Характеристика дефектов безопасности и анализ критичности уязвимостей в программном обеспечении автоматизированных систем органов внутренних дел

Цель. Целью исследования является теоретический анализ дефектов безопасности и исследование критичности уязвимостей в программных средствах, используемых в современных автоматизированных системах органов внутренних дел.

Метод. Использован метод системного подхода к рассмотрению сущности проблемы оценивания защищенности программного обеспечения автоматизированных систем органов внутренних дел и критичности его уязвимостей.

Результат. Представлены результаты анализа теоретических аспектов исследования уязвимостей в программном обеспечении автоматизированных систем. Проанализированы компоненты типичного программного обеспечения, используемого на автоматизированном рабочем месте пользователя современной автоматизированной системы органов внутренних дел, на наличие известных уязвимостей, представленных в Национальной базе уязвимостей США и Банке данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю России, с получением базовых оценок по стандарту Common Vulnerability Scoring System версий 3.0 и 3.1.

Вывод. Сделаны выводы об уровне критичности выявленных уязвимостей и важности их устранения путем своевременного обновления используемого программного обеспечения на основе выбора его оптимальной по уровню защищенности версии. Намечены основные направления деятельности по проведению количественной оценки уровня защищенности программного обеспечения в автоматизированных системах органов внутренних дел с учетом его уязвимостей в режиме реального времени.

1. Ефимов А. О. Меры защиты планшетных компьютеров, осуществляющих обработку конфиденциальной информации, от несанкционированного доступа / А.О. Ефимов, Т. В. Мещерякова, Е. А. Рогозин // Вестник Воронежского института МВД России. – 2023. – № 2. – С. 31–38.

2. Ефимов А. О. Концептуальные основы оценки уровня защищенности автоматизированных систем на основе их уязвимости / А. О. Ефимов, И И. Лившиц, Т. В. Мещерякова, Е. А. Рогозин // Безопасность информационных технологий IT Security. – Том 30. – № 2(2023). – С. 63–79.

3. National Vulnerability Database. Nist [Электронный ресурс]. – Режим доступа: https://nvd.nist.gov/ (дата обращения: 29.01.2024).

4. Банк данных угроз безопасности информации. Уязвимости // ФСТЭК России [Электронный ресурс]. – Режим доступа: https://bdu.fstec.ru/vul (дата обращения: 30.01.2024).

5. Common Vulnerability Scoring System (CVSS-SIG) [Электронный ресурс]. – Режим доступа: https://www.first.org/cvss (дата обращения: 12.02.2024).

6. Common Vulnerability Scoring System version 3.0. Specification Document. Revision 0 [Электронный ресурс]. – Режим доступа: https://cvss-v3-specification_r0.pdf (дата обращения: 12.02.2024).

7. Common Vulnerability Scoring System version 3.1. Specification Document. Revision 1 [Электронный ресурс]. – Режим доступа: https://cvss-v31-specification_r1.pdf (дата обращения: 12.02.2024).

8. ГОСТ Р 56939-2016. Защита информации. Разработка безопасного программного обеспечения. Общие требования. – Москва: Стандартинформ, 2016. – 24 с.

9. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. – Москва: Стандартинформ, 2008. – 15 с.

10. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. – Москва: Стандартинформ, 2007. – 33 с.

11. Язов Ю. К. Защита информации в информационных системах от несанкционированного доступа: учебное пособие / Ю. К. Язов, С. В. Соловьев. – Воронеж: Кварта, 2015. – 440 с.

12. Common Vulnerabilities and Exposures (CVE) [Электронный ресурс]. – Режим доступа: https://en.wikichip.org/wiki/cve (дата обращения: 12.02.2024).

13. Полное руководство по общему стандарту оценки уязвимостей версии 2. Вычисление оценки [Электронный ресурс]. – Режим доступа: https://www.securitylab.ru/ analytics/356476.php (дата обращения: 30.01.2024).

14. ГОСТ Р 56546-2015. Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем. – Москва: Стандартинформ, 2015. – 12 с.

15. Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств: Методический документ от 28 октября 2022 г. // ФСТЭК России [Электронный ресурс]. – Режим доступа: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskijdokument-ot-28-oktyabrya-2022-g-2 (дата обращения: 29.01.2024).

16. Золотых Е. С. Модели оценки опасности реализации сетевых атак в автоматизированных системах органов внутренних дел: 2.3.6. диссертация на соискание ученой степени кандидата технических наук / Золотых Елена Сергеевна. – Воронеж, 2022. – 220 с.

17. БДУ-CVSS v3 Calculator [Электронный ресурс]. – Режим доступа: https://bdu.fstec.ru/calc3 (дата обращения: 12.02.2024).

18. БДУ-CVSS v31 Calculator [Электронный ресурс]. – Режим доступа: https://bdu.fstec.ru/calc31 (дата обращения: 12.02.2024).