Аудит безопасности критической инфраструктуры специальными информационными воздействиями

С.И. Макаренко 
 
 
Аудит безопасности 
критической инфраструктуры 
специальными информационными 
воздействиями 
 
 
 
 
Монография 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Санкт-Петербург 
Наукоемкие технологии 
2018 
 

УДК 004.056 
ББК 32.81 
M15 
 
 
 
 
 
 
 
 
 
 
 
 
 
M15 Макаренко С.И. 
Аудит 
безопасности 
критической 
инфраструктуры 
специальными 
информационными воздействиями. Монография. – СПб.: Наукоемкие 
технологии, 2018. – 122 с. 
 
ISBN 978-5-6041427-8-3 
 
В монографии представлен авторский подход к систематизации основных 
сведений об этапах, теоретических и практических подходах к аудиту информационной безопасности критической информационной инфраструктуры. На 
основе этой систематизации сформирован оригинальный подход к тестированию информационных систем, как одного из основных типов аудита, в том 
числе с учетом возможности использования специальных способов и средств на 
основе информационно-технических и информационно-психологических воздействий. 
Материалы работы могут помочь аудиторам информационной безопасности сформировать новые способы выявления уязвимостей в объектах аудита, а 
разработчикам средств и способов информационных воздействий, методически 
правильно скорректировать полученные ими научные и практические результаты с целью приведения их в соответствие с научными специальностями 
05.13.19 «Методы и системы защиты информации, информационная безопасность» и 19.00.03 «Психология труда, инженерная психология, эргономика». 
 
© Макаренко С.И., 2018. 
© Наукоемкие технологии, 2018. 
 
Научное издание. 
Напечатано с оригинал-макета, подготовленного автором. 
УДК 004.056 
ББК 32.81 
Рецензенты: 
Климов С. М., доктор технических наук, профессор; 
Марков А. С., доктор технических наук, старший научный сотрудник; 
Михайлов Р. Л., кандидат технических наук; 
Саенко И. Б., доктор технических наук, профессор; 
Сергеев С. Ф., доктор психологических наук, профессор. 
 
ISBN 978-5-6041427-8-3 

С чувством глубокой благодарности посвящаю свою работу моим учителям, которые способствовали моему научному 
становлению и росту, а также определили направления моих исследований: 
 
учителю математики гимназии № 25 
г. Ставрополя 
Юлии Марковне Кудриной; 
 
кандидату технических наук доценту 
Александру Васильевичу Кихтенко; 
 
кандидату технических наук профессору 
Анатолию Вячеславовичу Баженову; 
 
доктору технических наук профессору 
Владимиру Ильичу Владимирову; 
 
доктору технических наук профессору 
Александру Григорьевичу Ломако; 
 
доктору военных наук профессору 
Юрию Ивановичу Стародубцеву. 
 
С.И. Макаренко 
 
 

Оглавление 
 
ВВЕДЕНИЕ ................................................................................................................. 7 
1. АУДИТ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ ......................................................................................................................... 13 
1.1. Особенности проведения аудита критической информационной 
инфраструктуры ........................................................................................................ 13 
1.2. Определение аудита информационной безопасности ................................... 15 
1.3. Цели и задачи аудита ........................................................................................ 16 
1.4. Этапы проведения аудита ................................................................................. 17 
1.4. Схема проведения аудита ................................................................................. 17 
1.5. Общие подходы к проведению аудита ............................................................ 19 
1.5.1. Практические подходы к проведению аудита ......................................... 20 
1.5.2. Теоретические подходы к проведению аудита ....................................... 22 
1.6. Классификация аудита ...................................................................................... 24 
Выводы по первой главе .......................................................................................... 29 
2. ТЕСТИРОВАНИЕ КАК ОДИН ИЗ ОСНОВНЫХ ТИПОВ АУДИТА 
КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ ...................... 30 
2.1. Тестирование: определение, требования, классификация ............................ 30 
2.2. Тестирование на основе моделей ..................................................................... 35 
2.3. Тестирование специальными средствами и способами информационных воздействий .......................................................................................... 37 
2.4. Особенности тестирования критической инфраструктуры информационными воздействиями в технической и в психологических 
сферах ........................................................................................................................ 40 
Выводы по второй главе .......................................................................................... 42 
3. ТЕСТИРОВАНИЕ КРИТИЧЕСКОЙ ИНФРАСТРУКТУРЫ СПЕЦИАЛЬНЫМИ ИНФОРМАЦИОННО-ТЕХНИЧЕСКИМИ ВОЗДЕЙСТВИЯМИ ................................................................................................................ 43 
3.1. Общая классификация информационно-технических воздействий ............ 43 
3.2. Оборонительные информационно-технические воздействия ...................... 45 
3.3. Обеспечивающие информационно-технические воздействия ..................... 46 
3.3.1. Техническая разведка ................................................................................. 47 
3.3.2. Компьютерная разведка ............................................................................. 49 
3.3.3. Разведка по открытым источникам .......................................................... 53 

3.4. Атакующие информационно-технические воздействия ............................... 55 
3.4.1. Классификация атакующих информационно-технических воздействий ................................................................................................................ 55 
3.4.2. Удаленные сетевые атаки .......................................................................... 57 
3.4.3. Компьютерные вирусы .............................................................................. 59 
3.4.4. Программные закладки .............................................................................. 60 
3.4.5. Аппаратные закладки ................................................................................. 62 
3.5. Классификация основных средств информационно-технических 
воздействий ............................................................................................................... 64 
Выводы по третьей главе ......................................................................................... 66 
4. ТЕСТИРОВАНИЕ КРИТИЧЕСКОЙ ИНФРАСТРУКТУРЫ СПЕЦИАЛЬНЫМИ ИНФОРМАЦИОННО-ПСИХОЛОГИЧЕСКИМИ ВОЗДЕЙСТВИЯМИ ........................................................................................................ 68 
4.1. Общее понятие об информационно-психологическом воздействии ........... 68 
4.2. Общая классификация информационно-психологических воздействий .................................................................................................................... 73 
4.4. Информационные воздействия ........................................................................ 76 
4.4.1. Средства информационного воздействия ................................................ 77 
4.4.2. Способы информационных воздействий ................................................. 78 
4.4.2.1. Стратегии информационный воздействий ....................................... 78 
4.4.2.2. Тактические приемы информационных воздействий ..................... 79 
4.4.2.3. Основные нарушения информационной безопасности на 
которые ориентированы информационные воздействия ............................. 80 
4.4.2.4. Базовые информационные воздействия ............................................ 81 
4.4.2.5. Способы подачи информации, направленные на повышение эффективности ее усвоения ..................................................................... 85 
4.4.2.6. Манипулятивные ситуации, направленные на навязывание объекту «правильного» восприятия информации или определенного сценария поведения ....................................................................... 90 
4.5. Лингвистические воздействия ......................................................................... 93 
4.6. Психотронные воздействия .............................................................................. 93 
4.6.1. Генераторы электромагнитных излучений ............................................. 93 
4.6.2. Генераторы инфразвука и ультразвука .................................................... 94 
4.6.3. Лазерные излучатели ................................................................................. 95 
4.6.4. Световые излучатели ................................................................................. 95 

4.6.5. Компьютерные технологии ....................................................................... 95 
4.7. Психофизические воздействия ........................................................................ 96 
4.7.1. Средства и способы предъявления неосознаваемой акустической информации .......................................................................................... 96 
4.7.2. Средства предъявления неосознаваемой зрительной информации ..................................................................................................................... 97 
4.7.3. Средства предъявления неосознаваемой комбинированной 
информации........................................................................................................... 97 
4.8. Психотропные воздействия .............................................................................. 97 
4.9. Сомато-психологические воздействия ............................................................ 98 
Выводы по четвертой главе ..................................................................................... 99 
ЗАКЛЮЧЕНИЕ ...................................................................................................... 101 
СПИСОК ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ ................................................. 102 
ГЛОССАРИЙ ТЕРМИНОВ И ОПРЕДЕЛЕНИЙ ................................................ 103 
ЛИТЕРАТУРА ........................................................................................................ 114 
 

Введение 
Один торговец, нахваливая свой товар 
покупателю, говорил: «Мои щиты не пробьет ни один меч! Мои мечи пробьют любой щит!». На это покупатель ему ответил: «Зачем мне нужен твой щит, если он 
не защитит от твоего меча? И зачем мне 
нужен твой меч, если он не пробьет 
твоего щита?» 
Современное развитие информационных систем, их революционное 
внедрение в различные сферы повседневной жизни остро ставят вопросы обеспечения информационной безопасности (ИБ). Одной из составляющих процесса всестороннего обеспечения ИБ является аудит информационных систем. 
Именно аудит позволяет оценить правильность и адекватность принимаемых 
мер защиты, внедрения новых способов и средств обеспечения ИБ, и в итоге – 
дать окончательную оценку достигаемому уровню защищенности. 
В настоящее время имеется значительное количество работ, посвященных аудиту ИБ. Однако в подавляющем большинстве этих работ аудит рассматривается как процесс проверки информационных систем на соответствие 
заранее определенным требованиям ИБ. Вместе с тем, требования по ИБ, как 
правило, формулируется по итогам анализа инцидентов, что приводит к тому, 
что они регулярно отстают от современных возможностей и практики действий 
нарушителей. Более того, существующая практика проведения аудита зачастую 
не предусматривает использование для проверки защищенности информационных систем известных способов, средств и сценариев действий реальных нарушителей. Незначительное количество работ, посвященных вопросам экспериментального тестирования реальных информационных систем, рассматривают 
такие способы и сценарии исключительно как «тестирование на проникновение» или как «инструментальный аудит», при этом проведение такого типа 
аудита не регламентируется каким-либо системным или хотя бы общетеоретическим подходом. Таким образом, существующий уровень развития теории и 
практики аудита защищённости информационных систем не предполагает проведение полномасштабных экспериментальных исследований анализируемой 
системы путем применения тестовых информационных воздействий, аналогичных тем, которые применяют реальные нарушители. 
Серьезнее дело обстоит, когда речь идет о критической информационной 
инфраструктуре государства. В большинстве технически развитых стран мира 
уже сформированы силы информационных операций («кибервойска»), одной из 
задач которых является целенаправленное нарушение функционирования критической информационной инфраструктуры (КИИ) стран-противников. В этом 
случае уже нельзя говорить о неких одиночных «нарушителях», а необходимо 
рассматривать такие «кибервойска» как высокоразвитого и технически подготовленного «противника», который с началом военных действий будет проводить непрерывные изощренные атаки в информационном пространстве, без 

оглядки на бескомпроматность и используя весь возможный арсенал доступных 
средств и способов информационного воздействия. В таких условиях уровень 
защищенности КИИ государства, оцененной по стандартам ИБ, ориентированным на отдельных «нарушителей», может оказаться чрезмерно завышенным, а 
реальное состояние защищенности КИИ – недостаточным для устойчивого 
функционирования этой инфраструктуры в условиях целенаправленных информационных воздействий. Подводя итог, можно сделать вывод о том, что 
перспективным направлением аудита КИИ является ее экспериментальная проверка путем тестирования целенаправленными информационными воздействиями, аналогичными тем, которые будут применяться потенциальным противником. 
Цель работы – систематизировать основные сведения об этапах, теоретических и практических подходах к аудиту ИБ объектов КИИ, и на их основе 
сформировать оригинальный подход к тестированию информационных систем, 
как одного из основных типов их аудита, в том числе с учетом возможности 
использования специальных способов и средств на основе информационнотехнических (ИТВ) и информационно-психологических воздействий (ИПВ). 
Именно этот авторский подход и отличает данную работу от других работ по 
тематике аудита ИБ. 
Дополнительно хотелось бы отметить и еще один, методический аспект 
данной работы. К сожалению, разработка способов и средств информационных 
воздействий, семантически, в явном виде не укладывается в текущие формулировки паспортов научных специальностей 05.13.19 «Методы и системы защиты 
информации, информационная безопасность» и 19.00.03 «Психология труда, 
инженерная психология, эргономика». Автору хотелось бы обратить внимание 
на то, что разработка ИТВ и ИПВ с акцентом на их применимость именно для 
аудита информационных систем с учетом рассмотрения последних как сложных человеко-технических или организационно-технических систем, соответствует паспортам вышеуказанных специальностей. Таким образом, представленные в данной работе материалы должны помочь специалистам, которые занимаются вопросами разработки средств и способов информационных воздействий, методически правильно скорректировать полученные ими научные и 
практические результаты с целью приведения их в соответствие с научными 
специальностями 05.13.19 и 19.00.03. 
В основу монографии положено развитие более ранних работ автора  
[1-3], а также известные работы в области аудита ИБ [4-12]. С учетом того, что 
акцент в данной работе сделан именно на аудит специальными информационными воздействиями, автором глубоко изучались и использовались работы, посвященные практическому тестированию систем на проникновение и так называемому инструментальному аудиту [13-17, 83-87, 97, 105, 108-118]. Кроме того, для рассмотрения относительно новой области аудита ИБ путем тестирования персонала ИПВ автором использовались работы [49-67, 73-78, 80-82, 124]. 
Дополнительно, для уточнения отдельных частных вопросов аудита ИБ автором были использованы работы [88-96, 98-104, 106, 107, 199-123]. 

В первой главе монографии – «Аудит критической информационной инфраструктуры» – показано, что аудит является важной формой контроля и проверки состояния ИБ. Такой контроль позволяет проверить адекватность выбранных мер и средств защиты, а также выявить уязвимости в существующих 
информационных системах. Выявлено, что объекты КИИ являются основными 
целями для воздействия со стороны сил информационных операций недружественных стран. Эти силы обладают высоким уровнем технических, организационных, временных и других возможностей для проведения профессиональных ИТВ и ИПВ против объектов КИИ. В связи с этим, субъекты таких воздействий в моделях ИБ нельзя рассматривать как «нарушителей», а необходимо 
рассматривать их как «противников». В настоящее время основными подходами к проведению аудита ИБ являются анализ рисков и анализ соответствия требованиям стандартов ИБ. В таких условиях уровень защищенности КИИ государства, оцененной по стандартам ИБ, ориентированным на отдельных «нарушителей», может оказаться чрезмерно завышенным, а реальное состояние защищенности КИИ – недостаточным для устойчивого функционирования этой 
инфраструктуры в условиях целенаправленных информационных воздействий. 
При этом перспективным направлением аудита ИБ объектов КИИ является ее 
экспериментальная проверка путем тестирования специальными информационными воздействиями, аналогичными тем, которые будут применяться потенциальным противником по сценариям проведения реальных информационных 
операций. 
Во второй главе – «Тестирование как один из основных типов аудита 
критической информационной инфраструктуры» – показано, что тестирование 
является одним из типов проведения аудита, которое, однако, является недостаточно изученной теоретической областью. При этом тестирование, является более гибким инструментом аудита чем, например, мероприятия оценки соответствия, так как его проведение не ограниченно рамками действующих стандартов и регламентов. Это позволяет выбирать более широкий диапазон средств и 
способов тестирования, а также быть более избирательным в направлении достижения цели аудита. Например, проводить тестовое исследование объектов 
КИИ к угрозам и выявлять уязвимости, еще не описанные в базах угроз и уязвимостей. При тестировании объектов КИИ целесообразно сформировать и 
придерживаться системного подхода к проведению тестирования специальными средствами и способами ИТВ и ИПВ. При этом такое тестирование необходимо рассматривать как основную форму контроля устойчивости объектов 
КИИ к целенаправленным воздействиям сил информационных операций недружественных стран. «Тестирование на основе моделей» является теоретической формой проведения тестирования объектов КИИ и обоснования соответствующего инструментария для проведения экспериментальных исследований 
информационных воздействий. Средства и способы специальных ИТВ и ИПВ, 
используемые на практике в соответствующих экспериментальных исследованиях, относятся к прикладному инструментарию тестирования объектов КИИ. 
При проведении тестирования объекты КИИ могут быть формализованы в виде 
организационно-технических систем, каждая из которых декомпозируется на 

информационно-организационную подсистему (которую составляют персонал, 
операторы, лица, принимающие решения, и т. д.) и информационнотехническую подсистему (которая включает в себя технические средства обеспечения ИБ). Тестирование уровня ИБ информационно-технической подсистемы целесообразно проводить специальными ИТВ, а тестирование информационно-организационной подсистемы – специальными ИПВ. 
В третьей главе монографии – «Тестирование критической инфраструктуры специальными информационно-техническими воздействиями» – показано, 
что для аудита уровня защищенности объектов КИИ в технической сфере может быть использовано тестирование аппаратно-программных средств КИИ путем воздействия на них специальными средствами и способами ИТВ. При этом 
данные средства и способы ИТВ, а также сценарий их применения должен соответствовать тем средствам и способам ИТВ, а также тем сценариям, которые 
предполагаются к применению потенциальным противником. Средства и способы специальных ИТВ, предназначенные для тестирования объектов КИИ, 
могут быть классифицированы на: оборонительные, обеспечивающие и атакующие. В рамках тестирования объектов КИИ должны реализовываться сценарии поэтапного интегрального применения указанных типов ИТВ для всеобъемлющего анализа аппаратно-программной инфраструктуры объектов КИИ, 
вскрытия ее уязвимостей в технической сфере, а также для формирования 
предложений по модернизации оборонительных средств и способов ИТВ, повышающих устойчивость объектов КИИ в условиях ведения информационного 
противоборства. В настоящее время оборонительные средства (средства антивирусной защиты, системы обнаружения и предотвращения вторжений, средства криптографической защиты и т. д.) в подавляющем числе работ рассматриваются как основной элемент обеспечения ИБ, но не как средства оборонительных ИТВ. Вместе с тем, на взгляд автора, оборонительные средства ИТВ 
должны рассматриваться не как самодостаточные, а как важная, но при этом, 
только составная часть системы защиты КИИ, которые должны действовать 
совместно с обеспечивающими и атакующими средствами ИТВ, использующимися для тестирования эффективности обороны. В идеальном случае, оборонительные, обеспечивающие и атакующие ИТВ должны быть интегрированы в 
единый комплекс тестирования защищенности КИИ. 
В четвертой главе – «Тестирование критической инфраструктуры специальными информационно-психологическими воздействиями» – показано, что 
для аудита уровня защищенности объектов КИИ в организационной и психологической сферах может использоваться тестирование отдельных лиц и персонала КИИ путем воздействия на них специальных средств и способов ИПВ. При 
чем, данные средства и способы ИПВ, а также сценарий их применения должны соответствовать тем средствам, способам и сценариям, которые предполагаются к применению против персонала КИИ со стороны потенциального противника. Средства и способы специальных ИПВ, предназначенные для тестирования объектов КИИ, целесообразно классифицировать на информационные, 
лингвистические, психотронные, психофизические, психотропные и соматопсихологические. В рамках тестирования объектов КИИ должны реализовы