<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">vdgtu</journal-id><journal-title-group><journal-title xml:lang="ru">Вестник Дагестанского государственного технического университета. Технические науки</journal-title><trans-title-group xml:lang="en"><trans-title>Herald of Dagestan State Technical University. Technical Sciences</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">2073-6185</issn><issn pub-type="epub">2542-095X</issn><publisher><publisher-name>Daghestan State Technical University</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.21822/2073-6185-2025-52-3-116-125</article-id><article-id custom-type="elpub" pub-id-type="custom">vdgtu-1845</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И ТЕЛЕКОММУНИКАЦИИ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>INFORMATION TECHNOLOGY AND TELECOMMUNICATIONS</subject></subj-group></article-categories><title-group><article-title>Организация и методика эксперимента для определения исходных данных при оценивании показателей защищенности программного обеспечения автоматизированных систем органов внутренних дел</article-title><trans-title-group xml:lang="en"><trans-title>Organization and methodology of an experiment to determine initial data for assessing software security indicators for automated systems of internal affairs agencies</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Попова</surname><given-names>А. Д.</given-names></name><name name-style="western" xml:lang="en"><surname>Popova</surname><given-names>A. D.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Арина Дмитриевна Попова - адъюнкт.</p><p>394065, Воронеж, пр. Патриотов, 53</p></bio><email xlink:type="simple">arnpva@mail.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Дровникова</surname><given-names>И. Г.</given-names></name><name name-style="western" xml:lang="en"><surname>Drovnikova</surname><given-names>I. G.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Ирина Григорьевна Дровникова - доктор технических наук, профессор, профессор кафедры автоматизированных информационных систем органов внутренних дел.</p><p>394065, Воронеж, пр. Патриотов, 53</p></bio><email xlink:type="simple">idrovnikova@mail.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Попов</surname><given-names>А. Д.</given-names></name><name name-style="western" xml:lang="en"><surname>Popov</surname><given-names>A. D.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Антон Дмитриевич Попов - кандидат технических наук, доцент, доцент кафедры автоматизированных информационных систем органов внутренних дел.</p><p>394065, Воронеж, пр. Патриотов, 53</p></bio><bio xml:lang="en"><p>Anton D. Popov - Cand. Sci. (Eng.), Assoc. Prof., Assoc. Prof., Department of Automated Information Systems of Internal Affairs Bodies.</p><p>53 Patriotov Ave., Voronezh 394065</p></bio><email xlink:type="simple">anton.holmes@mail.ru</email><xref ref-type="aff" rid="aff-1"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Воронежский институт МВД России</institution><country>Россия</country></aff><aff xml:lang="en"><institution>Voronezh Institute of the Ministry of Internal Affairs of Russia</institution><country>Russian Federation</country></aff></aff-alternatives><pub-date pub-type="collection"><year>2025</year></pub-date><pub-date pub-type="epub"><day>10</day><month>11</month><year>2025</year></pub-date><volume>52</volume><issue>3</issue><fpage>116</fpage><lpage>125</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Попова А.Д., Дровникова И.Г., Попов А.Д., 2025</copyright-statement><copyright-year>2025</copyright-year><copyright-holder xml:lang="ru">Попова А.Д., Дровникова И.Г., Попов А.Д.</copyright-holder><copyright-holder xml:lang="en">Popova A.D., Drovnikova I.G., Popov A.D.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://vestnik.dgtu.ru/jour/article/view/1845">https://vestnik.dgtu.ru/jour/article/view/1845</self-uri><abstract><sec><title>Цель</title><p>Цель. Целью исследования является разработка методики проведения натурного эксперимента для определения исходных данных, необходимых при оценивании защищенности программного обеспечения, используемого на объектах информатизации органов внутренних дел, в динамике его функционирования. Методика позволяет выявлять потенциально возможные уязвимости высокого и критического уровня критичности в процессе функционирования программного обеспечения, определять значения временных характеристик их эксплуатации, средние значения времен выявления и устранения текущих уязвимостей в программном обеспечении.</p></sec><sec><title>Метод</title><p>Метод. Использованы методы теории графов, автоматизированного статического анализа программного кода, электронной хронометрии, прямого измерения, анализа статистических данных, сравнения.</p></sec><sec><title>Результат</title><p>Результат. Получены количественные значения исходных данных, необходимые для проведения оценки комплексного показателя защищенности программного обеспечения автоматизированных систем органов внутренних дел, включающего показатель уровня критичности совокупности уязвимостей в программном обеспечении, показатель временной защищенности программного обеспечения, коэффициент готовности программного обеспечения к безопасному функционированию при наличии уязвимостей, интервальный показатель нарушения защищенности программного обеспечения за счет эксплуатации уязвимости заданного уровня критичности.</p></sec><sec><title>Вывод</title><p>Вывод. Перспективы практической реализации предложенной методики связаны с проведением анализа и точной количественной оценки защищенности используемого программного обеспечения в режиме реального времени на основе разработанного программного комплекса с целью выбора его наиболее защищенной версии в интересах повышения уровня защищенности служебной информации ограниченного распространения, циркулирующей на конкретных объектах информатизации органов внутренних дел.</p></sec></abstract><trans-abstract xml:lang="en"><sec><title>Objective</title><p>Objective. The aim of the article is to develop a methodology for conducting a full-scale experiment to determine the initial data necessary for assessing the security of software used in the information technology systems of internal affairs agencies, in the dynamics of its operation. The methodology allows for the identification of potential vulnerabilities of high and critical levels of criticality during software operation, determining the values of the time characteristics of their operation, and the average values of the times to identify and eliminate current vulnerabilities in the software.</p></sec><sec><title>Method</title><p>Method. To achieve the stated objective, the methods of graph theory, automated static analysis of program code, electronic chronometry, direct measurement, analysis of statistical data, and comparison were used.</p></sec><sec><title>Result</title><p>Result. The application of the proposed methodology yielded quantitative values of the initial data required for assessing the comprehensive software security indicator for automated systems of internal affairs agencies. This indicator includes the criticality level of a set of software vulnerabilities, the software security time indicator, the software readiness coefficient for safe operation in the presence of vulnerabilities, and the interval indicator of software security breach due to exploitation of a vulnerability of a given criticality level.</p></sec><sec><title>Conclusion</title><p>Conclusion. The prospects for the practical implementation of the proposed methodology are related to the analysis and accurate quantitative assessment of the software security in use in real time based on the developed software package. This is achieved by selecting the most secure version to improve the security of restricted service information circulating at specific information systems of internal affairs agencies.</p></sec></trans-abstract><kwd-group xml:lang="ru"><kwd>уязвимости в программном обеспечении</kwd><kwd>временные характеристики эксплуатации уязвимости</kwd><kwd>среднее время выявления уязвимости</kwd><kwd>среднее время устранения уязвимости</kwd><kwd>натурный эксперимент</kwd><kwd>электронный хронометраж</kwd><kwd>SASTанализатор SonarQube</kwd></kwd-group><kwd-group xml:lang="en"><kwd>software vulnerabilities</kwd><kwd>vulnerability exploitation time characteristics</kwd><kwd>average vulnerability detection time</kwd><kwd>average vulnerability remediation time</kwd><kwd>full-scale experiment</kwd><kwd>electronic timing</kwd><kwd>SonarQube SAST analyzer</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р 56939-2024. Защита информации. Разработка безопасного программного обеспечения. Общие требования : издание официальное: утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 24 октября 2024 г. № 1504-ст : дата введения 2024-12-20. – Москва : Стандартинформ, 2024. – 29 с.</mixed-citation><mixed-citation xml:lang="en">GOST R 56939-2024. Information Security. Development of Secure Software. General Requirements: official publication: approved and put into effect by Order of the Federal Agency for Technical Regulation and Metrology dated October 24, 2024;1504-st: effective date: December 20, 2024. Moscow: Standartinform, 2024:29 p.</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств:методический документ от 28 октября 2022 г. // ФСТЭК России [Электронный ресурс]. https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokumentot-28-oktyabrya-2022-g-2 (дата обращения: 20.04.2025).</mixed-citation><mixed-citation xml:lang="en">Methodology for Assessing the Criticality of Vulnerabilities in Software and Hardware: methodological document dated October 28, 2022.FSTEC of Russia [Electronic resource]. – Available at: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-28-oktyabrya2022-g-2 (Accessed: 20.04.2025).</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Попова А.Д. Разработка программного комплекса анализа и оценки защищенности программного обеспечения автоматизированных систем органов внутренних дел / А. Д. Попова, И. Г. Дровникова // Вестник Воронежского института ФСИН России. – 2025. – № 1. – С. 102–109.</mixed-citation><mixed-citation xml:lang="en">Popova, A.D. “Development of a software package for analyzing and assessing the security of software in automated systems of internal affairs agencies” A.D. Popova, I.G. Drovnikova // Bulletin of the Voronezh Institute of the Federal Penitentiary Service of Russia. 2025:102–109.</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Свидетельство о государственной регистрации программы для ЭВМ № 2025662021. Российская Федерация. «Программный комплекс анализа и оценки защищенности программного обеспечения автоматизированных систем органов внутренних дел»: № 2025662021: заявл. 28.04.2025 :опубл. 16.05.2025 / А.Д. Попова, Д. В. Поддубнов, И. Г. Дровникова ; правообладатели : Попова Арина Дмитриевна, Поддубнов Данила Викторович, Дровникова Ирина Григорьевна.</mixed-citation><mixed-citation xml:lang="en">Certificate of state registration of a computer program No. 2025662021. Russian Federation. "Software Package for Analysis and Assessment of Software Security of Automated Systems of Internal Affairs Bodies": No. 2025662021: declared 28.04.2025: published 16.05.2025 / A.D. Popova, D.V. Poddubnov, I.G. Drovnikova; copyright holders: Arina Dmitrievna Popova, Danila Viktorovich Poddubnov, Irina Grigoryevna Drovnikova.</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Попова А.Д. Результаты экспериментального исследования защищенности программного обеспечения автоматизированных систем органов внутренних дел/А. Д. Попова, И. Г. Дровникова // Вестник Воронежского института МВД России. – 2025. – № 2. – С. 9–20.</mixed-citation><mixed-citation xml:lang="en">A.D. Popova. Results of an Experimental Study of Software Security of Automated Systems of Internal Affairs Bodies. A.D. Popova, I.G. Drovnikova. Bulletin of the Voronezh Institute of the Ministry of Internal Affairs of Russia. 2025;2: 9-20.</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Актуальные киберугрозы: I квартал 2024 года [Электронный ресурс]. https://www.ptsecurity.com/ruru/research/analytics/cybersecurity-threatscape-2024-q1/ (дата обращения: 04.08.2024).</mixed-citation><mixed-citation xml:lang="en">Current Cyber Threats: Q1 2024 [Electronic resource]. https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2024-q1/ (date of access: 04.08.2024).</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">Эксплойты и уязвимости в первом квартале 2024 года // Securelist by Kaspersky [Электронный ресурс]. – URL : https://securelist.ru/vulnerability-report-q1-2024/109484/ (дата обращения: 07.05.2024).</mixed-citation><mixed-citation xml:lang="en">Exploits and Vulnerabilities in Q1 2024 // Securelist by Kaspersky [Electronic resource]. – URL: https://securelist.ru/vulnerability-report-q1-2024/109484/ (date of access: 07.05.2024).</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">Kaspersky Security Bulletin 2023/Статистика [Электр. ресурс]. URL: https://www.itb.spb.ru/time-to-livenews/informatsionnaya-bulletin_2023_statistika/(date of application: 04.04.2024).</mixed-citation><mixed-citation xml:lang="en">Kaspersky Security Bulletin 2023/ Statistics | Securelist [Electronic resource]. – URL: https:// www.itb.spb.ru/time-to-live-news/informatsionnaya-bulletin_2023_statistika/ (date of application: 04.04.2024).</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">Security Week 2420: эксплуатация уязвимостей в ПО // Kaspersky_Lab [Электр.ресурс]. – URL : https://habr.com/ru/companies/kaspersky/articles/814065/ (date of application: 14.06.2025).</mixed-citation><mixed-citation xml:lang="en">Security Week 2420: Exploitation of Vulnerabilities in Software // Kaspersky_Lab [Electronic resource]. – URL: https://habr.com/ru/companies/kaspersky/articles/814065/ (date of application: 14.06.2025).</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.consultant.ru/cons/cgi/online.cgi?req=doc&amp;base=EXP&amp;n=633381#nbQp5sUnqmXfbuF6 (дата обращения: 12.06.2025) Об утверждении Положения по организации парольной защиты в Федеральной службе по интеллектуальной собственности : приказ Роспатента от 14.07.2015 г. № 97 // КонсультантПлюс [Электронный ресурс].</mixed-citation><mixed-citation xml:lang="en">URL: ttps://www.consultant.ru/cons/cgi/online.cgi?req=doc&amp;base=EXP&amp;n=633381#nbQp5sUnqmXfbuF6 (date of access: 12.06.2025). On approval of the Regulation on the organization of password protection in the Federal Service for Intellectual Property: order of Rospatent dated 14.07.2015 No. 97 // ConsultantPlus [Electronic resource].</mixed-citation></citation-alternatives></ref><ref id="cit11"><label>11</label><citation-alternatives><mixed-citation xml:lang="ru">Static Application Security Testing (SAST) [Электронный ресурс]. – URL : https://docs.gitlab.com/ ee/user/application_security/sast/ (date of application: 06.07.2025).</mixed-citation><mixed-citation xml:lang="en">Static Application Security Testing (SAST) [Electronic resource]. – URL: https://docs.gitlab.com/ee/user/application_security/sast/ (date of application: 06.07.2025).</mixed-citation></citation-alternatives></ref><ref id="cit12"><label>12</label><citation-alternatives><mixed-citation xml:lang="ru">Поиск эксплойтов для любой уязвимости [Электронный ресурс]. – URL : https://www.itsecforu.ru/2022/02/21/поиск-эксплойтов-для-любой-уязвимости/ (дата обращения: 14.12.2024).</mixed-citation><mixed-citation xml:lang="en">Search for exploits for any vulnerability [Electronic resource]. – URL: https://www.itsecforu.ru/2022/02/21/poisk-eksploytov-dlya-lyuboy-uyazvimosti/ (date of access: 14.12.2024).</mixed-citation></citation-alternatives></ref><ref id="cit13"><label>13</label><citation-alternatives><mixed-citation xml:lang="ru">URL : https://www.how-to/top-10-exploit-databases-for-finding-vulnerabilities-0189314/ (date of application: 14.09.2024). Top 10 Exploit Databases or Finding Vulnerabilities [Электронный ресурс].</mixed-citation><mixed-citation xml:lang="en">Top 10 Exploit Databases or Finding Vulnerabilities [Electronic resource]. https://www.how-to/top-10-exploit-databases-for-finding-vulnerabilities-0189314/ (date of application: September 14, 2024).</mixed-citation></citation-alternatives></ref><ref id="cit14"><label>14</label><citation-alternatives><mixed-citation xml:lang="ru">Советов Б.Я. Моделирование систем / Б.Я. Советов, С.А. Яковлев. – 3-е издание, переработанное и дополненное. – Москва : Высшая школа, 2001. – 343 с.</mixed-citation><mixed-citation xml:lang="en">Sovetov, B.Ya. System Modeling. B.Ya. Sovetov, S.A. Yakovlev. –3rd edition, revised and supplemented. Moscow: Vysshaya Shkola, 2001:343 p.</mixed-citation></citation-alternatives></ref><ref id="cit15"><label>15</label><citation-alternatives><mixed-citation xml:lang="ru">Советов Б.Я. Моделирование систем. Практикум/ Б.Я. Советов, С.А. Яковлев. – 4-е издание, переработанное и дополненное. – Москва : Юрайт, 2014. – 295 с.</mixed-citation><mixed-citation xml:lang="en">Sovetov, B.Ya. System Modeling. Workshop. B.Ya. Sovetov, S.A. Yakovlev. 4th edition, revised and supplemented. Moscow: Yurait, 2014:295 p.</mixed-citation></citation-alternatives></ref><ref id="cit16"><label>16</label><citation-alternatives><mixed-citation xml:lang="ru">Как изменилась работа с уязвимостями в 2022 году // Positive technologies [Электронный ресурс]. – URL : https://www.ptsecurity.com/ru-ru/research/analytics/kak-izmenilas-rabota-s-uyazvimostyami-v2022-godu/ (дата обращения: 16.10.2023).</mixed-citation><mixed-citation xml:lang="en">How Vulnerability Management Changed in 2022 // Positive Technologies [Electronic resource]. URL: https://www.ptsecurity.com/ru-ru/research/analytics/kak-izmenilas-rabota-s-uyazvimostyami-v-2022-godu/ (Accessed: October 16, 2023).</mixed-citation></citation-alternatives></ref><ref id="cit17"><label>17</label><citation-alternatives><mixed-citation xml:lang="ru">Shift Left: красивый отчет или реальность? [Электронный ресурс] – URL : https://habr.com/ru/companies/swordfish_security/articles/747638/ (date of application: 11.06.2025).</mixed-citation><mixed-citation xml:lang="en">URL: https://habr.com/ru/companies/swordfish_security/articles/747638/ (Application Date: June 11, 2025). Shift Left: A Nice Report or Reality? [Electronic resource]</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
