Безопасность информационных технологий

В работе представлены концептуальные основы оценки уровня защищенности автоматизированных систем на основе их уязвимости. Проведен анализ, регламентирующих стандартов, методических рекомендаций и нормативных документов в области оценки и классификации уязвимостей информационных систем. Согласно анализу проекта обновления нормативных документов, сделан вывод о равенстве терминов «автоматизированная система» и «информационная система», что позволяет применять все необходимые требования, рекомендации, формальные описания и прочие стандартизированные требования, применимые к информационным системам. Проведен анализ процесса и причин обнаружения уязвимостей автоматизированной системы. Рассмотрено формирование совокупностей уязвимостей, предложено определение базовой и текущей уязвимости автоматизированной системы, а также рассмотрены пути их эффективного устранения. Рассмотрена методика оценки критичности уязвимостей ФСТЭК России, основанная на международной методике CVSS 3.1. В целях удобства самостоятельного расчета критичности уязвимости проведена адаптация и тщательное описание процесса оценки критичности уязвимости стандарта CVSS 3.1. Предложена методика оценки уровня защищенности путем анализа критичности уязвимости автоматизированной системы (совокупности критичности уязвимостей автоматизированной системы). Представлены выводы о направлении дальнейшего исследования: создание модели оценки защищенности на основе уязвимостей, а также модели прогнозирования уязвимостей.

автоматизированная система, уязвимость, оценка защищенности, критичность уязвимости, уровень защищенности, методика оценки уязвимости.

1. Ланкин О. В. Системно-комплексный кибернетический подход к формированию методологических основ интеллектуальной защиты информации от несанкционированного доступа. О. В. Ланкин, В. И. Сумин, Е. В. Воронова. Вестник Воронежского государственного технического университета. 2011,
т. 7, № 8, с. 174–176. – EDN NYIJQT.

2. Бокова О.И., Дровникова И.Г., Етепнев А.С., Рогозин Е.А., Хвостов В.А. (2019). Методики оценивания надежности систем защиты информации от несанкционированного доступа в автоматизированных системах. Труды СПИИРАН, 18(6), c. 1301–1332. DOI: http://dx.doi.org/10.15622/sp.2019.18.6.1301-1332. – EDN YBHXOB.

3. Язов Ю.К., Соловьев С.В. Защита информации в информационных системах от несанкционированного доступа. Пособие. Воронеж: Кварта, 2015. – 440 с.

4. Дровникова И.Г., Етепнев А.С., Рогозин Е.А. Основные виды уязвимостей и взаимосвязь компонентов безопасности при обосновании показателей надёжности системы защиты информации от несанкционированного доступа в автоматизированных системах. Приборы и системы. Управление, контроль, диагностика. 2019, № 3, c. 59–64.
DOI: http://dx.doi.org/10.25791/pribor.03.2019.508.

5. Дойникова Е.В. Чечулин А.А., Котенко И.В. Оценка защищенности компьютерных сетей на основе метрик CVSS. Информационно-управляющие системы. 2017, № 6(91), с. 76–87.
DOI: http://dx.doi.org/10.15217/issn1684-8853.2017.6.76. – EDN ZXWUWH.

6. Кубарев А.В. Подход к формализации уязвимостей информационных систем на основе их классификационных признаков. Вопросы кибербезопасности. 2013, № 2(2), c. 29–33. – EDN SZEDHH.

7. Коноваленко С.А., Королев И.Д. Выявление уязвимостей информационных систем посредством комбинированного метода анализа параметрических данных, определяемых системами мониторинга вычислительных сетей. Альманах современной науки и образования. 2016, № 11(113), c. 60–66. – EDN XEEDXH.

8. Сердечный А.Л., Тарелкин М.А., Ломов А.А., Симонов К.В. Карты источников, содержащих сведения об уязвимостях программного обеспечения. Информация и безопасность. 2019, т. 22, № 3, с. 411–422. – EDN ZOUMGN.

9. Федорченк А.В., Чечулин А.А., Котенко И.В. Исследование открытых баз уязвимостей и оценка возможности их применения в системах анализа защищенности компьютерных сетей. Информационно-управляющие системы. 2014, № 5(72), с. 72–79. – EDN SXXXKH.

10. Сердечный А.Л.,. Герасимов И.В,. Макаров О.Ю и др. Технология выявления сведений об уязвимостях сторонних компонентов программного обеспечения с открытым исходным кодом. Информация и безопасность. 2020, т. 23, № 3, с. 347–364. DOI: http://dx.doi.org/10.36622/VSTU.2020.23.3.003. – EDN PYXOUT.

11. Аветисян А.И., Белеванцев А.А., Чукляев И.И. Технологии статического и динамического анализа уязвимостей программного обеспечения. Вопросы кибербезопасности. 2014, № 3(4), с. 20–28. – EDN SSYPXV.

12. Russell R. et al. Automated Vulnerability Detection in Source Code Using Deep Representation Learning. 17th IEEE International Conference on Machine Learning and Applications (ICMLA), Orlando, FL, USA. 2018,
p. 757–762. DOI: http://dx.doi.org/10.1109/ICMLA.2018.00120.

13. Wang T., Wei T., Gu G. and Zou W. TaintScope: A Checksum-Aware Directed Fuzzing Tool for Automatic Software Vulnerability Detection. IEEE Symposium on Security and Privacy, Oakland, CA, USA. 2010,
p. 497–512. DOI: http://dx.doi.org/10.1109/SP.2010.37.

14. Lin G., Wen S., Han Q. -L., Zhang J. and Xiang Y. Software Vulnerability Detection Using Deep Neural Networks: A Survey in Proceedings of the IEEE. Oct. 2020, vol. 108, no. 10, p. 1825–1848.
DOI: http://dx.doi.org/10.1109/JPROC.2020.2993293.

15. Ван Ю. Прогнозирование объемов перевозок пассажиров на основе теории "серых систем". Вестник Белорусского государственного университета транспорта: наука и транспорт. 2021, № 1(42), с. 77–81. – EDN OKGSXG.

16. Deng J.L. Introduction to Grey system theory. Journal of Grey System 1 (1989): 1-24.
URL: https://www.semanticscholar.org/paper/Introduction-to-Grey-system-theory-Deng/a6d38c2f78a12b92464ef95b89d0567e01262631 (дата обращения: 10.04.2023).

17. Bindhu B.K. & Madhu G. (2017) Application of grey system theory on the influencing parameters of aerobic granulation in SBR, Environmental Technology, 38:17, p. 2143–2152.
DOI: http://dx.doi.org/10.1080/09593330.2016.1246617.