tuzsutТруды учебных заведений связиProceedings of Telecommunication Universities1813-324X2712-8830СПбГУТ10.31854/1813-324X-2021-7-1-94-104tuzsut-156Research ArticleИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕINFORMATICS, COMPUTER ENGINEERING AND MANAGEMENTМодель аудита защищенности объекта критической информационной инфраструктуры тестовыми информационно-техническими воздействиямиModel of Security Audit of a Critical Information Infrastructure Object with Use the Test Cyber Attackshttps://orcid.org/0000-0001-9385-2074МакаренкоС. И.MakarenkoS.mak-serg@yandex.ruСмирновГ. Е.SmirnovG.Санкт-Петербургский федеральный исследовательский центр Российской академии наук; Санкт-Петербургский государственный электротехнический университет "ЛЭТИ" им. В.И. Ульянова (Ленина)РоссияSaint-Petersburg Federal Research Center of the Russian Academy of Sciences; Saint-Petersburg Electrotechnical University "LETI"Russian FederationСанкт-Петербургский государственный электротехнический университет "ЛЭТИ" им. В.И. Ульянова (Ленина); ООО «Корпорация «Интел групп»РоссияSaint-Petersburg Electrotechnical University "LETI"; Intel Group ltdRussian Federation2021180420217194104Copyright © Макаренко С.И., Смирнов Г.Е., 20212021Макаренко С.И., Смирнов Г.Е.Makarenko S., Smirnov G.This work is licensed under a Creative Commons Attribution 4.0 License.https://tuzs.sut.ru/jour/article/view/156

В статье представлена модель аудита защищенности объекта критической информационной инфраструктуры тестовыми информационно-техническими воздействиями. Данная модель формализует процесс аудита объекта в виде многоуровневой топологической модели, отдельные уровни которой соответствуют: затратам ресурса на проведение воздействий, тестовым информационно-техническими воздействиям, уязвимостям, элементам объекта и уровням ущерба. Использование этой модели в практике аудита позволит обосновать наиболее эффективные воздействия по критерию «эффективность/стоимость», а также сформировать тестовые наборы, которые обеспечат рациональную полноту аудита объекта критической инфраструктуры. 

 The article presents a model for auditing the security of a critical information infrastructure object by test information and technical influences. This model formalizes an object in the form audit process of a multilevel topological model, the individual levels of which correspond to: resource costs for impacts, test information and technical impacts, vulnerabilities, object elements and damage levels. The use of this model in audit practice will make it possible to substantiate the most effective impacts on the basis of the “efficiency / cost” criterion, as well as form test suites that will ensure the rational completeness of the audit of a critical infrastructure facility. 

критическая информационная инфраструктуратестирование на проникновениеаудит информационной безопасностиинформационно-техническое воздействиеcritical information infrastructurepenetration testingsecurity auditcyber attackReferencesМакаренко С.И. Аудит информационной безопасности: основные этапы, концептуальные основы, классификация мероприятий // Системы управления, связи и безопасности. 2018. № 1. С. 1‒29. DOI:10.24411/24109916-2018-10101Makarenko S.I. Audit of Information Security - the Main Stages, Conceptual Framework, Classification of Types. Systems of Control, Communication and Security. 2018;1:1-29 (in Russ.) DOI:10.24411/2410-9916-2018-10101Макаренко С.И. Аудит безопасности критической инфраструктуры специальными информационными воздействиями. Монография. СПб.: Наукоемкие технологии, 2018. 122 с.Makarenko S.I. Security audit of critical infrastructure with special information impacts. Monograph. Saint Petersburg: Naukoemkie tehnologii Publ.; 2018. 122 p. (in Russ.)Кашаев Т.Р. Алгоритмы активного аудита информационной системы на основе технологий искусственных иммунных систем. Автореф. дис. … канд. техн. наук. Уфа: УГАТУ, 2008. 19 с.Kashaev T.R. Algorithms for Active Audit of the Information System Based on Artificial Immune System Technologies. PhD Thesis. Ufa: Ufa State Aviation Technical University Publ.; 2008. 19 p. (in Russ.)Марков А.С., Цирлов В.Л., Барабанов А.В. Методы оценки несоответствия средств защиты информации. М.: Радио и связь, 2012. 192 с.Markov A.S., Tsirlov V.L., Barabanov A.V. Methods of Compliance of Information Security. Moscow: Radio i Sviaz Publ.; 2012. 192 p. (in Russ.)Скабцов Н. Аудит безопасности информационных систем. СПб.: Питер, 2018. 272 с.Skabtsov N. Security Audit of Information Systems. Saint Petersburg: Piter Publ.; 2018. 272 p. (in Russ.) 6. Penetration Testing. Procedures & Methodologies. EC-Council Press; 2011. 237 p.Penetration Testing. Procedures & Methodologies. EC-Council Press, 2011. 237 p.Kennedy D., O’Gorman J., Kearns D., Aharoni M. Metasploit. The Penetration Tester’s Guide. San Francisco: No Starch Press; 2011. 299 p.Kennedy D., O’Gorman J., Kearns D., Aharoni M. Metasploit. The Penetration Tester’s Guide. San Francisco: No Starch Press, 2011. 299 p.Makan K. Penetration Testing with the Bash shell. Birmingham: Pact Publishing; 2014. 133 p.Makan K. Penetration Testing with the Bash shell. Birmingham: Pact Publishing, 2014. 133 p.Cardwell K. Building Virtual Pentesting Labs for Advanced Penetration Testing. Birmingham: Pact Publishing; 2016. 518 p.Cardwell K. Building Virtual Pentesting Labs for Advanced Penetration Testing. Birmingham: Pact Publishing, 2016. 518 p.Makarenko S.I. Information Weapon in Technical Area – Terminology, Classification and Examples. Systems of Control, Communication and Security. 2016;3:292-376. (in Russ.) DOI:10.24411/2410-9916-2016-10311Макаренко С.И. Информационное оружие в технической сфере: терминология, классификация, примеры // Системы управления, связи и безопасности. 2016. № 3. С. 292‒376. DOI:10.24411/2410-9916-2016-10311Makarenko S.I. Problems and Prospects for the Use of Cyber Weapons in Today's Network-Centric Warfare. Specialized Machinery and Communication. 2011;3:41‒47. (in Russ.)Макаренко С.И. Проблемы и перспективы применения кибернетического оружия в современной сетецентрической войне // Спецтехника и связь. 2011. № 3. С. 41‒47.Makarenko S.I., Smirnov G.E. Analysis of Penetration Testing Standards and Methodologies. Systems of Control, Communication and Security. 2020;4:44‒72. (in Russ.) DOI:10.24411/2410-9916-2020-10402Макаренко С.И., Смирнов Г.Е. Анализ стандартов и методик тестирования на проникновение // Системы управления, связи и безопасности. 2020. № 4. С. 44‒72. DOI:10.24411/2410-9916-2020-10402Klimov S.M. Imitating Models of Testing the Critically Important Information Objects in the Conditions of Computer Attacks. Izvestiya SFedU. Engineering Sciences. 2016;181(8):27‒36. (in Russ.)Климов С. М. Имитационные модели испытаний критически важных информационных объектов в условиях компьютерных атак // Известия ЮФУ. Технические науки. 2016. № 8(181). С. 27‒36.Klimov S.M., Sychev M.P. Poster polygon for training and testing facilities in the field of information security. Information counteraction to the terrorism threats. 2015;24:206‒213. (in Russ.)Климов С.М., Сычёв М.П. Стендовый полигон учебно-тренировочных и испытательных средств в области обеспечения информационной безопасности // Информационное противодействие угрозам терроризма. 2015. № 24. С. 206‒213.Petrenko A.A., Petrenko S.A. Cyber education: methodical recommendations ENISA. Voprosy kiberbezopasnosti. 2015;11(3):2‒14. (in Russ.)Петренко А.А., Петренко С.А. Киберучения: методические рекомендации ENISA // Вопросы кибербезопасности. 2015. № 3(11). С. 2‒14.Boyko A.A., Djakova A.V. Method of Developing Test Remote Information-Technical Impacts on Spatially Distributed Systems of Information-Technical Tools. Informatsionno-upravliaiushchie sistemy. 2014;70(3):84‒92. (in Russ.)Бойко А.А., Дьякова А.В. Способ разработки тестовых удаленных информационно-технических воздействий на пространственно распределенные системы информационно-технических средств // Информационно-управляющие системы. 2014. № 3(70). С. 84‒92.Boyko A.A., Djakova A.V. Hramov V.Ju. Methodological Approach to the Development of Test Methods for Remote Information Technology Impact on Spatially Distributed Systems of Information Technology Tools. Cybernetics and high technologies of the XXI century XV international scientific and technical conference. Voronezh: SAKVOEE Publ.; 2014. p.386‒395 (in Russ.)Бойко А.А., Дьякова А.В., Храмов В.Ю. Методический подход к разработке тестовых способов удаленного информационно-технического воздействия на пространственно распределенные системы информационнотехнических средств // Кибернетика и высокие технологии XXI века XV Международная научно-техническая конференция. Воронеж: НПФ «САКВОЕЕ», 2014. С. 386‒395.Boyko A.A., Obushenko E.Y., Shcheglov A.V. About synthesis of a full set of test methods of remote information-technical impacts on spatially distributed systems of information-technical tools. Proceedings of Voronezh State University. Series: Systems analysis and information technologies. 2017;2:33‒45. (in Russ.)Бойко А.А., Обущенко Е.Ю., Щеглов А.В. Особенности синтеза полного множества тестовых способов удаленного информационно-технического воздействия на пространственно распределенные системы информационно-технических средств // Вестник Воронежского государственного университета. Серия: Системный анализ и информационные технологии. 2017. № 2. С. 33‒45.Baranova E.K., Hudyshkin A.A. Features of Information System Security Analysis by Penetration Testing. Proceedings of the international scientific school on Modeling and analysis of security and risk in complex systems, MABR-2015]. 2015. p.200‒205 (in Russ.)Баранова Е.К., Худышкин А.А. Особенности анализа безопасности информационных систем методом тестирования на проникновение // Моделирование и анализ безопасности и риска в сложных системах. Труды международной научной школы МАБР. 2015. С. 200‒205.Baranova E.K., Chernova M.V. Comparative analysis of programming tools for cybersecurity risk assessment. Information Security Problems. Computer Systems. 2014;4:160‒168 (in Russ.)Баранова Е.К., Чернова М.В. Сравнительный анализ программного инструментария для анализа и оценки рисков информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. 2014. № 4. С. 160‒168.Begaev A.N., Begaev S.N., Fedotov V.A. Penetration testing. Saint Petersburg: Saint Petersburg National Research University of Information Technologies Mechanics and Optics Publ.; 2018. 45 p. (in Russ.)Бегаев А.Н., Бегаев С.Н., Федотов В.А. Тестирование на проникновение. СПб: Университет ИТМО, 2018. 45 с.Bogoras A.G., Peskova O.Y. Methodology for testing and assessment of firewalls. Izvestiya SFedU. Engineering Sciences. 2013;149(12):148‒156. (in Russ.)Богораз А.Г., Пескова О.Ю. Методика тестирования и оценки межсетевых экранов // Известия ЮФУ. Технические науки. 2013. № 12(149). С. 148‒156.Dorofeev A. Penetration Testing: Demonstration of One Vulnerability or an Objective Security Assessment? Zaŝita informacii. Inside. 2010;36(6):72‒73. (in Russ.)Дорофеев А. Тестирование на проникновение: демонстрация одной уязвимости или объективная оценка защищенности? // Защита информации. Инсайд. 2010. № 6(36). С. 72‒73.Umnitsyn M.Y. Approach to semi-natural security evaluation of information system. Izvestia VSTU. 2018;218(8): 112‒116 (in Russ.)Умницын М.Ю. Подход к полунатурному анализу защищенности информационной системы // Известия Волгоградского государственного технического университета. 2018. № 8(218). С. 112‒116.Borodin M. K., Borodina P. Ju. VGATE R2 Information Security Penetration Testing. Regional'naja informatika i informacionnaja bezopasnost [Regional Informatics and information security]. Saint Petersburg, 2017. p.264‒268 (in Russ.)Бородин М.К., Бородина П.Ю. Тестирование на проникновение средства защиты информации VGATE R2 // Региональная информатика и информационная безопасность. СПб., 2017. С. 264‒268.Poltavtseva M.A., Pechenkin A.I. Data mining methods in penetration tests decision support system. Information Security Problems. Computer Systems. 2017;3:62‒69. (in Russ.)Полтавцева М.А., Печенкин А.И. Интеллектуальный анализ данных в системах поддержки принятия решений при тестировании на проникновение // Проблемы информационной безопасности. Компьютерные системы. 2017. № 3. С. 62‒69.Kadan A.M., Doronin A.K. Cloud infrastructure solutions for penetration testing. Uchenye zapiski ISGZ. 2016;14(1): 296‒302. (in Russ.) 28. Eremenko N.N., Kokoulin A.N. Research of methods of penetration testing in information systems. Master's Journal. 2016;2:181‒186 (in Russ.)Кадан А.М., Доронин А.К. Инфраструктурные облачные решения для задач тестирования на проникновение // Ученые записки ИСГЗ. 2016. Т. 14. № 1. С. 296‒302.Tumanov S.A. Penetration testing tools for information systems. Proceedings of Tomsk State University of Control Systems and Radioelectronics. 2015;36(2):73‒79. (in Russ.)Еременко Н.Н., Кокоулин А.Н. Исследование методов тестирования на проникновение в информационных системах // Master's Journal. 2016. № 2. С. 181‒186.Kravchuk A. V. The model of process of remote security analysis of information systems and methods of improving it's performance. SPIIRAS Proceedings. 2015;38(1):75‒93. (in Russ.)Туманов С.А. Средства тестирования информационной системы на проникновение // Доклады Томского государственного университета систем управления и радиоэлектроники. 2015. № 2 (36). С. 73‒79.Gorbatov V.S., Meshcheryakov A.A. Comparative analysis of computer network security scanners. IT Security. 2013;20(1):43‒48. (in Russ.)Кравчук А.В. Модель процесса удаленного анализа защищенности информационных систем и методы повышения его результативности // Труды СПИИРАН. 2015. № 1(38). С. 75‒93.Pfleeger C.P., Pfleeger S.L., Theofanos M.F. A methodology for penetration testing. Computers & Security. 1989;8(7): 613‒620.Горбатов В.С., Мещеряков А.А. Сравнительный анализ средств контроля защищенности вычислительной сети // Безопасность информационных технологий. 2013. Т. 20. № 1. С. 43‒48.McDermott J. P. Attack net penetration testing. NSPW. 2000:15‒21.Pfleeger C.P., Pfleeger S.L., Theofanos M.F. A methodology for penetration testing // Computers & Security. 1989. Т. 8. № 7. С. 613‒620.Alisherov F., Sattarova F. Methodology for penetration testing. International Journal of Grid and Distributed Computing. 2009:43‒50.McDermott J. P. Attack net penetration testing // NSPW. 2000. С. 15‒21.Ami P., Hasan A. Seven phrase penetration testing model. International Journal of Computer Applications. 2012;59(5):16‒20.Alisherov F., Sattarova F. Methodology for penetration testing // International Journal of Grid and Distributed Computing. 2009. С. 43‒50.Holik F., Horalek J., Marik O., Neradova S., Zitta S. Effective penetration testing with Metasploit framework and methodologies. 2014 IEEE 15th International Symposium on Computational Intelligence and Informatics (CINTI). IEEE; 2014. p.237‒242. DOI:10.1109/CINTI.2014.7028682Ami P., Hasan A. Seven phrase penetration testing model // International Journal of Computer Applications. 2012. Т. 59. № 5. С. 16‒20.Herzog P. Open-source security testing methodology manual. Institute for Security and Open Methodologies (ISECOM). 2003. Available from: https://untrustednetwork.net/files/osstmm.en.2.1.pdf [Accessed 12th February 2021]Holik F., Horalek J., Marik O., Neradova S., Zitta S. Effective penetration testing with Metasploit framework and methodologies // Proceedings of the 15th International Symposium on Computational Intelligence and Informatics (CINTI). IEEE, 2014. PP. 237‒242. DOI:10.1109/CINTI.2014.7028682Makarenko S.I. Stability method of telecommunication network with using topological redundancy. Systems of Control, Communication and Security. 2018;3:14‒30. (in Russ.) DOI:10.24411/2410-9916-2018-10302Herzog P. Open-source security testing methodology manual // Institute for Security and Open Methodologies (ISECOM). 2003. URL: https://untrustednetwork.net/files/osstmm.en.2.1.pdf (дата обращения 12.02.2021)Tsvetcov K.U., Makarenko S.I., Mikhailov R.L. Forming of Reserve Paths Based on Dijkstra‘s Algorithm in the Aim of the Enhancement of the Stability of Telecommunication Networks. Informatsionno-upravliaiushchie sistemy. 2014:69(2):71–78. (in Russ.)Макаренко С.И. Метод обеспечения устойчивости телекоммуникационной сети за счет использования ее топологической избыточности // Системы управления, связи и безопасности. 2018. № 3. С. 14‒30. DOI: 10.24411/24109916-2018-10302Makarenko S.I., Kvasov M.N. Modified Bellman-Ford Algorithm with Finding the Shortest and Fallback Paths and its Application for Network Stability Improvement. Infocommunikacionnye tehnologii. 2016;14(3):264–274. (in Russ.) DOI:10.18469/ikt.2016.14.3.06Цветков К.Ю., Макаренко С.И., Михайлов Р.Л. Формирование резервных путей на основе алгоритма Дейкстры в целях повышения устойчивости информационно-телекоммуникационных сетей // Информационно-управляющие системы. 2014. № 2(69). С. 71‒78.Makarenko S.I. Hierarchical Clustering of Telecommunication Network to the Independent Routing Areas for the Purposes to Ensure Stability. Proceedings of Telecommunication Universities. 2018;4(4):54-67. (in Russ.) DOI:10.31854/1813324X-2018-4-4-54-67Макаренко С.И., Квасов М.Н. Модифицированный алгоритм Беллмана-Форда с формированием кратчайших и резервных путей и его применение для повышения устойчивости телекоммуникационных систем // Инфокоммуникационные технологии. 2016. Т. 14. № 3. С. 264‒274.Makarenko S.I. Area localization of destabilizing factors influence in communication network on the basis of LanceWilliams algorithm of hierarchical clustering. Radio and telecommunication systems. 2014;4:70‒77. (in Russ.)Макаренко С. И. Обеспечение устойчивости телекоммуникационной сети за счет ее иерархической кластеризации на области маршрутизации // Труды учебных заведений связи. 2018. Т. 4. № 4. С. 54‒67. DOI:10.31854/ 1813-324X-2018-4-4-54-67Avetisyan A.I., Belevantsev A.A., Chucklyaev I.I. The technologies of static and dynamic analyses detecting vulnerabilities of software. Voprosy kiberbezopasnosti. 2014;4(3):20‒28 (in Russ.).Макаренко С.И. Локализация областей воздействия дестабилизирующих факторов в сети связи на основе алгоритма иерархической кластеризации Ланса-Вильямса // Радиотехнические и телекоммуникационные системы. 2014. № 4(16). С. 70‒77.Myasnikov A.V. Building information system model for application in penetration testing automation problem. Information Security Problems. Computer Systems. 2020;3:32‒39 (in Russ.).Аветисян А.И., Белеванцев А.А., Чукляев И.И. Технологии статического и динамического анализа уязвимостей программного обеспечения // Вопросы кибербезопасности. 2014. № 3(4). С. 20‒28.Аветисян А.И., Белеванцев А.А., Чукляев И.И. Технологии статического и динамического анализа уязвимостей программного обеспечения // Вопросы кибербезопасности. 2014. № 3(4). С. 20‒28.Мясников А.В. Построение модели информационной системы для автоматизации тестирования на проникновение // Проблемы информационной безопасности. Компьютерные системы. 2020. № 3. С. 32‒39.Мясников А.В. Построение модели информационной системы для автоматизации тестирования на проникновение // Проблемы информационной безопасности. Компьютерные системы. 2020. № 3. С. 32‒39.

The authors declare that there are no conflicts of interest present.