№ 6 (46)

Актуальность. В настоящее время вопросы безопасности информационных систем объектов критической инфраструктуры приобретают важное значение. Вместе с тем текущие задачи аудита информационной безопасности (ИБ) объектов критической инфраструктуры, как правило, ограничиваются проверкой их на соответствие требованиям по ИБ со стороны руководящих документов. Однако при таком подходе к аудиту зачастую остается неясным защищенность этих объектов от реальных атак злоумышленников. Для объективной проверки такой защищенности объекты подвергают процедуре тестирования, а именно - тестированию на проникновение. Анализ отечественных и зарубежных публикаций в этой области показывает, что в настоящее время отсутствует какой-либо формальный подход к выбору тестовых информационно-технических воздействий при проведении такого тестирования. Целью работы является формирование методики обоснования тестовых информационно-технических воздействий, обеспечивающих рациональную полноту аудита защищенности объекта критической информационной инфраструктуры.
Методы исследования. Для достижения цели исследования в работе использованы методы теории вероятностей и математической статистики, методы теории графов и теории множеств.
Результаты. В статье представлена методика обоснования тестовых информационно-технических воздействий. Данная методика формализует процесс выбора тестов в виде двухэтапной процедуры. На первом этапе на основе топологической модели тестирования объекта формируется множество путей тестирования, причем эти пути упорядочиваются по степени повышения веса. При этом, под весом пути понимается показатель «эффективность/стоимость» отдельной комбинации ресурса тестового воздействия, уязвимости элемента объекта и уровня ущерба, наносимого объекту по определенному свойству информационной безопасности. На втором этапе методики из упорядоченного множества путей тестирования производится выбор такого множества тестовых информационно-технических воздействий и формирование из них тестового набора, который бы обеспечивал максимизацию абсолютной суммарной стоимости обнаруженного ущерба, в рамках заданных ограничений на расход ресурса при тестировании. Использование представленной методики в практике аудита позволит обосновать наиболее эффективные воздействия по критерию «эффективность/стоимость», а также сформировать тестовые наборы, которые обеспечат рациональную полноту аудита объекта критической инфраструктуры.
Ключевые слова: критическая информационная инфраструктура, тестирование на проникновение, аудит информационной безопасности, информационно-техническое воздействие.

1. Макаренко С. И. Аудит информационной безопасности: основные этапы, концептуальные основы, классификация мероприятий // Системы управления, связи и безопасности. 2018. № 1. С. 1-29. DOI: 10.24411/2410-9916-2018-10101
2. Макаренко С. И. Аудит безопасности критической инфраструктуры специальными информационными воздействиями. Монография. СПб.: Наукоемкие технологии, 2018. 122 с.
3. Кашаев Т. Р. Алгоритмы активного аудита информационной системы на основе технологий искусственных иммунных систем. Автореф. дис. … канд. техн. наук. Уфа: УГАТУ, 2008. 19 с.
4. Марков А. С., Цирлов В. Л., Барабанов А. В. Методы оценки несоответствия средств защиты информации. М.: Радио и связь, 2012. 192 с.
5. Скабцов Н. Аудит безопасности информационных систем. СПб.: Питер, 2018. 272 с.
6. Penetration Testing. Procedures & Methodologies. EC-Council Press, 2011. 237 p.
7. Kennedy D., O’Gorman J., Kearns D., Aharoni M. Metasploit. The Penetration Tester’s Guide. San Francisco: No Starch Press, 2011. 299 p.
8. Makan K. Penetration Testing with the Bash shell. – Birmingham: Pact Publishing, 2014. 133 p.
9. Cardwell K. Building Virtual Pentesting Labs for Advanced Penetration Testing. Birmingham: Pact Publishing, 2016. 518 p.
10. Макаренко С. И. Информационное оружие в технической сфере: терминология, классификация, примеры // Системы управления, связи и безопасности. 2016. № 3. С. 292-376. DOI: 10.24411/2410-9916-2016-10311
11. Макаренко С. И. Проблемы и перспективы применения кибернетического оружия в современной сетецентрической войне // Спецтехника и связь. 2011. № 3. С. 41-47.
12. Макаренко С. И., Смирнов Г. Е. Анализ стандартов и методик тестирования на проникновение // Системы управления, связи и безопасности. 2020. № 4. С. 44–72. DOI: 10.24411/2410-9916-2020-10402
13. Климов С. М. Имитационные модели испытаний критически важных информационных объектов в условиях компьютерных атак // Известия ЮФУ. Технические науки. 2016. № 8 (181). С. 27-36.
14. Климов С. М., Сычёв М. П. Стендовый полигон учебно-тренировочных и испытательных средств в области обеспечения информационной безопасности // Информационное противодействие угрозам терроризма. 2015. № 24. С. 206–213.
15. Петренко А. А., Петренко С. А. Киберучения: методические рекомендации ENISA // Вопросы кибербезопасности. 2015. № 3(11). С. 2-14.
16. Бойко А. А., Дьякова А. В. Способ разработки тестовых удаленных информационно-технических воздействий на пространственно распределенные системы информационно-технических средств // Информационно-управляющие системы. 2014. № 3 (70). С. 84–92.
17. Бойко А. А., Дьякова А. В., Храмов В. Ю. Методический подход к разработке тестовых способов удаленного информационно-технического воздействия на пространственно распределенные системы информационно-технических средств // Кибернетика и высокие технологии XXI века XV Международная научно-техническая конференция. Воронеж: НПФ «САКВОЕЕ», 2014. С. 386–395.
18. Бойко А. А., Обущенко Е. Ю., Щеглов А. В. Особенности синтеза полного множества тестовых способов удаленного информационно-технического воздействия на пространственно распределенные системы информационно-технических средств // Вестник Воронежского государственного университета. Серия: Системный анализ и информационные технологии. 2017. № 2. С. 33–45.
19. Баранова Е. К., Худышкин А. А. Особенности анализа безопасности информационных систем методом тестирования на проникновение // Моделирование и анализ безопасности и риска в сложных системах. Труды международной научной школы МАБР. 2015. С. 200–205.
20. Баранова Е. К., Чернова М. В. Сравнительный анализ программного инструментария для анализа и оценки рисков информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. 2014. № 4. С. 160–168.
21. Бегаев А. Н., Бегаев С. Н., Федотов В. А. Тестирование на проникновение. СПб: Университет ИТМО, 2018. 45 с.
22. Богораз А. Г., Пескова О. Ю. Методика тестирования и оценки межсетевых экранов // Известия ЮФУ. Технические науки. 2013. № 12 (149). С. 148–156.
23. Дорофеев А. Тестирование на проникновение: демонстрация одной уязвимости или объективная оценка защищенности? // Защита информации. Инсайд. 2010. № 6 (36). С. 72–73.
24. Умницын М. Ю. Подход к полунатурному анализу защищенности информационной системы // Известия Волгоградского государственного технического университета. 2018. № 8(218). С. 112–116.
25. Бородин М. К., Бородина П. Ю. Тестирование на проникновение средства защиты информации VGATE R2 // Региональная информатика и информационная безопасность. СПб., 2017. С. 264–268.
26. Полтавцева М. А., Печенкин А. И. Интеллектуальный анализ данных в системах поддержки принятия решений при тестировании на проникновение // Проблемы информационной безопасности. Компьютерные системы. 2017. № 3. С. 62–69.
27. Кадан А. М., Доронин А. К. Инфраструктурные облачные решения для задач тестирования на проникновение // Ученые записки ИСГЗ. 2016. Т. 14. № 1. С. 296–302.
28. Еременко Н. Н., Кокоулин А. Н. Исследование методов тестирования на проникновение в информационных системах // Master›s Journal. 2016. № 2. С. 181–186.
29. Туманов С. А. Средства тестирования информационной системы на проникновение // Доклады Томского государственного университета систем управления и радиоэлектроники. 2015. № 2 (36). С. 73–79.
30. Кравчук А. В. Модель процесса удаленного анализа защищенности информационных систем и методы повышения его результативности // Труды СПИИРАН. 2015. № 1 (38). С. 75–93.
31. Горбатов В.С., Мещеряков А.А. Сравнительный анализ средств контроля защищенности вычислительной сети // Безопасность информационных технологий. 2013. Т. 20. № 1. С. 43–48.
32. Pfleeger C. P., Pfleeger S. L., Theofanos M. F. A methodology for penetration testing // Computers & Security. 1989. Т. 8. № 7. С. 613–620.
33. McDermott J. P. Attack net penetration testing // NSPW. 2000. С. 15–21.
34. Alisherov F., Sattarova F. Methodology for penetration testing // International Journal of Grid and Distributed Computing. 2009. С. 43–50.
35. Ami P., Hasan A. Seven phrase penetration testing model // International Journal of Computer Applications. 2012. Т. 59. № 5. С. 16–20.
36. Holik F., Horalek J., Marik O., Neradova S., Zitta S. Effective penetration testing with Metasploit framework and methodologies // Proceedings of the 15th International Symposium on Computational Intelligence and Informatics (CINTI). IEEE, 2014. PP. 237–242. DOI: 10.1109/CINTI.2014.7028682
37. Herzog P. Open-source security testing methodology manual // Institute for Security and Open Methodologies (ISECOM). 2003. URL: https://untrustednetwork.net/files/osstmm.en.2.1.pdf (дата обращения 12.02.2021)
38. Макаренко С. И. Критерии и показатели оценки качества тестирования на проникновение // Вопросы кибербезопасности. 2021. № 3 (43). С. 43-57. DOI: 10.21681/2311-3456-2021-3-43-57
39. Макаренко С. И., Смирнов Г. Е. Модель аудита защищенности объекта критической информационной инфраструктуры тестовыми информационно-техническими воздействиями // Труды учебных заведений связи. 2021. Т. 7. №1. С. 94–104. DOI:10.31854/1813-324X-2021-7-1-94-104
40. Татт У. Теория графов. М.: Мир, 1988. 424 с.
41. Свами М., Тхуласираман К. Графы, сети и алгоритмы. М.: Мир, 1984. 454 с.
42. Кормен Т., Лейзерсон Ч., Ривест Р. Алгоритмы: построение и анализ. М.: МЦНМО, 2000. 960 с.
43. Макаренко С. И. Метод обеспечения устойчивости телекоммуникационной сети за счет использования ее топологической избыточности // Системы управления, связи и безопасности. 2018. № 3. С. 14–30. DOI: 10.24411/2410-9916-2018-10302
44. Цветков К. Ю., Макаренко С. И., Михайлов Р. Л. Формирование резервных путей на основе алгоритма Дейкстры в целях повышения устойчивости информационно-телекоммуникационных сетей // Информационно-управляющие системы. 2014. № 2 (69). С. 71–78.
45. Макаренко С. И., Квасов М. Н. Модифицированный алгоритм Беллмана-Форда с формированием кратчайших и резервных путей и его применение для повышения устойчивости телекоммуникационных систем // Инфокоммуникационные технологии. 2016. Т. 14. № 3. С. 264–274.
46. Макаренко С.И. Усовершенствованный протокол маршрутизации OSPF, обеспечивающий повышенную устойчивость сетей связи // Труды учебных заведений связи. 2018. Т. 4. № 2. С. 82–90.
47. Макаренко С.И. Усовершенствование функций маршрутизации и сигнализации протокола PNNI с целью повышения устойчивости сети связи // Труды учебных заведений связи. 2020. Т. 6. № 2. С. 45–59. DOI: 10.31854/1813-324X-2020-6-2-45-59
48. Смирнов Г. Е., Макаренко С. И. Использование тестовых информационно-технических воздействий для аудита защищенности информационных систем железнодорожного транспорта // Интеллектуальные технологии на транспорте. 2020. № 3 (23). С. 20–29.
49. Смирнов Г. Е., Макаренко С. И. Использование тестовых информационно-технических воздействий для превентивного аудита защищенности информационно-телекоммуникационных сетей // Экономика и качество систем связи. 2020. № 3 (17). С. 43–59.

Цель статьи: разработка механизма количественного оценивания элементов сложных информационных систем в условиях недостаточной информации о наличии уязвимостей.Метод исследования: математическое моделирование оценки неопределенности на основе бинарной свертки и сложности Колмогорова. В качестве исходных данных для моделирования используются банки данных по уязвимостям (vulnerabilities) и слабостям (weakness).Полученный результат: показано, что работа элемента сложной сети может быть представлена процедурами преобразования данных, которые состоят из последовательности во времени операций, описываемых слабостями и сопутствующими уязвимостями. Каждая операция может быть на качественном уровне оценена с точки зрения тяжести последствий в случае реализации потенциальных слабостей. Применение бинарной свертки и универсального кодирования позволяют перевести качественные оценки в двоичную последовательность - слово в алфавите {0,1}. Последовательность таких слов - как функция неопределенности - описывает возможные негативные последствия реализации процедур преобразования данных, обусловленные наличием слабостей в элементе сложной системы. Предложено использовать Колмогоровскую сложность для количественной оценки функции неопределенности. Использование машины Тьюринга для вычисления функции неопределенности предоставляет универсальный механизм оценки с точки зрения информационной безопасности элементов сложных информационных систем независимо от их программной и аппаратной реализации.
Ключевые слова: визуальные средства взаимодействия, модель визуализации, методы оценки эффективности, классификации методов оценки, структуры данных, анализ данных, поддержка и принятие решений.

1. Котенко И.В., Коломеец М.В., Жернова К.Н., Чечулин А.А. Визуальная аналитика для кибербезопасности: области применения, задачи и модели визуализации // Вопросы кибербезопасности, № 4 (44), 2021. C.2-15. DOI: 10.21681/2311-3456-2021-4-2-15
2. Интеллектуальные сервисы защиты информации в критических инфраструктурах / И.В.Котенко, И.Б.Саенко, А.А.Чечулин [и др.]; под общей ред. И.В.Котенко, И.Б.Саенко. СПб.: БХВ-Петербург, 2019. 400 с. ISBN 978-5-9775-3968-5.
3. Коломеец М.В., Чечулин А.А., Котенко И.В. Обзор методологических примитивов для поэтапного построения модели визуализации данных // Труды СПИИРАН. 2015. Вып. 5 (42). C. 232-257.
4. Travis D., Hodgson P. Think Like a UX Researcher: How to Observe Users, Influence Design, and Shape Business Strategy. CRC Press, 2019.
5. Hullman J. et al. In pursuit of error: A survey of uncertainty visualization evaluation // IEEE transactions on visualization and computer graphics. 2018. Vol. 25. №. 1. Pp. 903-913.
6. Song H., Szafir D. A. Where’s my data? evaluating visualizations with missing data // IEEE transactions on visualization and computer graphics. 2018. Т. 25. №. 1. С. 914-924.
7. Cappers B.C.M., Wijk J.J. Understanding the context of network trac alerts // 2016 IEEE Symposium on Visualization for Cyber Security (VizSec). IEEE, 2016. P. 1-8.
8. Angelini М., Aniello L., Lenti Ѕ., Santucci G., Ucci D. The goods, the bads and the uglies: Supporting decisions in malware detection through visual analytics // 2017 IEEE Symposium оп Visualization for Cyber Security (VizSec). IEEE, 2017. Рp. 1-8.
9. Chen Si., Chen Sh., Andrienko N., Andrienko G., Nguyen Р., Turkay С., Thonnard О., Yuan Х. User behavior map: Visual exploration for cyber security session data // 2018 IEEE Symposium оп Visualization for Cyber Security (VizSec). IEEE, 2018. Рp. 1-4.
10. Staheli D., Yu T., Crouser J., Damodaran S., Nam K., O’Gwynn D., McKenna S., Harrison L. Visualization evaluation for cyber security: Trends and future directions // Proceedings of the Eleventh Workshop on Visualization for Cyber Security. 2014. Pp. 49-56.
11. Dowding D., Merrill J. A. The development of heuristics for evaluation of dashboard visualizations // Applied clinical informatics. 2018. vol. 9. no. 03. Pp. 511-518.
12. Zuk T., Schlesier L., Neumann P., Hancock M., Carpendale S. Heuristics for information visualization evaluation // Proceedings of the 2006 AVI workshop on BEyond time and errors: novel evaluation methods for information visualization. 2006. Pp. 1-6.
13. Arendt D. L., Burtner R., Best D. M., Bos N. D., Gersh J. R., Piatko C. D., Paul C. L. Ocelot: user-centered design of a decision support visualization for network quarantine // 2015 IEEE Symposium on Visualization for Cyber Security (VizSec). IEEE, 2015. Pp. 1-8.
14. Arendt D. L., Lyndsey R. F., Yang F., Brisbois B., LaMothe R. Crush Your Data with ViC 2 ES Then CHISSL Away // 2018 IEEE Symposium on Visualization for Cyber Security (VizSec). IEEE, 2018. Pp. 1-8.
15. Yang Y., Collomosse J., Manohar A., Briggs J., Steane J. Tapestry: Visualizing interwoven identities for trust provenance // 2018 IEEE Symposium on Visualization for Cyber Security (VizSec). IEEE, 2018. Pp. 1-4.
16. Elmqvist N., Yi J. S. Patterns for visualization evaluation //Information Visualization. 2015. vol. 14. No. 3. Pp. 250-269. 
17. Fu B., Noy N. F., Storey M. A. Eye tracking the user experience–An evaluation of ontology visualization techniques // Semantic Web. 2017. vol. 8. No. 1. Pp. 23-41.
18. Kim Н., Ко Ѕ., Kim D., Kim Н. Firewall ruleset visualization analysis tool based on segmentation // 2017 IEEE Symposium оп Visualization for Cyber Security (VizSec). IEEE, 2017. Рp. 1-8.
19. Arendt D., Best D., Burtner R., Lyn Paul C. CyberPetri at CDX 2016: Real-time network situation awareness // 2016 IEEE Symposium on Visualization for Cyber Security (VizSec). IEEE, 2016. Pp. 1-4.

Актуальность тематики защиты мобильных устройств от кибератак обусловлена существенным ростом количества и доли мобильных гаджетов среди современных устройств доступа в сеть Интернет.Цель статьи заключается в математическом обосновании и формализации моделей наиболее распространенных атак на мобильные устройства. На основе построенных моделей предлагаются способы предотвращения и нейтрализации вторжений в систему смартфонов и планшетных компьютеров.Методы: прикладной системный анализ результатов обобщения и классификации типовых видов атак на мобильные устройства, элементы теории вероятности.
Результаты: определены особенности механизмов формирования уязвимостей мобильных устройств. Выявлены важные аспекты определения эффективности современных технологий защиты от кибератак на мобильные устройства. Дан краткий обзор основных подходов к математическому моделированию самых распространенных атак. Сформулированы дополнительные требования по адекватному выбору методов защиты в зависимости от вида атак. Сформулированы рекомендации по обеспечению безопасности мобильного устройства от возможной угрозы. Предложены методы снижения вероятности поражения системы путем наиболее распространённых атак.

Ключевые слова: смартфон, планшет, цифровая экономика, цифровая инфраструктура, перебор паролей, программы-эксплоиты, аппаратные и программные закладки, методы защиты от атак, организационные меры защиты, технические меры защиты, выяснение уязвимостей.

1. Баженов С.В., Коровин С.Д., Сухов А.В., Макеев В.И., Омск, 2012. Проблемы защиты современных средств связи / Омск, Академия военных наук, 2012. 104 с.
2. S. J. Alsunaidi and A. M. Almuhaideb, “Security Methods Against Potential Physical Attacks on Smartphones,” 2019 2nd International Conference on Computer Applications & Information Security (ICCAIS), 2019, pp. 1-6. DOI: 10.1109/CAIS.2019.8769458
3. Егорова А.И., Борисенко П.С., Атаки по сторонним каналам на смартфоны на примере электромагнитных атак и методы противодействия им // Сборник трудов VII Конгресса молодых ученых. Санкт-Петербург. 2018. С. 45-47.
4. Бутакова Н.Г., Ситников Т.А. Анализ причин уязвимости мобильных приложений и средства защиты // REDS: Телекоммуникационные устройства и системы. 2016. Т. 6. № 4. С. 534-537.
5. Михайлов Д.М., Фесенко С.Д., Жуков И.Ю., Насенков И.Г. Воздействие внедренных программных закладок на безопасность мобильных телефонов // Проблемы информационной безопасности. Компьютерные системы. 2015. № 2. С. 86-90.
6. Мостовой Р.А., Левина А.Б., Слепцова Д.М., Борисенко П.С. Атаки по сторонним каналам на мобильные телефоны // Вестник компьютерных и информационных технологий. 2019. № 12 (186). С. 46-53.
7. Бельтов А.Г., Жуков И.Ю., Михайлов Д.М., Стариковский А.В., Толстая А.М. Атаки на мобильные телефоны, использующие механизм автоматической настройки // Безопасность информационных технологий. 2012. Т. 19. № 2S. С. 22-25.
8. Рапетов А.М., Шишин О.И., Аристов М.С., Холявин В.Б., Савчук А.В., Жорин Ф.В. Методы получения доступа к данным, хранимым на мобильном устройстве и обрабатываемым им // Спецтехника и связь. 2014. № 1. С. 7-13.
9. R. Spreitzer, V. Moonsamy, T. Korak and S. Mangard, “Systematic Classification of Side-Channel Attacks: A Case Study for Mobile Devices,” in IEEE Communications Surveys & Tutorials, vol. 20, No.1, pp. 465-488, Firstquarter 2018. DOI: 10.1109/COMST.2017.2779824
10. J. Jose, T. T. Tomy, V. Karunakaran, Anjali Krishna V, A. Varkey and Nisha C.A., “Securing passwords from dictionary attack with charactertree,” 2016 International Conference on Wireless Communications, Signal Processing and Networking (WiSPNET), 2016, pp. 2301-2307. DOI: 10.1109/WiSPNET.2016.7566553.

В статье изложен метод по повышению уровня доверия к аппаратно-программным платформам на базе системной логики иностранного и отечественного производства, предназначенным для построения специализированых изделий и средств вычислительной техники, обрабатывающих информацию ограниченного доступа, соответствующим требованиями по безопасности информации и неподверженным компьютерным атакам с использованием уязвимостей в ПО BIOS. Указаны проблемы, с которыми сталкивается разработчик, предложены способы их решения и сделаны соответствующие выводы. Цель исследования: исследование возможности создания доверенной аппаратно-программной платформы на базе системной логики иностранного и отечественного производства, неподверженной компьютерным атакам с использованием уязвимостей в ПО BIOS.Методы исследования: для достижения поставленной цели был проведен анализ отечественного рынка процессорных модулей с целью выбора модуля для создания доверенной аппаратно-программной платформы, проведен анализ существующих уязвимостей ПО BIOS, проведены работы по замещению проприетарного ПО BIOS процессорного модуля на программное обеспечение отечественной разработки ЗОС Горизонт, реализующего функции ПО BIOS и меры защиты от несанкционированного доступа, и рассмотрена возможность практического применения доверенной аппаратно-программной платформы с программным обеспечением ЗОС Горизонт. Полученный результат: выбран процессорный модуль для создания доверенной аппаратно-программной платформы, проведено замещение проприетарного программного обеспечения BIOS процессорного модуля на программное обеспечение отечественной разработки «Загрузчик операционных систем Горизонт», реализующего функции программного обеспечения BIOS и меры защиты от несанкционированного доступа, сформирован метод по повышению уровня доверия к аппаратно-программным платформам на базе системной логики иностранного и отечественного производства, предназначенным для построения специализированых изделий и средств вычислительной техники, обрабатывающих информацию ограниченного доступа, соответствующим требованиями по безопасности информации и неподверженным компьютерным атакам с использованием уязвимостей в программном обеспечении BIOS, сформированы требования к доверенной аппаратно-программной платформе и условия их выполнения, обоснована необходимость исключения потенциально опасных функциональных возможностей микроконтроллера Intel Management Engine из ПО BIOS аппаратно-программной платформы на базе системной логики фирмы Intel и сформированы предложения по практическому применению доверенной аппаратно-программной платформы с программным обеспечением «Загрузчик операционных систем Горизонт».
Ключевые слова: кибербезопасность, импортозамещение, доверенная загрузка, доверенная аппаратнопрограммная платформа, программное обеспечение BIOS, Загрузчик операционных систем Горизонт, несанкционированный доступ к информации, компьютерные атаки, уязвимости.

1. Авезова Я.Э., Фадин А.А., Вопросы обеспечения доверенной загрузки в физических и виртуальных средах // Вопросы кибербезопасности. 2016. №1. С. 24-30. DOI:10.21681/2311-3456-2016-1-24-30
2. Лыдин С.С. О средствах доверенной загрузки для аппаратных платформ с UEFI BIOS // Вопросы защиты информации. 2016. №3. С. 45-50.
3. Чекин Р.Н. Современные угрозы безопасности обработки информации со стороны встроенного программного обеспечения // Доклады Томского государственного университета систем управления и радиоэлектроники. 2016. №1. С. 54-55.
4. Маркин Д.О., Умбетов Т.К., Архипов М.А., Миначев В.М. Современные технологии построения доверенных сред исполнения приложений на уровне базовой системы ввода-вывода // сборник статей по итогам Международной научно-практической конференции «Безопасные информационные технологии», 2019. С. 282-284.
5. Оголюк А.А., Шабалин А.В. Анализ безопасности удаленного доступа средствами Intel Management Engine // Известия высших учебных заведений. Приборостроение. 2018. Т. 61. №1. C. 41-46.
6. I.D. Pankov, A.S. Konoplev and A.Yu. Chernov Analysis of the Security of UEFI BIOS Embedded Software in Modern Intel-Based Computers // Automatic Control and Computer Sciences. 2019, Vol. 53. No 8. Pp. 865–869.
7. Чернов А.Ю., Коноплев А.С. Задача построения доверенной вычислительной среды на аппаратной платформе Intel // Проблемы информационной безопасности. Компьютерные системы. 2016. №4. С. 36-41.
8. M. Ermolov, M. Goryachy. How to Hack a Turned-off Computer, or Running Unsigned Code in Intel ME. [Электронный ресурс] // Positive Technologies - learn and secure. URL: http://blog.ptsecurity.com/2018/01/running-unsigned-code-in-intel-me.html. (дата обращения: 16.07.2021).
9. Rauchberger J., Luh. R., Schrittwieser S. Longkit – A Universal Framework for BIOS/UEFI Rootkits in System Management Mode // Proceedings of the 3rd International Conference on Information Systems Security and Privacy. 2017. Pp. 346-353.
10. Гефнер И.С., Марков А.С. Механизмы реализации атак на уровне базовой системы ввода/вывода // Защита информации. Инсайд. 2017. № 5. С. 80-83.
11. Kostromin K., Dokuchaev B., Kozlov D. Analysis of the Most Common Software and Hardware Vulnerabilities in Microprocessor Systems // 2020 International Russian Automation Conference (RusAutoCon). 2020. Pp 1031-1036.
12. A. Ogolyuk, A. Sheglov, K. Sheglov. UEFI BIOS and Intel Management Engine Attack Vectors and Vulnerabilities // Proceding of the 20th Conference of Fruct Association. 2017. Pp. 657-662.
13. Беззубов А.Ф., Синицын И.В., Применение вычислительных систем отечественного производства как средство повышения информационной безопасности ВУЗа // Вестник российской таможенной академии. 2017. №2. С. 106-110.
14. Алексеев Д.М., Иваненко К.Н., Убирайло В.Н. Доверенная загрузка как механизм информационной безопасности // Влияние науки на инновационное развитие. 2017. С. 19-20.
15. Боровиков А.Ю., Новиков К.Б., Маслов О.А. Описание подхода программной реализации модуля доверенной загрузки операционной системы // Наукоемкие технологии в космических исследованиях Земли. 2019. Т. 11. № 1. С. 43–48. 

Цель исследования: повышение эффективности работы эксперта по поиску среднеуровневых (в алгоритмах) и высокоуровневых (в архитектуре) уязвимостей в программном коде за счет инновационной парадигмы языка его представлению. Метод: заключается в анализе релевантных работ на предмет подходов, способов и нотаций представления алгоритмов и архитектуры программного обеспечения с выделением сильных и слабых сторон решений, синтезе парадигмы представления программного кода и качественной оценки эффективности каждого из положений парадигмы (методом от противного); под эффективностью понимается совокупность трех ее показателей: количество ошибок I и II рода, время поиска и когнитивное напряжение эксперта. Полученные результаты: описание идеи и 7-ми основных положений парадигмы языка псевдокода для единого описания алгоритмов и архитектуры с максимально необходимой и минимально достаточной степенью формализации; главной практической значимостью получаемых таким образом представлений программного кода является их предназначенность для анализа экспертом по информационной безопасности на предмет наличия средне- и высокоуровневых уязвимостей; также для каждого положения установлено их качественное влияние на показатели эффективности поиска уязвимостей экспертом.
Ключевые слова:  информационная безопасность, программное обеспечение, уязвимость, язык представления программного кода, парадигма. 

1. Шадрин Д.В. Актуальность угроз информационной безопасности для информационных систем // NovaInfo.Ru. 2016. Т. 3. № 53. С. 41-44. eLIBRARY ID: 27185592
2. Несов В.С., Маликов О.Р. Автоматический поиск уязвимостей в больших программах // Информационное противодействие угрозам терроризма. 2006. № 7. С. 281-291. eLIBRARY ID: 9572348
3. Аветисян А., Белеванцев А., Бородин А., Несов В. Использование статического анализа для поиска уязвимостей и критических ошибок в исходном коде программ // Труды Института системного программирования РАН. 2011. Т. 21. С. 23-38. eLIBRARY ID: 17103027
4. Благодаренко А.В. Методика автоматизированного поиска уязвимостей в программном обеспечении без исходных кодов //
Системы высокой доступности. 2011. Т. 7. № 2. С. 65-69. eLIBRARY ID: 17098464
5. Буйневич М.В., Израилов К.Е., Мостович Д.И. Сравнительный анализ подходов к поиску уязвимостей в программном коде // Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО-2016): сборник научных статей V международной научно-технической и научно-методической конференции. СПбГУТ. 2016. С. 256-260. eLIBRARY ID: 27296306
6. Журов Д.П., Пятых С.О., Сосинская С.С. Использование внешнего DSL ANTLR для разработки программного обеспечения
построения блок-схем по псевдокоду // Austrian Journal of Technical and Natural Sciences. 2015. № 5-6. С. 49-50. eLIBRARY ID: 25620176
7. Шевелёв И.А., Федяев О.И. Формализация представления тест-кейсов с помощью тест-ориентированного псевдокода // Информатика, управляющие системы, математическое и компьютерное моделирование (ИУСМКМ-2020): сборник материалов XI Международной научно-технической конференции в рамках VI Международного Научного форума Донецкой Народной Республики. Донецк. 2020. С. 82-86. eLIBRARY ID: 42907950
8. Князева М.Д. Алгоритмика: от алгоритма к программе: учебное пособие. Сер. Информатика. Москва: КУДИЦ-ОБРАЗ, 2006. 192 с. . eLIBRARY ID: 23878311
9. Степанов А.М., Степанов М.Ф. Основы алгоритмизации и программирования на языке С: учебное пособие. Саратов: Саратовский государственный технический университет, 2016. 88 с. eLIBRARY ID: 27462813
10. Кащей В.В. Методические особенности использования средств автоматизации записи алгоритмов и программ в курсе информатики // Конференциум АСОУ: сборник научных трудов и материалов научно-практических конференций. 2016. № 2. С. 720-733. eLIBRARY ID: 27683379
11. Бузовский О.В., Алещенко А.В., Подрубайло А.А. Система автоматической генерации кодов по графическим схемам алгоритмов // Вісник Національного технічного університету України «Київський політехнічний інститут». Серія: Інформатика, управління та обчислювальна техніка. 2009. № 51. С. 208-215. eLIBRARY ID: 22791201
12. Израилов К.Е. Расширение языка «C» для описания алгоритмов кода телекоммуникационных устройств // Информационные
технологии и телекоммуникации. 2013. Т. 1. № 2. С. 21-31. eLIBRARY ID: 21133498
13. Зобнин Р.Е. Графический редактор для отображения диаграмм Несси-Шнейдермана: свидетельство о государственной регистрации программы для ЭВМ RU № 2015619448 от 04.09.2015. eLIBRARY ID: 39336508
14. Паронджанов В.Д. Дружелюбные алгоритмы, понятные каждому, как улучшить работу ума без лишних хлопот. Москва: ДМК Пресс, 2010. 464 с. eLIBRARY ID: 20242517
15. Parondzhanov V.D. Graphic syntax of the DRACON language // Programmirovanie. 1995. Т. 21. № 3. С. 45-62. eLIBRARY ID: 12754683
16. Буйневич М.В., Израилов К.Е., Покусов В.В., Ярошенко А.Ю. Основные принципы проектирования архитектуры современных систем защиты // Национальная безопасность и стратегическое планирование. 2020. № 3 (31). С. 51-58. DOI: 10.37468/2307-1400-2020-3-51-58
17. Буйневич М.В., Израилов К.Е. Утилита для поиска уязвимостей в программном обеспечении телекоммуникационных устройств методом алгоритмизации машинного кода. Часть 1. Функциональная архитектура // Информационные технологии и телекоммуникации. 2016. Т. 4. № 1. С. 115-130. eLIBRARY ID: 26191560
18. Израилов К.Е. Утилита для поиска уязвимостей в программном обеспечении телекоммуникационных устройств методом алгоритмизации машинного кода. Часть 2. Информационная архитектура // Информационные технологии и телекоммуникации. 2016. Т. 4. № 2. С. 86-104. eLIBRARY ID: 27468771
19. Израилов К.Е., Покусов В.В. Утилита для поиска уязвимостей в программном обеспечении телекоммуникационных устройств методом алгоритмизации машинного кода. Часть 3. Модульно-алгоритмическая архитектура // Информационные технологии и телекоммуникации. 2016. Т. 4. № 4. С. 104-121. eLIBRARY ID: 29041144
20. Гордиенко А.В., Золотов О.И., Коган В.Е. Архитектура программ моделирования // Современное образование: содержание, технологии, качество. 2010. Т. 2. С. 167-168. eLIBRARY ID: 26598715
21. Ячный И.В., Клименко А.Я. Описание архитектуры инструментальных средств для создания автоматизированных коммерческотехнологических систем // Технические науки – от теории к практике. 2013. № 23. С. 37-44.
22. Сухов А.О. Теоретические основы разработки DSL-инструментария с использованием графовых грамматик // Информатизация и связь. 2011. № 3. С. 35-37. eLIBRARY ID: 17086901
23. Зеленов С.В., Зеленова С.А. Моделирование программно-аппаратных систем и анализ их безопасности // Труды Института системного программирования РАН. 2017. Т. 29. № 5. С. 257-282. DOI: 10.15514/ISPRAS-2017-29(5)-13
24. Левин И.И., Дордопуло А.И., Гудков В.А., Гуленок А.А. Расширение языка программирования высокого уровня COLAMO для битовой обработки // Научный сервис в сети Интернет: все грани параллелизма: труды Международной суперкомпьютерной конференции. Новороссисйк. 2013. С. 371-374. eLIBRARY ID: 22446876
25. Михеева В.Д. Методы расширения языков программирования (часть 1) // Информационно-управляющие системы. 2010. № 4
(47). С. 46-52. eLIBRARY ID: 15002700
26. Михеева В.Д. Методы расширения языков программирования (часть 2) // Информационно-управляющие системы. 2010. № 5
(48). С. 37-42. eLIBRARY ID: 15235777
27. Yuan E. Towards Ontology-Based Software Architecture Representations // Processings of the 1st International Workshop on Establishing the Community-Wide Infrastructure for Architecture-Based Software Engineering (ECASE). Buenos Aires, Argentina. 2017. PP. 21-27. DOI: 10.1109/ECASE.2017.5
28. W. Chen, T. Li and J. Li. Algebraic Model and Formal Description Language of Software Architecture // Processings of the 1st International Workshop on Education Technology and Computer Science. United States. 2009. PP. 659-665. DOI: 10.1109/ETCS.2009.407.
29. Pham V., Radermacher A., Gerard S., Li S. Bidirectional Mapping between Architecture Model and Code for Synchronization // Processings of International Conference on Software Architecture (ICSA). 2017. Pp. 239-242. DOI: 10.1109/ICSA.2017.41
30. Шилов Н.В. Заметки о трёх парадигмах программирования // Компьютерные инструменты в образовании. 2010. № 2. С. 24-37. eLIBRARY ID: 15002994
31. Буйневич М.В., Покусов В.В., Ярошенко А.Ю., Хорошенко С.В. Категориальный подход в приложении к синтезу архитектуры интегрированной системы обеспечения безопасности информации // Проблемы управления рисками в техносфере. 2017. № 4 (44). С. 95-102. eLIBRARY ID: 32601997
32. Покусов В.В. Формализация и определение корректности протокола информационно-технического взаимодействия(на примере интегрированной системы защиты информации) // Информатизация и связь. 2021. № 2. С. 55-68. DOI: 10.34219/2078-8320-2021-12-2-55-68
33. Буйневич М.В., Израилов К.Е. Антропоморфический подход к описанию взаимодействия уязвимостей в программном коде. Часть 1. Типы взаимодействий // Защита информации. Инсайд. 2019. № 5 (89). С. 78-85. eLIBRARY ID: 41221386
34. Буйневич М.В., Израилов К.Е. Антропоморфический подход к описанию взаимодействия уязвимостей в программном коде. Часть 2. Метрика уязвимостей // Защита информации. Инсайд. 2019. № 6 (90). С. 61-65. eLIBRARY ID: 41494732
35. Израилов К.Е., Обрезков А.И., Курта П.А. Подход к выявлению последовательности одноцелевых сетевых атак с визуализацией их прогресса эксперту // Методы и технические средства обеспечения безопасности информации. 2020. № 29. С. 68-69. eLIBRARY ID: 44017276
36. Буйневич М.В., Владыко А.Г., Израилов К.Е., Щербаков О.В. Архитектурные уязвимости моделей телекоммуникационных сетей // Научно-аналитический журнал «Вестник Санкт-Петербургского университета Государственной противопожарной службы МЧС России». 2015. № 4. С. 86-93. eLIBRARY ID: 25294888
37. Израилов К.Е. Модель прогнозирования угроз телекоммуникационной системы на базе искусственной нейронной сети // Вестник ИНЖЭКОНа. Серия: Технические науки. 2012. № 8 (59). С. 150‑153. eLIBRARY ID: 18244835
38. Израилов К.Е., Васильева А.Ю. Язык описания модели безопасности телекоммуникационной сети // Новые информационные технологии и системы (НИТиС-2012): труды X Международной научно-технической конференции. Пенза. 2012. С. 272-275. eLIBRARY ID: 28771694
39. Буйневич М.В., Израилов К.Е., Щербаков О.В. Структурная модель машинного кода, специализированная для поиска уязвимостей в программном обеспечении автоматизированных систем управления // Проблемы управления рисками в техносфере. 2014. № 3(31). С. 68-74. eLIBRARY ID: 22553713
40. Буйневич М.В., Израилов К.Е., Щербаков О.В. Модель машинного кода, специализированная для поиска уязвимостей // Вестник Воронежского института ГПС МЧС России. 2014. № 2 (11). С. 46-51. eLIBRARY ID: 21574302
41. Буйневич М.В., Израилов К.Е. Аналитическое моделирование работы программного кода с уязвимостями // Вопросы кибербезопасности. 2020. № 3 (37). С. 2-12. DOI: 10.21681/2311-3456-2020-03-02-12
42. Израилов К.Е. Система критериев оценки способов поиска уязвимостей и метрика понятности представления программного кода // Информатизация и связь. 2017. № 3. С. 111-118. eLIBRARY ID: 29108491