<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">vdgtu</journal-id><journal-title-group><journal-title xml:lang="ru">Вестник Дагестанского государственного технического университета. Технические науки</journal-title><trans-title-group xml:lang="en"><trans-title>Herald of Dagestan State Technical University. Technical Sciences</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">2073-6185</issn><issn pub-type="epub">2542-095X</issn><publisher><publisher-name>Daghestan State Technical University</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.21822/2073-6185-2025-52-2-98-106</article-id><article-id custom-type="elpub" pub-id-type="custom">vdgtu-1775</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И ТЕЛЕКОММУНИКАЦИИ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>INFORMATION TECHNOLOGY AND TELECOMMUNICATIONS</subject></subj-group></article-categories><title-group><article-title>Причины возникновения, классификация и критичность уязвимостей программного обеспечения информационных систем</article-title><trans-title-group xml:lang="en"><trans-title>Causes, classification, and criticality of information system software vulnerabilities</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Ефимов</surname><given-names>А. О.</given-names></name><name name-style="western" xml:lang="en"><surname>Efimov</surname><given-names>A. O.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Алексей Олегович Ефимов, преподаватель кафедры автоматизированных информационных системорганов внутренних дел</p><p>394065, г. Воронеж, пр. Патриотов, 53</p></bio><bio xml:lang="en"><p>Aleksey O. Efimov, Lecturer, Department of Automated Information Systems of Internal Affairs Bodies</p><p>53 Patriotov Str., Voronezh 394065</p></bio><email xlink:type="simple">ea.aleksei@yandex.ru</email><xref ref-type="aff" rid="aff-1"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Воронежский институт МВД России</institution><country>Россия</country></aff><aff xml:lang="en"><institution>Voronezh Institute of the Ministry of Internal Affairs of Russia</institution><country>Russian Federation</country></aff></aff-alternatives><pub-date pub-type="collection"><year>2025</year></pub-date><pub-date pub-type="epub"><day>10</day><month>08</month><year>2025</year></pub-date><volume>52</volume><issue>2</issue><fpage>98</fpage><lpage>106</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Ефимов А.О., 2025</copyright-statement><copyright-year>2025</copyright-year><copyright-holder xml:lang="ru">Ефимов А.О.</copyright-holder><copyright-holder xml:lang="en">Efimov A.O.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://vestnik.dgtu.ru/jour/article/view/1775">https://vestnik.dgtu.ru/jour/article/view/1775</self-uri><abstract><p>Цель. Целью исследования является описание причин возникновения уязвимостей программного обеспечения, а также их классификация; устранение неопределённости понятия «критичность уязвимости программного обеспечения». Метод. Анализ существующих подходов к оценке, классификации, и определения уязвимостей программного обеспечения. Моделирование, построение UML модели, описание алгоритма. Результат. Дано определение критичности уязвимости программного обеспечения. Частично описаны причины возникновения уязвимостей программного обеспечения, расширена существующая классификация уязвимостей программного обеспечения. Приведен пример оценки критичности уязвимостей программного обеспечения на основе вычисляемых метрик. Приведен пример оценки и приоритезации метрик уязвимостей. Представлены UML модель и алгоритм оценки уязвимостей. Вывод. Результаты проведенного исследования расширяют перечень показателей и предметную область описания уязвимостей программного обеспечения.</p></abstract><trans-abstract xml:lang="en"><p>Objective. The purpose of this paper is to describe the causes of software vulnerabilities, as well as their classification. Eliminating the ambiguity of the concept of software vulnerability criticality. Method. Analysis of existing approaches to the assessment, classification, and identification of software vulnerabilities. Modeling, building a UML model, and describing an algorithm. Result. A definition of the criticality of a software vulnerability is proposed. The causes of the software are partially described, and the existing classification of software vulnerabilities is expanded. An example of assessing the criticality of software vulnerabilities based on calculated metrics is given. An example of vulnerability metrics evaluation and prioritization is given. The UML model and vulnerability assessment algorithm are presented. Conclusion. The results of the conducted research expand the list of indicators and the subject area of the description of software vulnerabilities.</p></trans-abstract><kwd-group xml:lang="ru"><kwd>уязвимость</kwd><kwd>критичность уязвимости</kwd><kwd>оценка уязвимостей</kwd><kwd>безопасность программного обеспечения</kwd><kwd>классификация уязвимостей</kwd></kwd-group><kwd-group xml:lang="en"><kwd>vulnerability</kwd><kwd>criticality of vulnerability</kwd><kwd>vulnerability assessment</kwd><kwd>software security</kwd><kwd>vulnerability classification</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р 58142-2018. Информационная безопасность. Методы и средства защиты информации. Общие положения. – Введ. 2018-12-01. – М.: Стандартинформ, 2018. – 24 с.</mixed-citation><mixed-citation xml:lang="en">GOST R 58142-2018. Information Security. Methods and Tools for Information Protection. General Provisions. – Enacted on 2018-12-01. Moscow: Standartinform, 2018;24 p.(In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Дойникова, Е. В. Оценка защищенности компьютерных сетей на основе метрик CVSS / Е. В. Дойникова, А.А. Чечулин, И.В. Котенко // Информационно-управляющие системы. – 2017. – № 6(91). – С. 76–87. – DOI 10.15217/issn1684-8853.2017.6.76. – EDN ZXWUWH.</mixed-citation><mixed-citation xml:lang="en">Doinikova, E.V. Evaluation of Computer Network Security Based on CVSS Metrics / E.V. Doinikova, A.A. Chechulin, I.V. Kotenko. Information and Control Systems. 2017;6(91):76–87. DOI: 10.15217/issn1684-8853.2017.6.76. – EDN ZXWUWH. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Дровникова, И.Г. Основные виды уязвимостей и взаимосвязь компонентов безопасности при обосновании показателей надёжности системы защиты информации от несанкционированного доступа в автоматизированных системах / И.Г. Дровникова, А.С. Етепнев, Е.А. Рогозин // Приборы и системы. Управление, контроль, диагностика. – 2019. – № 3. – С. 59–64. – EDN VWGOHY.</mixed-citation><mixed-citation xml:lang="en">Drovnikova, I.G. Main Types of Vulnerabilities and the Relationship of Security Components in Justifying Indicators of Information Protection System Reliability Against Unauthorized Access in Automated Systems / I.G. Drovnikova, A.S. Etepnev, E.A. Rogozin. Instruments and Systems: Monitoring, Control, and Diagnostics. 2019; 3: 59–64. – EDN VWGOHY. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Щеглов, К.А. Защита от атак на уязвимости приложений. Модели контроля доступа / К.А. Щеглов, А.Ю. Щеглов // Вопросы защиты информации. – 2013. – № 2(101). – С. 36–43. – EDN QAVHRX.</mixed-citation><mixed-citation xml:lang="en">Shcheglov, K.A. Protection Against Application Vulnerability Attacks. Access Control Models/ K.A. Shcheglov, A.Yu. Shcheglov. Information Security Issues. 2013; 2(101):36–43. EDN QAVHRX. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Коноваленко, С.А. Выявление уязвимостей информационных систем посредством комбинированного метода анализа параметрических данных, определяемых системами мониторинга вычислительных сетей / С.А. Коноваленко, И.Д. Королев // Альманах современной науки и образования. – 2016. – № 11(113). – С. 60–66. – EDN XEEDXH.</mixed-citation><mixed-citation xml:lang="en">Konovalenko, S.A. Detection of Information System Vulnerabilities Using a Combined Method for Analyzing Parametric Data Determined by Network Monitoring Systems / S.A. Konovalenko, I.D. Korolev. Almanac of Modern Science and Education. 2016;11(113): 60–66. – EDN XEEDXH. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Forum of Incident Response and Security Teams. Common Vulnerability Scoring System version 4.0: Specification Document [Электронный ресурс]. – URL: https://www.first.org/cvss/specification-document (дата обращения: 16.01.2025).</mixed-citation><mixed-citation xml:lang="en">Forum of Incident Response and Security Teams. Common Vulnerability Scoring System version 4.0: Specification Document [Electronic resource]. – URL: https://www.first.org/cvss/specification-document (accessed on 16.01.2025).</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">OWASP Foundation. OWASP Risk Rating Methodology [Электронный ресурс]. – URL: https://owasp.org/www-community/OWASP_Risk_Rating_Methodology (дата обращения: 16.01.2025).</mixed-citation><mixed-citation xml:lang="en">OWASP Foundation. OWASP Risk Rating Methodology [Electronic resource]. – URL: https://owasp.org/www-community/OWASP_Risk_Rating_Methodology (accessed on 16.01.2025).</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">Карты источников, содержащих сведения об уязвимостях программного обеспечения / А.Л. Сердечный, М.А. Тарелкин, А.А. Ломов, К.В. Симонов // Информация и безопасность. – 2019. – Т. 22, № 3. – С. 411–422. – EDN ZOUMGN.</mixed-citation><mixed-citation xml:lang="en">Sources Containing Information on Software Vulnerabilities / A.L. Serdechny, M. A. Tarelkin, A.A. Lomov, K.V. Simonov. Information and Security. 2019; 22(3): 411–422. – EDN ZOUMGN. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р 56546-2015. Информационная безопасность. Защита информации. Показатели защищённости информационных систем. – Введ. 2016-01-01. – М.: Стандартинформ, 2016. – 12 с.</mixed-citation><mixed-citation xml:lang="en">GOST R 56546-2015. Information Security. Information Protection. Security Indicators of Information Systems. – Enacted on 2016-01-01. – Moscow: Standartinform, 2016;12 p. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р 53114-2008. Информационная технология. Защита информации. Основные термины и определения. – Введ. 2009-01-01. – М.: Стандартинформ, 2009. – 14 с.</mixed-citation><mixed-citation xml:lang="en">GOST R 53114-2008. Information Technology. Information Protection. Basic Terms and Definitions. – Enacted on 2009-01-01. – Moscow: Standartinform, 2009; 14 p. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit11"><label>11</label><citation-alternatives><mixed-citation xml:lang="ru">Концептуальные основы оценки уровня защищенности автоматизированных систем на основе их уязвимости /А.О. Ефимов, И.И. Лившиц, Т.В. Мещерякова, Е.А. Рогозин // Безопасность информационных технологий. – 2023. – Т. 30, № 2. – С. 63–79. – DOI 10.26583/bit.2023.2.04. – EDN LGPQZP.</mixed-citation><mixed-citation xml:lang="en">Conceptual Foundations for Assessing the Security Level of Automated Systems Based on Their Vulnerabilities / A.O. Efimov, I.I. Livshits, T.V. Meshcheryakova, E.A. Rogozin. Information Technology Security. 2023;30(2):63–79. – DOI: 10.26583/bit.2023.2.04. – EDN LGPQZP. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit12"><label>12</label><citation-alternatives><mixed-citation xml:lang="ru">Аветисян А.И., Белеванцев А.А., Чукляев И.И. Технологии статического и динамического анализа уязвимостей программного обеспечения. Вопросы кибербезопасности. 2014, № 3(4), с. 20–28. – EDN SSYPXV.</mixed-citation><mixed-citation xml:lang="en">Avetisyan, A.I., Belevantsev, A.A., Chuklyaev, I.I. Technologies for Static and Dynamic Analysis of Software Vulnerabilities. Cybersecurity Issues. 2014;3(4): 20–28. – EDN SSYPXV. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit13"><label>13</label><citation-alternatives><mixed-citation xml:lang="ru">Russell R. et al. Automated Vulnerability Detection in Source Code Using Deep Representation Learning. 17th IEEE International Conference on Machine Learning and Applications (ICMLA), Orlando, FL, USA. 2018, p. 757–762. DOI: http://dx.doi.org/10.1109/ICMLA.2018.00120.</mixed-citation><mixed-citation xml:lang="en">Russell, R. et al. Automated Vulnerability Detection in Source Code Using Deep Representation Learning. 17th IEEE International Conference on Machine Learning and Applications (ICMLA), Orlando, FL, USA. 2018; p. 757–762. DOI: http://dx.doi.org/10.1109/ICMLA.2018.00120.</mixed-citation></citation-alternatives></ref><ref id="cit14"><label>14</label><citation-alternatives><mixed-citation xml:lang="ru">Wang T., Wei T., Gu G. and Zou W. TaintScope: A Checksum-Aware Directed Fuzzing Tool for Automatic Software Vulnerability Detection. IEEE Symposium on Security and Privacy, Oakland, CA, USA. 2010, p. 497–512. DOI: http://dx.doi.org/10.1109/SP.2010.37.</mixed-citation><mixed-citation xml:lang="en">Wang, T., Wei, T., Gu, G., and Zou, W. TaintScope: A Checksum-Aware Directed Fuzzing Tool for Automatic Software Vulnerability Detection. IEEE Symposium on Security and Privacy, Oakland, CA, USA. 2010; p. 497–512. DOI: http://dx.doi.org/10.1109/SP.2010.37.</mixed-citation></citation-alternatives></ref><ref id="cit15"><label>15</label><citation-alternatives><mixed-citation xml:lang="ru">Lin G., Wen S., Han Q. -L., Zhang J. and Xiang Y. Software Vulnerability Detection Using Deep Neural Networks: A Survey in Proceedings of the IEEE. Oct. 2020, vol. 108, no. 10, p. 1825–1848. DOI: http://dx.doi.org/10.1109/JPROC.2020.2993293.</mixed-citation><mixed-citation xml:lang="en">Lin, G., Wen, S., Han, Q. -L., Zhang, J., and Xiang, Y. Software Vulnerability Detection Using Deep Neural Networks: A Survey in Proceedings of the IEEE. Oct. 2020;108(10):1825–1848. DOI: http://dx.doi.org/10.1109/JPROC.2020.2993293.</mixed-citation></citation-alternatives></ref><ref id="cit16"><label>16</label><citation-alternatives><mixed-citation xml:lang="ru">Кубарев, А.В. Подход к формализации уязвимостей информационных систем на основе их классификационных признаков / А.В. Кубарев // Вопросы кибербезопасности. – 2013. –№ 2(2). –С. 29–33. –EDNSZEDHH.</mixed-citation><mixed-citation xml:lang="en">Kubarev, A.V. Approach to Formalizing Information System Vulnerabilities Based on Their Classification Features / A.V. Kubarev. Cybersecurity Issues. 2013; 2(2): 29–33. – EDN SZEDHH. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit17"><label>17</label><citation-alternatives><mixed-citation xml:lang="ru">Ланкин, О.В. Системно-комплексный кибернетический подход к формированию методологических основ интеллектуальной защиты информации от несанкционированного доступа / О.В. Ланкин, В.И. Сумин, Е.В. Воронова // Вестник Воронежского государственного технического университета. – 2011. – Т. 7, № 8. – С. 174–176. – EDN NYIJQT.</mixed-citation><mixed-citation xml:lang="en">Lankin, O.V. Systemic-Cybernetic Approach to Forming Methodological Foundations for Intelligent Protection of Information from Unauthorized Access / O.V. Lankin, V.I. Sumin, E.V. Voronova. Bulletin of Voronezh State Technical University. 2011; 7( 8):174–176. – EDN NYIJQT. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit18"><label>18</label><citation-alternatives><mixed-citation xml:lang="ru">Лившиц И.И. Метод оценивания безопасности облачных ИТ-компонент по критериям существующих стандартов / И. И. Лившиц // Труды СПИИРАН. – 2020. – Т. 19, № 2. – С. 383–411. – DOI 10.15622/sp.2020.19.2.6. – EDN DPCIDQ.</mixed-citation><mixed-citation xml:lang="en">Livshits, I.I. A Method for Evaluating the Security of Cloud IT Components Based on Existing Standards / I.I. Livshits. SPIIRAS Proceedings. 2020;19(2):383–411. DOI: 10.15622/sp.2020.19.2.6. – EDN DPCIDQ. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit19"><label>19</label><citation-alternatives><mixed-citation xml:lang="ru">Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств : утв. ФСТЭК России 28 октября 2022 г. : методический документ ФСТЭК России от 28.02.2022 г. URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokumentot-28-oktyabrya-2022-g-2 (дата обращения: 04.10.2024).</mixed-citation><mixed-citation xml:lang="en">Methodology for Assessing the Criticality Level of Vulnerabilities in Software and Hardware-Software Tools: Approved by FSTEC of Russia on October 28, 2022: Methodological Document of FSTEC of Russia from October 28, 2022. URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-28-oktyabrya-2022-g-2 (accessed on 04.10.2024). (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit20"><label>20</label><citation-alternatives><mixed-citation xml:lang="ru">Методики оценивания надежности систем защиты информации от несанкционированного доступа в автоматизированных системах/О.И. Бокова, И.Г. Дровникова, А.С. Етепнев [и др.]//Труды СПИИРАН. – 2019. – Т. 18, № 6. – С. 1301–1332. – DOI 10.15622/sp.2019.18.6.1301-1332. – EDN YBHXOB.</mixed-citation><mixed-citation xml:lang="en">Methodologies for Assessing the Reliability of Information Protection Systems Against Unauthorized Access in Automated Systems / O.I. Bokova, I.G. Drovnikova, A.S. Etepnev [et al.]. SPIIRAS Proceedings. 2019;18(6):1301–1332. – DOI: 10.15622/sp.2019.18.6.1301-1332. – EDN YBHXOB. (In Russ)</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
