sec><sec><title>Вывод</title><p>Вывод. Сделаны выводы об уровне критичности выявленных уязвимостей и важности их устранения путем своевременного обновления используемого программного обеспечения на основе выбора его оптимальной по уровню защищенности версии. Намечены основные направления деятельности по проведению количественной оценки уровня защищенности программного обеспечения в автоматизированных системах органов внутренних дел с учетом его уязвимостей в режиме реального времени.</p></sec></abstract><trans-abstract xml:lang="en"><sec><title>Objective</title><p>Objective. The purpose of the study is to theoretically analyze security defects and study the criticality of vulnerabilities in software used in modern automated systems of internal affairs agencies.</p></sec><sec><title>Method</title><p>Method. A systematic approach method was used to consider the essence of the problem of assessing the security of software of automated systems of internal affairs bodies and the criticality of its vulnerabilities.</p></sec><sec><title>Result</title><p>Result. The results of an analysis of theoretical aspects of the study of vulnerabilities in software of automated systems are presented. The components of typical software used in the automated workstation of a user of a modern automated system of internal affairs bodies were analyzed for the presence of known vulnerabilities presented in the US National Vulnerability Database and the Data Bank of Information Security Threats of the Federal Service for Technical and Export Control of Russia, obtaining basic estimates for standard Common Vulnerability Scoring System versions 3.0 and 3.1.</p></sec><sec><title>Conclusion</title><p>Conclusion. Carry out timely updates of the software used based on the selection of its optimal version in terms of security level. The main directions of activity for conducting a quantitative assessment of the level of software security in automated systems of internal affairs bodies are outlined, taking into account its vulnerabilities in real time.</p></sec></trans-abstract><kwd-group xml:lang="ru"><kwd>автоматизированная система</kwd><kwd>программное обеспечение</kwd><kwd>уязвимость</kwd><kwd>уровень опасности уязвимости</kwd><kwd>уровень критичности уязвимости</kwd><kwd>уровень защищенности программного обеспечения</kwd><kwd>количественная оценка уровня защищенности</kwd></kwd-group><kwd-group xml:lang="en"><kwd>automated system</kwd><kwd>software</kwd><kwd>vulnerability</kwd><kwd>vulnerability danger level</kwd><kwd>vulnerability criticality level</kwd><kwd>software security level</kwd><kwd>quantitative assessment of security level</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Ефимов А. О. Меры защиты планшетных компьютеров, осуществляющих обработку конфиденциальной информации, от несанкционированного доступа / А.О. Ефимов, Т. В. Мещерякова, Е. А. Рогозин // Вестник Воронежского института МВД России. – 2023. – № 2. – С. 31–38.</mixed-citation><mixed-citation xml:lang="en">Efimov A. O. Measures to protect tablet computers processing confidential information from unauthorized access /A.O. Efimov, T. V. Meshcheryakova, E. A. Rogozin. Bulletin of the Voronezh Institute Ministry of Internal Affairs of Russia. 2023; 2:31–38.</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Ефимов А. О. Концептуальные основы оценки уровня защищенности автоматизированных систем на основе их уязвимости / А. О. Ефимов, И И. Лившиц, Т. В. Мещерякова, Е. А. Рогозин // Безопасность информационных технологий IT Security. – Том 30. – № 2(2023). – С. 63–79.</mixed-citation><mixed-citation xml:lang="en">Efimov A. O. Conceptual basis for assessing the level of security of automated systems based on their vulnerability / A. O. Efimov, I. Livshits,T. V. Meshcheryakova, E. A. Rogozin. Information technology security = IT Security. 2023; 30(2): 63–79.</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">National Vulnerability Database. Nist [Электронный ресурс]. – Режим доступа: https://nvd.nist.gov/ (дата обращения: 29.01.2024).</mixed-citation><mixed-citation xml:lang="en">National Vulnerability Database. Nist [El. res.]. Access mode: https://nvd.nist.gov/ (date of access: 01/29/2024).</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Банк данных угроз безопасности информации. Уязвимости // ФСТЭК России [Электронный ресурс]. – Режим доступа: https://bdu.fstec.ru/vul (дата обращения: 30.01.2024).</mixed-citation><mixed-citation xml:lang="en">Data bank of information security threats. Vulnerabilities // FSTEC of Russia [Electronic resource]. – Access mode: https://bdu.fstec.ru/vul (date of access: 01/30/2024).</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Common Vulnerability Scoring System (CVSS-SIG) [Электронный ресурс]. – Режим доступа: https://www.first.org/cvss (дата обращения: 12.02.2024).</mixed-citation><mixed-citation xml:lang="en">Common Vulnerability Scoring System (CVSS-SIG) [Electronic resource]. – Access mode: https://www.first.org/cvss (access date: 02/12/2024).</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Common Vulnerability Scoring System version 3.0. Specification Document. Revision 0 [Электронный ресурс]. – Режим доступа: https://cvss-v3-specification_r0.pdf (дата обращения: 12.02.2024).</mixed-citation><mixed-citation xml:lang="en">Common Vulnerability Scoring System version 3.0. Specification Document.Revision 0 [Electronic resource]. – Access mode: https://cvss-v3-specification_r0.pdf (access date: 02/12/2024).</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">Common Vulnerability Scoring System version 3.1. Specification Document. Revision 1 [Электронный ресурс]. – Режим доступа: https://cvss-v31-specification_r1.pdf (дата обращения: 12.02.2024).</mixed-citation><mixed-citation xml:lang="en">Common Vulnerability Scoring System version 3.1. Specification Document.Revision 1 [Electronic resource]. – Access mode: https://cvss-v31-specification_r1.pdf (access date: 02.12.2024).</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р 56939-2016. Защита информации. Разработка безопасного программного обеспечения. Общие требования. – Москва: Стандартинформ, 2016. – 24 с.</mixed-citation><mixed-citation xml:lang="en">GOST R 56939-2016. Data protection. Secure software development. General requirements. – Moscow: Standardinform, 2016; 24.</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. – Москва: Стандартинформ, 2008. – 15 с.</mixed-citation><mixed-citation xml:lang="en">GOST R 50922-2006. Data protection. Basic terms and definitions. Moscow: Standartinform, 2008; 15.</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. – Москва: Стандартинформ, 2007. – 33 с.</mixed-citation><mixed-citation xml:lang="en">GOST R ISO/IEC 13335-1-2006. Information technology. Methods and means of ensuring security. Part 1. Concept and models of security management of information and telecommunication technologies. – Moscow: Standartinform, 2007; 33.</mixed-citation></citation-alternatives></ref><ref id="cit11"><label>11</label><citation-alternatives><mixed-citation xml:lang="ru">Язов Ю. К. Защита информации в информационных системах от несанкционированного доступа: учебное пособие / Ю. К. Язов, С. В. Соловьев. – Воронеж: Кварта, 2015. – 440 с.</mixed-citation><mixed-citation xml:lang="en">Yazov Yu. K. Protection of information in information systems from unauthorized access: textbook / Yu. K. Yazov, S. V. Solovyov. Voronezh: Kvarta, 2015; 440.</mixed-citation></citation-alternatives></ref><ref id="cit12"><label>12</label><citation-alternatives><mixed-citation xml:lang="ru">Common Vulnerabilities and Exposures (CVE) [Электронный ресурс]. – Режим доступа: https://en.wikichip.org/wiki/cve (дата обращения: 12.02.2024).</mixed-citation><mixed-citation xml:lang="en">Common Vulnerabilities and Exposures (CVE) [Electronic resource]. – Access mode: https://en.wikichip.org/wiki/cve (access date: 02.12.2024).</mixed-citation></citation-alternatives></ref><ref id="cit13"><label>13</label><citation-alternatives><mixed-citation xml:lang="ru">Полное руководство по общему стандарту оценки уязвимостей версии 2. Вычисление оценки [Электронный ресурс]. – Режим доступа: https://www.securitylab.ru/ analytics/356476.php (дата обращения: 30.01.2024).</mixed-citation><mixed-citation xml:lang="en">A Complete Guide to the Common Vulnerability Assessment Standard Version 2. Calculating the Score [El. resource]. – Access mode: https://www.securitylab.ru/analytics/356476.php (access date: 01/30/2024).</mixed-citation></citation-alternatives></ref><ref id="cit14"><label>14</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р 56546-2015. Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем. – Москва: Стандартинформ, 2015. – 12 с.</mixed-citation><mixed-citation xml:lang="en">GOST R 56546-2015. Data protection. Vulnerabilities of information systems. Classification of information system vulnerabilities. – Moscow: Standartinform, 2015;12.</mixed-citation></citation-alternatives></ref><ref id="cit15"><label>15</label><citation-alternatives><mixed-citation xml:lang="ru">Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств: Методический документ от 28 октября 2022 г. // ФСТЭК России [Электронный ресурс]. – Режим доступа: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskijdokument-ot-28-oktyabrya-2022-g-2 (дата обращения: 29.01.2024).</mixed-citation><mixed-citation xml:lang="en">Methodology for assessing the level of criticality of software, software and hardware vulnerabilities: Methodological document dated October 28, 2022 // FSTEC of Russia [Electronic resource]. – Access mode: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-28-oktyabrya-2022-g-2 (date of access: 01/29/2024).</mixed-citation></citation-alternatives></ref><ref id="cit16"><label>16</label><citation-alternatives><mixed-citation xml:lang="ru">Золотых Е. С. Модели оценки опасности реализации сетевых атак в автоматизированных системах органов внутренних дел: 2.3.6. диссертация на соискание ученой степени кандидата технических наук / Золотых Елена Сергеевна. – Воронеж, 2022. – 220 с.</mixed-citation><mixed-citation xml:lang="en">Zolotykh E. S. Models for assessing the danger of implementing network attacks in automated systems of internal affairs bodies: 2.3.6. dissertation for the degree of Cand. of Technical Sci. / Elena Sergeevna Zolotykh. – Voronezh, 2022; 220.</mixed-citation></citation-alternatives></ref><ref id="cit17"><label>17</label><citation-alternatives><mixed-citation xml:lang="ru">БДУ-CVSS v3 Calculator [Электронный ресурс]. – Режим доступа: https://bdu.fstec.ru/calc3 (дата обращения: 12.02.2024).</mixed-citation><mixed-citation xml:lang="en">BDU-CVSS v3 Calculator [El.res.]. Access mode: https://bdu.fstec.ru/calc3 (date of access: 02.12.2024).</mixed-citation></citation-alternatives></ref><ref id="cit18"><label>18</label><citation-alternatives><mixed-citation xml:lang="ru">БДУ-CVSS v31 Calculator [Электронный ресурс]. – Режим доступа: https://bdu.fstec.ru/calc31 (дата обращения: 12.02.2024).</mixed-citation><mixed-citation xml:lang="en">BDU-CVSS v31 Calculator [El.res.]. Access mode: https://bdu.fstec.ru/calc31 (date of access: 02.12.2024).</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
