Безопасность информационных технологий

Целью статьи является разработка методики проведения вычислительного эксперимента для оценивания защищенности программного обеспечения (ПО) в динамике его эксплуатации в автоматизированных системах (АС) органов внутренних дел (ОВД). Методика позволяет выявлять уязвимости, актуальные в процессе функционирования программного ПО и исследовать этапы их эксплуатации, определять временные характеристики текущих уязвимостей с учетом времен их выявления и устранения. Для достижения поставленной цели использованы методы теории графов и автоматизированного статического анализа программного кода на основе применения SAST-анализатора SonarQube. В результате применения методики получены количественные значения исходных данных, необходимые для расчета показателей защищенности ПО, используемого на объектах информатизации ОВД, в режиме реального времени. В качестве показателей защищенности ПО АС ОВД рассматриваются: уровень критичности уязвимостей в ПО, коэффициент готовности ПО к безопасной эксплуатации в отношении уязвимостей, интервальный показатель нарушения защищенности ПО и показатель временной защищенности ПО. Проведение точной количественной оценки указанных показателей для различных версий ПО на основе разработанного программного комплекса позволит выбрать оптимальную (наиболее защищенную) версию для эксплуатации на объектах информатизации ОВД.

актуальные уязвимости в программном обеспечении, время выявления уязвимости, время устранения уязвимости, временные характеристики эксплуатации уязвимости, вычислительный эксперимент, SAST-анализатор SonarQube.

1. Бутусов И.В., Романов А.А. Предупреждение инцидентов информационной безопасности в автоматизированных информационных системах. Вопросы кибербезопасности. 2020. № 5(39), с. 45–51.
DOI: 10.21681/2311-3456-2020-05-45-51.

2. Ефремов А.Ф. Проблемы обеспечения информационной безопасности в системе МВД России при работе с базами данных. Вопросы российского и международного права. 2020, т 10, № 11А, с. 229–235.
DOI: 10.34670/AR.2020.76.82.048.

3. Леонов Н.В. Противодействие уязвимостям программного обеспечения. Часть 2. Аналитическая модель и концептуальные решения. Вопросы кибербезопасности. 2024, № 3(61), с. 90–95.
DOI: 10.21681/2311-3456-2024-3-90-95.

4. Щеглов А.Ю. Элементы теории эксплуатационной информационной безопасности. Санкт-Петербург: СПбГУ ИТМО, 2014. – 59 с.

5. Щеглов К.А., Щеглов А.Ю. Математические модели и методы формального проектирования систем защиты информационных систем. Санкт-Петербург: СПбГУ ИТМО, 2014. – 83 с.

6. Елфимов А.О. Об осуществлении управления уязвимостями автоматизированных систем. Вестник Воронежского института МВД России. 2023, № 3, с. 186–196.
URL: https://ВИ.МВД.РФ/Nauka/nauchnij-zhurnal-vestni/Vestnik_3_2023.pdf (дата обращения: 04.09.2024).

7. Язов Ю.К., Соловьев С.В. Методология оценки эффективности защиты информации в информационных системах от несанкционированного доступа: монография. Санкт-Петербург: Наукоемкие технологии, 2023. – 258 с.
URL: https://publishing.intelgr.com/archive/otsenka-effektivnosti-zaschityi-informatsii.pdf (дата обращения: 04.09.2024).

8. Мирзабаев А.Н., Самонов А.В. Метод обеспечения устойчивости вычислительного процесса в условиях воздействия вредоносных программ. Вопросы кибербезопасности. 2022, № 2(48), с. 63–71.
DOI: 10.21681/2311-3456-2022-2-63-71.

9. Дровникова И.Г., Попова А.Д. Аналитические модели расчета показателей защищенности программного обеспечения автоматизированных систем органов внутренних дел. Вестник Воронежского института МВД России. 2024, № 2,
с. 22–33. URL: https://ВИ.МВД.РФ/Nauka/nauchnij-zhurnal-vestni/Vestnik_2_2024.pdf (дата обращения: 06.09.2024).

10. Аветисян А.И., Белеванцев А.А., Чукляев И.И. Технологии статического и динамического анализа уязвимостей программного обеспечения. Вопросы кибербезопасности. 2014, № 3(4), с. 20–28.
URL: https://cyberleninka.ru/article/n/tehnologii-staticheskogo-i-dinamicheskogo-analiza-uyazvimostey-programmnogo-
obespecheniya/viewer (дата обращения: 10.09.2024).

11. Lin G., Wen S., Han Q.-L., Zhang J. and Xiang Y. Software Vulnerability Detection Using Deep Neural Networks: A Survey. In Proceedings of the IEEE. Oct. 2020, v. 108, no. 10, p. 1825–1848.
DOI: 10.1109/JPROC.2020.2993293.

12. Wang T., Wei T., Gu G. and Zou W. TaintScope: A Checksum-Aware Directed Fuzzing Tool for Automatic Software Vulnerability Detection. IEEE Symposium on Security and Privacy, Oakland, CA, USA. 2010,
p. 497–512. DOI: 10.1109/SP.2010.37.

13. Russell R. et al. Automated Vulnerability Detection in Source Code Using Deep Representation Learning. 17th IEEE International Conference on Machine Learning and Applications (ICMLA), Orlando, FL, USA. 2018,
p. 757–762. Doi: 10.1109/ICMLA.2018.00120.

14. Зуев П. Анализ и измерение качества программного кода с помощью SonarQube.
URL: https://o2k.ru/blog/analiz-kachestva-koda-s-pomoshchyu-sonarqube (дата обращения: 10.09.2024).

15. Кузнецов П. Контролируем качество кода с помощью платформы SonarQube.
URL: https://pvs-studio.ru/ru/blog/posts/0452/ (дата обращения: 10.09.2024).

16. Советов Б.Я., Яковлев С.А. Моделирование систем. 3-е издание, переработанное и дополненное. М.: Высшая школа, 2001. – 343 с. URL: http://simulation.su/uploads/files/default/2001-uchebnik-sovetov-yakovlev-1.pdf (дата обращения: 10.09.2024).

17. Советов Б.Я., Яковлев С.А. Моделирование систем. Практикум. 4-е издание, переработанное и дополненное. М.: Юрайт, 2014. – 295 с. URL: https://urait.ru/book/modelirovanie-sistem-praktikum-545164 (дата обращения: 10.09.2024).