Journal Issue:
Безопасность информационных технологий

Уменьшенное изображение
Volume
2023-30
Number
2
Issue Date
Journal Title
Journal ISSN
2074-7128 (Print)
Том журнала
Уменьшенное изображение
Том журнала
Статьи
Уменьшенное изображение
Публикация
Открытый доступ
Методические и реализационные аспекты внедрения процессов разработки безопасного программного обеспечения
(НИЯУ МИФИ, 2023) Арустамян, С. С.; Вареница, В. В.; Марков, А. С.; Марков, Алексей Сергеевич
В работе представлены результаты исследования состояния выполнения требований по разработке безопасного программного обеспечения, определенные национальными стандартами. Приведены объективные и субъективные причины востребованности внедрения процедур разработки безопасного программного обеспечения в жизненный цикл программно-технических изделий в защищенном исполнении. Отмечена зависимость числа программных ошибок и уязвимостей от зрелости компании-разработчика программного обеспечения. Рассмотрены требования национальных стандартов в области разработки безопасных программ в контексте обязательной и добровольной сертификации программных изделий по требованиям безопасности информации. Выделены процессы разработки безопасного программного обеспечения, имеющие приоритетное значение в деятельности испытательной лаборатории. Показаны особенности гармонизации национальных и международных стандартов по безопасности программных приложений. Отмечены преимущества национальных стандартов относительно зарубежных практик и стандартов. Приведены оригинальные концептуальные модели выбора процедур разработки безопасных программ и внедрения процессов разработки программ. Представлена общая методика проведения аудита системы менеджмента разработки безопасных программ. Приведена статистика по внедрению процедур разработки безопасных программ в процесс серийного производства программных средств защиты информации. Отмечены особенности российского рынка разработки и производства безопасного программного обеспечения. Отмечены типовые организационные ошибки разработчиков программ в процессе реализации требований по безопасности информации. Сформулированы рекомендации по повышению эффективности внедрения процедур разработки безопасного программного обеспечения. Сделан вывод об эффективности и перспективности развития систем менеджмента безопасности программных ресурсов в рамках систем менеджмента качества и информационной безопасности.
Уменьшенное изображение
Публикация
Открытый доступ
Устойчивость технологических процессов в аспекте безопасности критической информационной инфраструктуры
(2023) Гавдан, Г. П. ; Вавичкин, А. Н.; Иваненко, В. Г.; Кулешова, Ю. Д.; Рыбалко, Э. П. ; Вавичкин, Александр Николаевич; Гавдан, Григорий Петрович; Иваненко, Виталий Григорьевич
Киберпреступность сегодня приносит злоумышленникам доход (затрагивая и объекты критической информационной инфраструктуры) примерно 1,5 трлн долл. в год, а значит и защищённость критической информационной инфраструктуры (КИИ) продолжает требовать к себе должного внимания. Целью статьи является исследование технологических процессов в аспекте обеспечения безопасности информационной инфраструктуры. В настоящее время общепринятый подход к проведению такой оценки отсутствует и его определение остаётся актуальной задачей. Важно также понимать, что не всегда устойчивость технологических (в том числе и значимых, критических) процессов обеспечивает их безопасность (безопасность управления), также как и обеспечение безопасности не обеспечивает выполнение технологических процессов. Объектом исследования являются объекты КИИ. Предметом исследования являются технологические процессы в условиях угроз информационной безопасности. Проводится анализ нормативных правовых актов (НПА) и научных публикаций по теме исследования. Анализ НПА КИИ показал, что в данной области существуют проблемы. Для формулирования конкретных мер устойчивости показателей можно использовать приведённую матрицу устойчивости. В статье сформулированы требования к показателям оценки. По результатам работы установлено, что оценка устойчивости функционирования объектов может быть реализована на реальных значимых объектах КИИ, коэффициенты устойчивости элементов могут быть детализированы более подробно. Рассмотрены определения и проблемы, приведены основные источники, подтверждающие важность исследования. Результаты исследования могут быть использованы при рассмотрении подходов к оценке устойчивости технологических процессов в аспекте безопасности КИИ.
Уменьшенное изображение
Публикация
Открытый доступ
ОСОБЕННОСТИ ПРОГРАММНОЙ АРХИТЕКТУРЫ ЯЗЫКОВОЙ ПЛАТФОРМЫ PLIF ДЛЯ АНАЛИЗА БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ПОТОКОВ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
(2023) Тимаков, А. А. ; Фадеев, М. М. ; Рыжов, И. Г. ; Лысиков, А. В. ; Фадеев, Михаил Михайлович
В области формальных моделей безопасности компьютерных систем к настоящему времени выполнен значительный объем исследований. Одним из наиболее важных направлений является контроль информационных потоков в программных средах автоматизированных систем. Соответствующие механизмы сегодня активно исследуются, предпринимаются попытки их внедрения в языковые платформы, предназначенные для создания как системного, так и прикладного программного обеспечения. На данном этапе научной проработки указанное направление можно отнести к академическому, характеризуемому теоретическими изысканиями и появлением множества прототипов. По мнению авторов, основной проблемой использования обозначенных механизмов при создании промышленных автоматизированных систем и включения соответствующих этапов в цикл безопасной разработки является сложность ручного инструментирования программного кода на основе меток безопасности и проверка выявленных нарушений. В работе представлена разработанная технологическая платформа выявления запрещенных информационных потоков в программных блоках систем управления базами данных, предложена общая процедура ее применения, которая предполагает разделение функций разработчиков программного обеспечения и аналитиков информационной безопасности.
Уменьшенное изображение
Публикация
Открытый доступ
Концептуальные основы оценки уровня защищенности автоматизированных систем на основе их уязвимости
(2023) Ефимов, А. О. ; Лившиц, И. И. ; Мещерякова, Т. В. ; Рогозин, Е. А.
В работе представлены концептуальные основы оценки уровня защищенности автоматизированных систем на основе их уязвимости. Проведен анализ, регламентирующих стандартов, методических рекомендаций и нормативных документов в области оценки и классификации уязвимостей информационных систем. Согласно анализу проекта обновления нормативных документов, сделан вывод о равенстве терминов «автоматизированная система» и «информационная система», что позволяет применять все необходимые требования, рекомендации, формальные описания и прочие стандартизированные требования, применимые к информационным системам. Проведен анализ процесса и причин обнаружения уязвимостей автоматизированной системы. Рассмотрено формирование совокупностей уязвимостей, предложено определение базовой и текущей уязвимости автоматизированной системы, а также рассмотрены пути их эффективного устранения. Рассмотрена методика оценки критичности уязвимостей ФСТЭК России, основанная на международной методике CVSS 3.1. В целях удобства самостоятельного расчета критичности уязвимости проведена адаптация и тщательное описание процесса оценки критичности уязвимости стандарта CVSS 3.1. Предложена методика оценки уровня защищенности путем анализа критичности уязвимости автоматизированной системы (совокупности критичности уязвимостей автоматизированной системы). Представлены выводы о направлении дальнейшего исследования: создание модели оценки защищенности на основе уязвимостей, а также модели прогнозирования уязвимостей.
Уменьшенное изображение
Публикация
Открытый доступ
Исследование собственных сетевых протоколов вредоносного программного обеспечения
(2023) Мухамедов, А. И.
Подавляющее большинство вредоносных программ осуществляет сетевое взаимодействие со своими компонентами, при котором может происходить скачивание необходимых модулей, передача украденной информации и т.д. Часто такое взаимодействие базируется на самых распространенных протоколах – HTTP и HTTPS, но при этом имеется достаточно много фактов реализации создателями вредоносного ПО собственных протоколов. Целью данной статьи является обзор подходов к реализации собственных протоколов, существующих в среде разработчиков вредоносного ПО, и методов обнаружения фактов использования подобных протоколов в сетевом трафике, выявление перспектив использования тех или иных подходов на практике в настоящее время. Анализируются возможные причины, которые побуждают создателей вредоносных программ поступать таким образом. Проводится обзор различных вариантов подобных протоколов, от примитивных до весьма сложных, приводятся конкретные примеры. В статье приведены способы выявления подобной активности в сетевом трафике: сигнатурный анализ, методы на основе статистики и машинного обучения, интеллектуальный анализ. Рассмотрены основные достоинства и недостатки данных методов. Результатом анализа данных методов является вывод, согласно которому наиболее перспективным подходом в рамках данной проблемы является применение нейронных сетей, в частности, наибольшей популярностью сейчас пользуются решения на основе архитектур CNN и LSTM, однако имеются и альтернативные подходы, которые сейчас не показывают выдающихся результатов, однако могут стать хорошими вариантами для использования в ближайшем будущем.
Описание
Ключевые слова