Основные подходы к оценке защищенности информационных систем и перспективы их применения в органах внутренних дел Российской Федерации

Цель. В статье проведен анализ основных подходов к оценке защищенности информационных систем, выделены их преимущества и недостатки, рассмотрена их применимость для органов внутренних дел Российской Федерации. Целью исследования является определение перспектив развития методологических подходов к оценке защищенности органов внутренних дел Российской Федерации. Метод. Исследование опирается на изучение различных методов оценки защищенности информационных систем, а также на анализ научной литературы и публикаций по данной теме.

Результат. Предложен подход к дальнейшему развитию методов оценки защищенности информационных систем с учетом специфики органов внутренних дел Российской Федерации.

Вывод. Отмечается перспективность исследований в рамках создания специализированного программного обеспечения, объединяющего в себе экспертные знания и количественные алгоритмы, которое могло бы упростить оценку защищенности информационных систем органов внутренних дел, обеспечив точность, доступность и адаптивность к специфике правоохранительной деятельности. Такое программное обеспечение стало бы ценным инструментом для повышения безопасности данных органов внутренних дел, минимизации рисков и оптимизации ресурсов, открывая новые возможности для защиты критически важных информационных систем.

1. Маковский К.Е. Сопоставление методов оценки защищенности корпоративных информационных систем // Современная наука: актуальные проблемы теории и практики. Серия: Естественные и технические науки. – 2021. – № 4. – С. 124–127. – DOI: 10.37882/2223-2966.2021.04.27. – EDN: XUKXKX.

2. Титов Д.В., Филипова Е.Е. Использование метода экспертных оценок при определении уровня защищенности информационной системы // Вопросы защиты информации. – 2022. – № 2(137). – С. 51–53. – DOI: 10.52190/20732600_2022_2_51. – EDN: KYSIHX.

3. Борзенкова С.Ю., Казарина Е.Е. Анализ методов оценки уровня защищенности информационных систем в процессе их эксплуатации // Известия Тульского государственного университета. Технические науки. – 2020. – № 5. – С. 93–97. – EDN: OBDQBR.

4. Полянский Д.А. Комплексная защита объектов информатизации. Книга 10. Оценка защищённости: учебное пособие. – Владимир: Изд-во Владим. гос. ун-та, 2005. – 80 с.

5. ГОСТ Р ИСО/МЭК 15408-1–2012. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч. 1. Введение и общая модель [Электронный ресурс]. – Режим доступа: https://docs.cntd.ru/document/1200101777 (дата обращения: 13.04.2025).

6. ГОСТ Р ИСО/МЭК 15408-2–2013. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч. 2. Функциональные компоненты безопасности [Электронный ресурс]. – Режим доступа: https://docs.cntd.ru/document/1200105710 (дата обращения: 13.04.2025).

7. ГОСТ Р ИСО/МЭК 15408-3–2013. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч. 3. Требования доверия к безопасности [Электронный ресурс]. – Режим доступа: https://docs.cntd.ru/document/1200105711 (дата обращения: 13.04.2025).

8. Родин, С.В. Математическое моделирование политики безопасности автоматизированной информационной системы вневедомственной охраны / С.В. Родин // Вестник Воронежского института МВД России. – 2009. – № 1. – С. 174-181. – EDN JXUTPX.

9. Сумин, В.И. Разработка сетевой модели целевых установок сложных организационных систем специального назначения / В. И. Сумин, А. С. Кравченко, С. В. Родин // Моделирование систем и процессов. – 2024. – Т. 17, № 3. – С. 79-87. – DOI: 10.12737/2219-0767-2024-77-85. – EDN QIRWOK.

10. Родин, С.В. Анализ влияния уровневого распределения информации на характеристики контроля целостности в автоматизированных информационных системах информационных центров МВД / С.В. Родин, М.А. Жукова // Вестник Воронежского института МВД России. – 2011. – № 2. – С. 80-85. – EDN NUZWEF.

11. Common Vulnerability Scoring System v4.0: Specification Document [Электронный ресурс]. – Режим доступа: https://www.first.org/cvss/specification-document (дата обращения: 13.04.2025).

12. Scarfone K., Mell P. An analysis of CVSS version 2 vulnerability scoring // 2009 3rd International Symposium on Empirical Software Engineering and Measurement. – IEEE, 2009. – P. 516–525.

13. Spring J. et al. Time to Change the CVSS? // IEEE Security & Privacy. – 2021. – Vol. 19, № 2. – P. 74–78.

14. Houmb S.H., Franqueira V.N.L., Engum E.A. Quantifying security risk level from CVSS estimates of frequency and impact // Journal of Systems and Software. – 2010. – Vol. 83, № 9. – P. 1622–1634.

15. Spring J. et al. Towards improving CVSS // SEI, CMU, Tech. Rep. – 2018.

16. Figueroa-Lorenzo S., Añorga J., Arrizabalaga S. A survey of IIoT protocols: A measure of vulnerability risk analysis based on CVSS // ACM Computing Surveys (CSUR). – 2020. – Vol. 53, № 2. – P. 1–53.

17. Fruhwirth C., Mannisto T. Improving CVSS-based vulnerability prioritization and response with context information // 2009 3rd International Symposium on Empirical Software Engineering and Measurement. – IEEE, 2009. – P. 535–544.

18. Khazaei A., Ghasemzadeh M., Derhami V. An automatic method for CVSS score prediction using vulnerabilities description // Journal of Intelligent & Fuzzy Systems. – 2015. – Vol. 30, № 1. – P. 89–96.

19. Costa J. C. et al. Predicting CVSS metric via description interpretation // IEEE Access. – 2022. – Vol. 10. – P. 59125–59134.

20. Franklin J. et al. CVSS implementation guidance // National Institute of Standards and Technology, NISTIR-7946. – 2014.

21. Wang R. et al. An improved CVSS-based vulnerability scoring mechanism // 2011 Third International Conference on Multimedia Information Networking and Security. – IEEE, 2011. – P. 352–355.

22. Gallon L., Bascou J.J. Using CVSS in attack graphs // 2011 Sixth International Conference on Availability, Reliability and Security. – IEEE, 2011. – P. 59–66.

23. Aksu M.U. et al. A quantitative CVSS-based cyber security risk assessment methodology for IT systems // 2017 International Carnahan Conference on Security Technology (ICCST). – IEEE, 2017. – P. 1–8.