Способы оценки уровня защищенности программного обеспечения автоматизированных систем органов внутренних дел и направления их совершенствования

Цель. Целью статьи является анализ существующих способов и процедур, используемых для оценивания уровня защищенности программного обеспечения автоматизированных систем, на основе исследования научной литературы, международных и отраслевых стандартов РФ по информационной безопасности автоматизированных систем, руководящих и методических документов Федеральной службы по техническому и экспортному контролю России, а также ведомственных приказов по вопросам защиты информации от несанкционированного доступа на объектах информатизации органов внутренних дел. Метод. Для достижения поставленной цели использован метод системного анализа подходов, применяемых при оценивании уровня защищенности программного обеспечения в автоматизированных системах. Результат. Представлены результаты анализа основных подходов к оцениванию уровня защищенности программного обеспечения в автоматизированных системах. Обоснована целесообразность объединения рассмотренных подходов для проведения количественной оценки уровня защищенности программного обеспечения на объектах информатизации органов внутренних дел в режиме реального времени с учетом уязвимостей в используемых программных средствах. Вывод. Полученные результаты могут быть использованы для формирования показателей уровня защищенности программного обеспечения в автоматизированных системах органов внутренних дел и разработки методики их расчета с учетом фактора времени.

1. ГОСТ Р 56939-2016. Защита информации. Разработка безопасного программного обеспечения. Общие требования. – Москва : Стандартинформ, 2016. – 24 с.

2. ГОСТ Р ИСО/МЭК 25051-2017. Информационные технологии. Системная и программная инженерия. Требования и оценка качества систем и программного обеспечения. – Москва : Стандартинформ, 2017. – 32 с.

3. ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. – Москва : ИПК Издательство стандартов, 2003. – 12 с.

4. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей : Руководящий документ от 4 июня 1999 г. № 114 // ФСТЭК России [Электронный ресурс]. – Режим доступа : https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/rukovodyashchij-dokument-ot-4-iyunya-1999-g-n-114 (дата обращения: 30.10.2023).

5. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий : Руководящий документ от 19 июня 2002 г. № 187 // ФСТЭК России [Электронный ресурс]. – Режим доступа : https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/rukovodyashchij-dokument-ot-19-iyunya-2002-g-n-187 (дата обращения: 30.10.2023).

6. Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации : приказ МВД России от 6 июля 2012 г. № 678 (в ред. приказов МВД России от 15.07.2013 № 538, 20.04.2015 № 447, 07.12.2016 № 807) [Электронный ресурс]. – Режим доступа: https://base.garant.ru/70230320/?ysclid=lmdv18b7g0759105782 (дата обращения: 05.11.2023).

7. Вопросы организации информационно-правового обеспечения деятельности органов внутренних дел Российской Федерации : приказ МВД России от 25 августа 2017 г. № 680 (в ред. приказа МВД России от 23.03.2018 № 155) [Электронный ресурс]. – Режим доступа : https://base.garant.ru/72617376/?ysclid=lmduxlmjdz739176488 (дата обращения: 05.11.2023).

8. ГОСТ Р ИСО/МЭК 9126-93. Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению [Электронный ресурс]. – Режим доступа : http://docs.cntd.ru/document/gost-r-iso-mek-9126-93 (дата обращения 05.11.2023).

9. ГОСТ 28806-89. Качество программных средств. Термины и определения [Электронный ресурс]. – Режим доступа : http://www.kimmeria.nw.ru/standart/glosys/gost_28806_90.pdf (дата обращения: 03.11.2023).

10. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации : Руководящий документ от 25 июля 1997 г. № 383 // ФСТЭК России [Электронный ресурс]. – Режим доступа : http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/383-rukovodyashchij-dokument-reshenie-predsedatelya-gostekhkomissii-rossii-ot-25-iyulya-1997-g (дата обращения: 06.11.2023).

11. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации : Руководящий документ : решение Председателя Гостехкомиссии России от 30 марта 1992 г. от 30 марта 1992 г. № 384 // ФСТЭК России [Электронный ресурс]. – Режим доступа : https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/384-rukovodyashchij-dokument-reshenie-predsedatelya-gostekhkomissii-rossii-ot-30-marta-1992-g (дата обращения: 05.11.2023).

12. ГОСТ Р ИСО/МЭК 15408-2-2013. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2: Функциональные компоненты безопасности [Электронный ресурс]. – Режим доступа : https://files.stroyinf.ru/Data2/1/4293774/4293774728.pdf (дата обращения: 28.10.2023).

13. ISO/IEC 17000:2004. Conformity assessment. Dictionary and General principles [Электронный ресурс]. – Режим доступа : https://pqm-online.com/assets/files/lib/std/iso_17000-2004.pdf (дата обращения: 06.11.2023).

14. Радько Н. М. Проникновения в операционную среду компьютера: модели злоумышленного удаленного доступа: учебное пособие / Н. М. Радько, Ю. К. Язов, Н. Н. Корнеева. – Воронеж : Воронежский государственный технический университет, 2013. – 265 с.

15. Язов Ю. К. Методология оценки эффективности защиты информации в информационных системах от несанкционированного доступа : монография / Ю. К. Язов, С. В. Соловьев. – Санкт-Петербург : Наукоемкие технологии, 2023. – 258 с.

16. ISO/IEC 27002:2005-2013. Information technology. Security method. Practical rules of information security management [Электронный ресурс]. – Режим доступа : http://docs.cntd.ru/document/gost-r-iso-mek-17799-2005 (дата обращения 06.11.2023).

17. Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств : Методический документ от 28 октября 2022 г. // ФСТЭК России [Электронный ресурс]. – Режим доступа: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-28-oktyabrya-2022-g-2 (дата обращения: 05.11.2023).

18. К вопросу оценки защищенности автоматизированных систем по критичности их уязвимостей / А. О. Ефимов [и др.] // Вестник воронежского института ФСИН России. – 2023. – № 2. – С. 50–54.

19. Ефимов А. О. Концептуальные основы оценки уровня защищенности автоматизированных систем на основе их уязвимости / А. О. Ефимов, И. И. Лившиц, Т. В. Мещерякова, Е. А. Рогозин // Безопасность информационных технологий = IT Security. – Том 30. – № 2(2023). – С. 63–79.

20. Попов А. Д. Модели и алгоритмы оценки эффективности систем защиты информации от несанкционированного доступа с учетом их временных характеристик в автоматизированных системах органов внутренних дел : 05.13.19 диссертация на соискание ученой степени кандидата технических наук / Попов Антон Дмитриевич. – Воронеж, 2018. – 163 с.

21. Бацких А. В. Модели оценки эффективности функционирования модифицированных подсистем управления доступом к информации в автоматизированных системах органов внутренних дел : 2.3.6. диссертация на соискание ученой степени кандидата технических наук / Бацких Анна Вадимовна. – Воронеж, 2022. – 190 с.

22. Золотых Е. С. Модели оценки опасности реализации сетевых атак в автоматизированных системах органов внутренних дел : 2.3.6. диссертация на соискание ученой степени кандидата технических наук / Золотых Елена Сергеевна. – Воронеж, 2022. – 220 с.

23. Common Vulnerability Scoring System version 3.1. Specification Document. Revision 1 [Электронный ресурс]. – Режим доступа : https://cvss/v3-1/cvss-v31-specification_r1.pdf (дата обращения: 30.10.2023).

24. Язов Ю. К. Сети Петри-Маркова и их применение для моделирования процессов реализации угроз безопасности информации в информационных системах : монография / Ю. К. Язов, А. В. Анищенко. – Воронеж : Кварта, 2020. – 173 с.