Практические рекомендации по проведению оценки защищенности программного обеспечения и выбору его оптимальной версии для эксплуатации на объектах информатизации органов внутренних дел

Цель. Целью исследования является разработка практических рекомендаций по проведению количественной оценки защищенности программного обеспечения в режиме реального времени и выбору его наиболее защищенной (оптимальной) версии для эксплуатации на объектах информатизации органов внутренних дел в соответствии с требованиями действующей методической документации ФСТЭК России и с учетом особенностей и недостатков эксплуатации автоматизированных систем органов внутренних дел. Метод. Реализован системный подход к рассмотрению сущности проблемы оценивания защищенности программного обеспечения и проведению количественной оценки показателей защищенности. Использованы методы теоретического анализа, синтеза, дедукции. Результат. Представлены практические рекомендации по реализации методики анализа и количественной оценки защищенности программного обеспечения с учетом уязвимостей в динамике его функционирования и выбора наиболее защищенной версии для эксплуатации в автоматизированных системах органов внутренних дел. Дополнение существующих методик проведения оценки защищенности представленными практическими рекомендациями позволяет повысить эффективность и качество оценивания программного обеспечения в процессе его жизненного цикла на объектах информатизации органов внутренних дел. Вывод. Перспективы использования полученных результатов связаны с разработкой методической документации для проведения оценки состояния технической защиты информации в автоматизированных системах органов внутренних дел с целью обоснования выбора организационных и технических мер обеспечения безопасности служебной информации ограниченного распространения.

1. Золотых Е.С. Модели оценки опасности реализации сетевых атак в автоматизированных системах органов внутренних дел:дис. канд. техн. наук:2.3.6. Золотых Елена Сергеевна. Воронеж, 2022. 220 с.

2. Бацких А.В. Модели оценки эффективности функционирования модифицированных подсистем управления доступом к информации в автоматизированных системах органов внутренних дел: 2.3.6. дисс. канд. техн. наук/Бацких Анна Вадимовна. Воронеж, 2022. – 190 с.

3. Попов А.Д. Модели и алгоритмы оценки эффективности систем защиты информации от несанкционированного доступа с учетом их временных характеристик в автоматизированных системах органов внутренних дел:05.13.19 дис. канд. техн. наук/ Попов Антон Дмитриевич. Воронеж, 2018. 163 с.

4. Дровникова И.Г. Показатели защищенности программного обеспечения, используемого на объектах информатизации органов внутренних дел/И.Г. Дровникова, А.Д. Попова// Вестник Воронежского института МВД России. – 2024. – № 1. – С. 50–59.

5. Щеглов А.Ю. Элементы теории эксплуатационной информационной безопасности: учебное пособие / А. Ю. Щеглов. – Санкт-Петербург: СПбГУ ИТМО, 2014. – 59 с.

6. Попова А.Д. Методика анализа и оценки уровня защищенности программного обеспечения, используемого на объектах информатизации органов внутренних дел/ А.Д. Попова, И. Г. Дровникова // Безопасность информационных технологий = IT Security. – Том 31. – № 2 (2024). – С. 51–64.

7. Попова А.Д. Алгоритм функционирования программного комплекса анализа и оценки защищенности программного обеспечения автоматизированных систем органов внутренних дел//Вестник Дагестанского государственного технического университета. Технические науки.2024.Т.51(2).С.128–136.

8. ГОСТ РИСО/МЭК 25051-2017 Информационные технологии. Системная и программная инженерия. Требования и оценка качества систем и программного обеспечения. М.: Стандартинформ, 2017. 32 с.

9. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий: Руководящий документ от 19 июня 2002 г. № 187 // ФСТЭК России [Эл. ресурс]. – Режим доступа: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/rukovodyashchij-dokumentot-19-iyunya-2002-g-n-187 (дата обращения: 30.10.2024).

10. ГОСТ Р ИСО/МЭК 9126-93. Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению [Эл.ресурс]. – Режим доступа : http://docs.cntd.ru/document/gost-r-iso-mek-9126-93 (дата обращения 05.11.2024).

11. ISO/IEC 17000:2004. Conformity assessment. Dictionary and General principles [Эл. ресурс]. – Режим доступа : https://pqm-online.com/assets/files/lib/std/iso17000-2004.pdf (дата обращения: 06.11.2024).

12. ISO/IEC 27002:2005-2013 Information technology. Security method. Practical rules of information security management [Эл. рес.]. http://docs.cntd.ru/document/gost-r-iso-mek-17799-2005(дата об.06.11.2024).

13. Ефимов А.О., И.И. Лившиц, Т.В. Мещерякова, Е. А. Рогозин. Концептуальные основы оценки уровня защищенности автоматизированных систем на основе их уязвимости// Безопасность информационных технологий = IT Security. – Том 30. – № 2(2023). – С. 63–79.

14. К вопросу оценки защищенности автоматизированных систем по критичности их уязвимостей / А.О. Ефимов [и др.] // Вестник воронежского института ФСИН России. – 2023. – № 2. – С. 50–54.

15. Радько Н.М., Ю.К. Язов, Н.Н. Корнеева. Проникновения в операционную среду компьютера: модели злоумышленного удаленного доступа: учеб. пособ. Воронеж: Воронежский государственный технический университет, 2013. – 265 с.

16. Язов Ю.К., С.В. Соловьев. Методология оценки эффективности защиты информации в информационных системах от несанкционированного доступа: монография. Санкт-Петербург: Наукоемкие технологии, 2023. – 258 с.

17. Язов Ю.К., А.В. Анищенко. Сети Петри-Маркова и их применение для моделирования процессов реализации угроз безопасности информации в информационных системах: монография. – Воронеж : Кварта, 2020. – 173 с.

18. Common Vulnerability Scoring System version 4.0: User Guid–e [Электронный ресурс]. – Режим доступа: https://www.first.org/cvss/v4.0/user-guide (дата обращения: 15.11.2024).

19. Дровникова И.Г., Попова А.Д. Способы оценки уровня защищенности программного обеспечения автоматизированных систем органов внутренних дел и направления их совершенствования//Вестник Дагестанского государственного технического университета. Технические науки. 2023; 50(4): 85-92.

20. Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации : методический документ от 2 мая 2024 г. // ФСТЭК России [Электронный ресурс]. – Режим доступа : https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokumentot-2-maya-2024-g (дата обращения: 25.11.2024).

21. Методика тестирования обновлений безопасности программных, программно-аппаратных средств : методический документ от 28 октября 2022 г. // ФСТЭК России [Электронный ресурс]. – Режим доступа : https://fstec.ru/dokumenty/vse-dokumenty/ spetsialnye-normativnye-dokumenty/metodicheskijdokument-ot-28-oktyabrya-2022-g-2 (дата обращения: 25.11.2024).

22. Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств :методический документ от 28 октября 2022 г. // ФСТЭК России [Электронный ресурс]. – Режим доступа :https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskijdokument-ot-28-oktyabrya-2022-g-2 (дата обращения: 20.11.2024).

23. Руководство по организации процесса управления уязвимостями в органе (организации) : методический документ от 17 мая 2023г.ФСТЭК России [Эл.ресурс].https://fstec.ru/dokumenty/vse-dokumenty/spetsialnyenormativnye-dokumenty/metodicheskij-dokument-ot-17-maya-2023-g (дата обращения: 25.11.2024).

24. Попова А.Д. Методика эксперимента для оценивания защищенности программного обеспечения автоматизированных систем органов внутренних дел/А.Д. Попова, А.Д. Попов, И.Г. Дровникова // Безопасность информационных технологий = IT Security. – Том 32. – № 1(2025). – С. 95–111.