Алгоритм функционирования программного комплекса анализа и оценки защищенности программного обеспечения автоматизированных систем органов внутренних дел

Цель. Целью исследования является построение алгоритма функционирования программного комплекса, автоматизирующего процесс анализа и оценки защищенности используемого программного обеспечения и осуществляющего выбор его наиболее защищенной версии для эксплуатации на объектах информатизации органов внутренних дел.
Метод. В ходе исследования использованы: метод системного подхода к определению показателей защищенности программного обеспечения, метод математической формализации и алгоритмизации процесса анализа и оценки защищенности программного обеспечения для разработки программного кода.
Результат. Предложен алгоритм функционирования программного комплекса, позволяющий осуществлять анализ и количественную оценку защищенности программного обеспечения автоматизированных систем органов внутренних дел в отношении текущих уязвимостей в режиме реального времени. Алгоритм носит комплексный характер, включая в себя пять составляющих алгоритмов. Описана работа основных блоков алгоритма.
Вывод. Практическая значимость реализации разработанного алгоритма в виде программного комплекса состоит в возможности выбора оптимальной (наиболее защищенной) версии программного обеспечения для эксплуатации на объектах информатизации органов внутренних дел с целью повышения реальной защищенности служебной информации ограниченного распространения.

1. Вопросы организации информационно-правового обеспечения деятельности органов внутренних дел Российской Федерации: приказ МВД России от 25 августа 2017 г. № 680 (в ред. приказа МВД России от 23.03.2018 № 155) [Электронный ресурс]. – Режим доступа: https://base.garant.ru/72617376/?ysclid=lmduxlmjdz739176488 (дата обращения: 10.04.2024).

2. Об утверждении Доктрины информационной безопасности Российской Федерации : указ Президента Российской Федерации от 5 декабря 2016 г. № 646 // Собрание законодательства Российской Федерации от 2016 г. – № 50. – С. 7074 – 12 с.

3. ГОСТ Р ИСО/МЭК 9126-93. Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению [Электронный ресурс]. – Режим доступа: http://docs.cntd.ru/document/gost-r-iso-mek-9126-93 (дата обращения: 15.04.2024).

4. ГОСТ Р 56939-2016. Защита информации. Разработка безопасного программного обеспечения. Общие требования. – Москва: Стандартинформ, 2016. – 24 с.

5. ГОСТ Р ИСО/МЭК 25051-2017. Информационные технологии. Системная и программная инженерия. Требования и оценка качества систем и программного обеспечения. – Москва: Стандартинформ, 2017. – 32 с.

6. Щеглов К.А. Математические модели и методы формального проектирования систем защиты информационных систем: учебное пособие / К.А. Щеглов, А.Ю. Щеглов. – Санкт-Петербург: СПбГУ ИТМО, 2014. – 83 с.

7. Щеглов А.Ю. Элементы теории эксплуатационной информационной безопасности: учебное пособие / А.Ю. Щеглов. – Санкт-Петербург: СПбГУ ИТМО, 2014. – 59 с.

8. Ефимов А.О. Концептуальные основы оценки уровня защищенности автоматизированных систем на основе их уязвимости / А.О. Ефимов, И.И. Лившиц, Т.В. Мещерякова, Е.А. Рогозин // Безопасность информационных технологий = IT Security. – Том 30. – № 2(2023). – С. 63–79.

9. Карты источников, содержащих сведения об уязвимостях программного обеспечения / А.Л. Сердечный [и др.]. Информация и безопасность. – 2019. – Т. 22. – № 3. – С. 411-422. – EDN ZOUMGN.

10. Дровникова И.Г. Способы оценки уровня защищенности программного обеспечения автоматизированных систем органов внутренних дел и направления их совершенствования / И.Г. Дровникова, А.Д. Попова // Вестник Дагестанского государственного технического университета. Технические науки. – 2023. – Т. 50. – № 4. – С. 85–92.

11. Дровникова И.Г. Показатели защищенности программного обеспечения, используемого на объектах информатизации органов внутренних дел / И.Г. Дровникова, А.Д. Попова // Вестник Воронежского института МВД России. – 2024. – № 1. – С. 50–59.

12. Дровникова И.Г. Теоретические аспекты расчета показателей защищенности программного обеспечения автоматизированных систем органов внутренних дел / И.Г. Дровникова, А.Д. Попова // Вестник Воронежского института ФСИН России. – 2024. – № 2.

13. Дровникова И.Г. Аналитические модели расчета показателей защищенности программного обеспечения автоматизированных систем органов внутренних дел / И.Г. Дровникова, А.Д. Попова // Вестник Воронежского института МВД России. – 2024. – № 2 –22-33.

14. Попова А.Д. Методика анализа и оценки уровня защищенности программного обеспечения, используемого на объектах информатизации органов внутренних дел / А.Д. Попова, И.Г. Дровникова // Безопасность информационных технологий = IT Security, Том 31, № 2 (2024).- С.51-64.

15. Методика тестирования обновлений безопасности программных, программно-аппаратных средств: Методический документ от 28 октября 2022 г. // ФСТЭК России [Электронный ресурс]. – Режим доступа:https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskijdokument-ot-28-oktyabrya-2022-g (дата обращения: 24.04.2024).

16. Common Vulnerability Scoring System version 4.0: Specification Document [Электронный ресурс]. – Режим доступа: https://www.first.org/cvss/v4.0/specification-document (дата обращения: 28.04.2024).

17. Common Vulnerability Scoring System version 4.0: User Guide [Электронный ресурс]. – Режим доступа: https://www.first.org/cvss/v4.0/user-guide (дата обращения: 28.04.2024).

18. Common Vulnerability Scoring System version 4.0: Examples [Электронный ресурс]. – Режим доступа: https://www.first.org/cvss/v4.0/examples (дата обращения: 28.04.2024).

19. CVSS 4.0: аналитический обзор новой версии популярного стандарта [Электронный ресурс]. – Режим доступа: https://www.habr.com>ru/companies/pt/articles/ 788310/ (дата обращения: 28.04.2024).

20. Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств: Методический документ от 28 октября 2022 г. // ФСТЭК России [Электронный ресурс]. – Режим доступа: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskijdokument-ot-28-oktyabrya-2022-g-2 (дата обращения: 30.04.2024).

21. Common Vulnerability Scoring System Version 4.0: Calculator [Электронный ресурс]. – Режим доступа: https://www.first.org/cvss/calculator/4.0 (дата обращения: 30.04.2024).