Организация и методика эксперимента для определения исходных данных при оценивании показателей защищенности программного обеспечения автоматизированных систем органов внутренних дел

Цель. Целью исследования является разработка методики проведения натурного эксперимента для определения исходных данных, необходимых при оценивании защищенности программного обеспечения, используемого на объектах информатизации органов внутренних дел, в динамике его функционирования. Методика позволяет выявлять потенциально возможные уязвимости высокого и критического уровня критичности в процессе функционирования программного обеспечения, определять значения временных характеристик их эксплуатации, средние значения времен выявления и устранения текущих уязвимостей в программном обеспечении.

Метод. Использованы методы теории графов, автоматизированного статического анализа программного кода, электронной хронометрии, прямого измерения, анализа статистических данных, сравнения.

Результат. Получены количественные значения исходных данных, необходимые для проведения оценки комплексного показателя защищенности программного обеспечения автоматизированных систем органов внутренних дел, включающего показатель уровня критичности совокупности уязвимостей в программном обеспечении, показатель временной защищенности программного обеспечения, коэффициент готовности программного обеспечения к безопасному функционированию при наличии уязвимостей, интервальный показатель нарушения защищенности программного обеспечения за счет эксплуатации уязвимости заданного уровня критичности.

Вывод. Перспективы практической реализации предложенной методики связаны с проведением анализа и точной количественной оценки защищенности используемого программного обеспечения в режиме реального времени на основе разработанного программного комплекса с целью выбора его наиболее защищенной версии в интересах повышения уровня защищенности служебной информации ограниченного распространения, циркулирующей на конкретных объектах информатизации органов внутренних дел.

1. ГОСТ Р 56939-2024. Защита информации. Разработка безопасного программного обеспечения. Общие требования : издание официальное: утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 24 октября 2024 г. № 1504-ст : дата введения 2024-12-20. – Москва : Стандартинформ, 2024. – 29 с.

2. Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств:методический документ от 28 октября 2022 г. // ФСТЭК России [Электронный ресурс]. https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokumentot-28-oktyabrya-2022-g-2 (дата обращения: 20.04.2025).

3. Попова А.Д. Разработка программного комплекса анализа и оценки защищенности программного обеспечения автоматизированных систем органов внутренних дел / А. Д. Попова, И. Г. Дровникова // Вестник Воронежского института ФСИН России. – 2025. – № 1. – С. 102–109.

4. Свидетельство о государственной регистрации программы для ЭВМ № 2025662021. Российская Федерация. «Программный комплекс анализа и оценки защищенности программного обеспечения автоматизированных систем органов внутренних дел»: № 2025662021: заявл. 28.04.2025 :опубл. 16.05.2025 / А.Д. Попова, Д. В. Поддубнов, И. Г. Дровникова ; правообладатели : Попова Арина Дмитриевна, Поддубнов Данила Викторович, Дровникова Ирина Григорьевна.

5. Попова А.Д. Результаты экспериментального исследования защищенности программного обеспечения автоматизированных систем органов внутренних дел/А. Д. Попова, И. Г. Дровникова // Вестник Воронежского института МВД России. – 2025. – № 2. – С. 9–20.

6. Актуальные киберугрозы: I квартал 2024 года [Электронный ресурс]. https://www.ptsecurity.com/ruru/research/analytics/cybersecurity-threatscape-2024-q1/ (дата обращения: 04.08.2024).

7. Эксплойты и уязвимости в первом квартале 2024 года // Securelist by Kaspersky [Электронный ресурс]. – URL : https://securelist.ru/vulnerability-report-q1-2024/109484/ (дата обращения: 07.05.2024).

8. Kaspersky Security Bulletin 2023/Статистика [Электр. ресурс]. URL: https://www.itb.spb.ru/time-to-livenews/informatsionnaya-bulletin_2023_statistika/(date of application: 04.04.2024).

9. Security Week 2420: эксплуатация уязвимостей в ПО // Kaspersky_Lab [Электр.ресурс]. – URL : https://habr.com/ru/companies/kaspersky/articles/814065/ (date of application: 14.06.2025).

10. https://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=EXP&n=633381#nbQp5sUnqmXfbuF6 (дата обращения: 12.06.2025) Об утверждении Положения по организации парольной защиты в Федеральной службе по интеллектуальной собственности : приказ Роспатента от 14.07.2015 г. № 97 // КонсультантПлюс [Электронный ресурс].

11. Static Application Security Testing (SAST) [Электронный ресурс]. – URL : https://docs.gitlab.com/ ee/user/application_security/sast/ (date of application: 06.07.2025).

12. Поиск эксплойтов для любой уязвимости [Электронный ресурс]. – URL : https://www.itsecforu.ru/2022/02/21/поиск-эксплойтов-для-любой-уязвимости/ (дата обращения: 14.12.2024).

13. URL : https://www.how-to/top-10-exploit-databases-for-finding-vulnerabilities-0189314/ (date of application: 14.09.2024). Top 10 Exploit Databases or Finding Vulnerabilities [Электронный ресурс].

14. Советов Б.Я. Моделирование систем / Б.Я. Советов, С.А. Яковлев. – 3-е издание, переработанное и дополненное. – Москва : Высшая школа, 2001. – 343 с.

15. Советов Б.Я. Моделирование систем. Практикум/ Б.Я. Советов, С.А. Яковлев. – 4-е издание, переработанное и дополненное. – Москва : Юрайт, 2014. – 295 с.

16. Как изменилась работа с уязвимостями в 2022 году // Positive technologies [Электронный ресурс]. – URL : https://www.ptsecurity.com/ru-ru/research/analytics/kak-izmenilas-rabota-s-uyazvimostyami-v2022-godu/ (дата обращения: 16.10.2023).

17. Shift Left: красивый отчет или реальность? [Электронный ресурс] – URL : https://habr.com/ru/companies/swordfish_security/articles/747638/ (date of application: 11.06.2025).