Способ мониторинга информационной безопасности автоматизированных систем

Изобретение относится к области вычислительной техники и может быть использовано для анализа состояния защищенности и мониторинга информационной безопасности (ИБ) автоматизированных систем (АС), являющихся элементами систем связи и автоматизации.

Под автоматизированной системой понимается система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (ГОСТ 34.003-90. Автоматизированные системы. Основные термины и определения. М., Стандартинформ, 16 с).

Под информационной безопасностью понимается состояние защищенности национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Одной из составляющих ИБ в информационной сфере является защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем как уже развернутых, так и создаваемых (Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. № ПР-1895).

Под нарушением ИБ понимается случайное или преднамеренное неправомерное действие физического лица (субъекта, объекта) в отношении объекта, следствием которых является нарушение безопасности информации при ее обработке техническими средствами в информационных системах, вызывающее негативные последствия (ущерб/вред) (ГОСТ Р 53114-2008. Обеспечение информационной безопасности в организации. Основные термины и определения. М.: Стандартинформ, 2009).

Психофизиологическое состояние (ПФС) обслуживающего персонала любой человеко-машинной системы существенно влияет на уровень безотказности, безошибочности и своевременности рабочих операций (Дружинин. В.Н. Психология. 2-е изд. - СПб.: Питер, 2009. - 656 с.).

Для обеспечения достоверного и полного анализа состояния защищенности АС требуется вариант системы мониторинга ИБ, при котором будут контролироваться все без исключения объекты, средства и параметры АС, оказывающие влияние на состояние защищенности АС. В этом случае обеспечивается выявление всех нарушений информационной безопасности, приводящих к снижению ИБ АС.

Известен способ мониторинга ИБ АС по патенту РФ №2210112 «Унифицированный способ Чернякова/Петрушина для оценки эффективности больших систем», кл. G06F 17/00, заявл. 7.06.2001. Способ заключается в том, что предварительно задают множество контролируемых параметров, характеризующих безопасность АС, эталонные значения контролируемых параметров и их коэффициенты важности, а затем выполняют цикл анализа, для чего измеряют значения контролируемых параметров, сравнивают их с эталонными, а по результатам сравнения формируют отчет и по сформированному отчету принимают решение о безопасности автоматизированной системы.

Недостатком способа является низкая своевременность обнаружения нарушений ИБ АС. В способе для мониторинга ИБ АС используется ограниченное количество ресурсов системы мониторинга, для которых отсутствует определение интервалов времени измерений контролируемых параметров элементов АС.

Наиболее близким по своей технической сущности к заявленному способу является способ мониторинга безопасности АС по патенту РФ №2355024 «Способ мониторинга безопасности автоматизированных систем», кл. G06F 15/00,17/00, заявл. 12.02.2007. Способ-прототип заключается в том, что предварительно задают множество контролируемых параметров, характеризующих безопасность АС, эталонные значения контролируемых параметров и их коэффициенты важности, формируют группы контролируемых параметров, для каждой группы контролируемых параметров задают максимальное и минимальное значения временных интервалов измерений значений контролируемых параметров и момент времени формирования отчета о безопасности АС, устанавливают значение интервала времени измерения контролируемых параметров каждой группы, равным максимальному, а затем выполняют цикл анализа, для чего измеряют значения контролируемых параметров, сравнивают их с эталонными, в случае их совпадения цикл анализа безопасности АС повторяют до наступления момента времени формирования отчета о безопасности АС. При несовпадении измеренных значений параметров с эталонными запоминают их. Корректируют значение временного интервала измерений. Сравнивают откорректированное значение с минимальным. Формируют сигнал тревоги о выходе контролируемых параметров группе за пределы допустимых значений. Блокируют работу элементов АС, параметры которых вышли за пределы допустимых значений, причем в отчет о состоянии АС включают сведения о заблокированных элементах АС.

Недостатком способа-прототипа является низкая своевременность обнаружения нарушений ИБ АС, характеризующаяся значительным количеством элементов АС (автоматизированных рабочих мест) при ограниченном ресурсе системы мониторинга ИБ, который используется без учета всех имеющихся параметров АС, влияющих на время обнаружения нарушений ИБ.

Таким образом, объективной основой для разработки заявленного способа является факт повышения ошибочных действий (совершения нарушений ИБ) оператора при выходе параметров его ПФС за пределы интервала допустимых значений. Это позволяет переходить от равновероятного распределения заданного ограниченного ресурса системы мониторинга ИБ к распределению по объектам АС с большей вероятностью совершения нарушений ИБ.

Техническим результатом заявленного способа является повышение своевременности обнаружения нарушений ИБ за счет учета ПФС операторов АС при определении интервалов времени измерений контролируемых параметров элементов АС.

Технический результат в предлагаемом способе достигается тем, что предварительно задают множество из N≥2, где n=1, 2, …, N, контролируемых параметров, характеризующих информационную безопасность AC, M≥N эталонных значений контролируемых параметров, время измерения контролируемых параметров, измеряют значения контролируемых параметров с заданным интервалом времени, сравнивают измеренные значения контролируемых параметров с эталонными и по результатам сравнения формируют отчет, в который включают сведения об элементах АС, контролируемые параметры которых вышли за пределы допустимых значений, и по сформированному отчету принимают решение о безопасности АС. Дополнительно задают множество из S≥2, где s=1, 2, …, S, контролируемых параметров, характеризующих психофизиологическое состояние оператора. Измеряют до начала работы i-го оператора значения контролируемых параметров, характеризующих его ПФС в нормальном состоянии, S_{эт i}. Воздействуют на i-го оператора с помощью тестовых информационно-психологических воздействий и запоминают интервал допустимых значений параметров ПФС i-го оператора S_{эт i min} и S_{эт i max}, при выходе за рамки которых оператор АС совершает ошибочные действия. Допускают i-го оператора к выполнению функциональных обязанностей. Измеряют значения параметров психофизиологического состояния i-го оператора, сравнивают измеренные значения параметров ПФС оператора с интервалом допустимых отклонений параметров ПФС i-го оператора S_{эт i min}≤S_i≤S_{эт i max}. В случае если они не выходят за пределы допустимого интервала, осуществляют дальнейший контроль ПФС i-го оператора и измерение контролируемых параметров с заданным интервалом измерения контролируемых параметров Δt_мон. В случае выхода хотя бы одного из контролируемых параметров ПФС i-го оператора за пределы интервала допустимых значений S_{эт i min} и S_{эт i max} увеличивают интервал измерения контролируемых параметров элемента АС на величину Δt_кор до достижения оператором нормального ПФС. Формируют отчет об изменениях ПФС каждого оператора за отчетный период.

Проведенный анализ позволил установить, что аналоги, тождественные признакам заявленного способа, отсутствуют, что указывает на соответствие заявленного способа условию патентоспособности «новизна». Введенные отличительные признаки: оценка психофизического состояния оператора, учет влияния психофизического состояния оператора на информационный обмен, изменение времени мониторинга ИБ элементов АС на основе ПФС оператора - в них не встречаются. «Промышленная применимость» заявленного способа обусловлена наличием элементной базы, на основе которой могут быть выполнены средства мониторинга ИБ и контроля психофизического состояния оператора, реализующие данный способ.

Заявленный способ поясняется чертежами, на которых показаны:

Фиг.1. Алгоритм способа мониторинга информационной безопасности АС.

Фиг.2. Схема, поясняющая предлагаемый способ.

Фиг.3. График зависимости количества нарушений ИБ от времени мониторинга.

Реализация заявленного способа поясняется алгоритмом (фиг.1) и объясняется следующим образом.

В блоке 1 задают исходные данные: множество из N≥2, где n=1, 2, …, N, контролируемых параметров, характеризующих информационную безопасность AC, M≥N эталонных значений контролируемых параметров, множество из S≥2, где s=1, 2, …, S, контролируемых параметров, характеризующих психофизиологическое состояние оператора. Измеряют до начала работы i-го оператора значения контролируемых параметров, характеризующих его ПФС в нормальном состоянии, S_{эт i}, (блок 2). В блоке 3 воздействуют на i-го оператора с помощью тестовых информационно-психологических воздействий [Холодный Ю.И. Анализ физиологических реакций, регистрируемых в процессе опроса с использованием полиграфа: практическое пособие. - М.: 1999. - с.6] и запоминают интервал допустимых значений параметров ПФС i-го оператора S_{эт i min} и S_{эт i max}, при выходе за рамки которых оператор АС совершает ошибочные действия (допускает нарушения ИБ) (блок 4). В блоке 5 допускают i-го оператора к выполнению функциональных обязанностей и измеряют значения параметров его психофизиологического состояния с помощью средств (датчиков) контроля ПФС (блок 6). В блоке 7 сравнивают измеренные значения параметров ПФС оператора с интервалом допустимых значений параметров ПФС i-го оператора S_{эт i min}≤S_i≤S_{эт i max}, в случае если они не выходят за пределы допустимого интервала, осуществляют дальнейший контроль ПФС i-го оператора и измерение контролируемых параметров с заданным интервалом измерения контролируемых параметров Δt_мон (блок 8). В блоке 9 в случае выхода хотя бы одного из контролируемых параметров ПФС i-го оператора за пределы интервала допустимых значений S_{эт i min} и S_{эт i max} увеличивают интервал времени измерения контролируемых параметров, характеризующих ПБ АС, для данного элемента АС на величину Δt_кор до достижения оператором нормального ПФС. В блоке 10 измеряют значения контролируемых параметров, характеризующих ИБ АС с заданным интервалом времени (t_{контр i} или t_{контр i кор}). В блоке 11 сравнивают измеренные значения контролируемых параметров, характеризующих ИБ АС с эталонными значениями. В случае, если значения этих параметров не совпадают с эталонными, делают вывод о наличии нарушения ИБ АС (блок 12). В блоке 13 по результатам сравнения значений контролируемых параметров с эталонными значениями формируют отчет о состоянии защищенности АС, в который включают сведения о допущенных нарушениях информационной безопасности, состоянии защищенности АС, характере изменений ПФС операторов. Если мониторинг ИБ АС не закончен, то переходят к блоку измерения ПФС оператора (блок 15) и повторяют цикл проверки.

На фиг.2 показана схема, поясняющая реализацию предлагаемого способа. На оператора АС, выполняющего свои функциональные обязанности, устанавливаются средства (датчики) контроля параметров ПФС (Калакутский Л.И., Манелис Э.С. Аппаратура и методы клинического мониторинга. - М., «Высшая школа», 2004 г., 159 с.). Данные о состоянии параметров ПФС передаются по каналам связи на систему контроля ПФС операторов, которая может быть выполнена на основе системы контроля ПФС, описанной в научно-теоретическом журнале «Теория и практика физической культуры» №3 - 2006 г., в которой хранятся эталонные значения параметров ПФС каждого оператора. Эталонные значения параметров ПФС формируются до момента допуска оператора к выполнению функциональных обязанностей с помощью тестовых информационно-психологических воздействий. В результате сравнения измеренных параметров ПФС с эталонными значениями на систему управления средствами мониторинга подается сигнал о выходе параметров ПФС i-го оператора за пределы интервала допустимых значений. Система мониторинга ИБ состоит из системы управления средствами мониторинга и средств мониторинга, которая может быть реализована на основе программного комплекса мониторинга «OpenNms», описанного в журнале «Системный администратор», вып. 8, 2008 г., или комплекса программно-аппаратных средств «DistributedSnifferSystem», описанного в журнале «КомпьютерПресс» №5 за 2011 г. На основании этих данных система управления средствами мониторинга подает команду средствам мониторинга на увеличение времени мониторинга контролируемых параметров элемента АС того оператора, параметры ПФС которого вышли за пределы интервала допустимых значений. Средства мониторинга ИБ измеряют с заданным интервалом значения контролируемых параметров, характеризующих безопасность АС (нарушения ЦБ), и передают данные по каналам связи на систему управления средствами мониторинга. На основании данных о результатах измерения контролируемых параметров система управления средствами мониторинга формирует отчет о состоянии безопасности АС, о наличии нарушений ИБ и о характере изменений ПФС операторов АС.

Возможность реализации сформулированного технического результата была проверена путем машинного моделирования.

В качестве средства мониторинга ИБ при моделировании был использован современный программный комплекс мониторинга ИБ «OpenNMS», описанный в журнале «Системный администратор», вып. 8, 2008 г., со временем сканирования одного элемента АС t_скан=20 с. В качестве средств контроля ПФС оператора АС были использованы средства с техническими характеристиками, аналогичными средствам, указанным в кн.: Калакутский Л.И., Манелис Э.С. Аппаратура и методы клинического мониторинга. - М., «Высшая школа», 2004 г., 159 с. (t_контр=10 с). Была смоделирована система с 50 элементами АС. Время мониторинга моделируемой АС составило 1000 с.

В результате моделирования были получены зависимости количества обнаруженных нарушений ИБ (Н) от времени мониторинга ИБ (фиг.3), где 1 - график зависимости количества нарушений ИБ от времени мониторинга для заявленного способа, 2 - график зависимости количества нарушений ИБ от времени мониторинга для способа-прототипа.

Из графика видно, что выигрыш заявленного способа по сравнению со способом-прототипом по своевременности обнаружения нарушений ИБ (Δt) составляет:

Δt₁=t_{1 сп}-t_{1 пр}=42 с,

где t_{1 сп} - время обнаружения десяти нарушений ИБ при использовании заявленного способа,

t_{1 пр} - время обнаружения десяти нарушений ИБ при использовании способа-прототипа;

Δt₂=t_{2 сп}-t_{2 пр}=120 с,

где t_{2 сп} - время обнаружения двадцати нарушений ИБ при использовании заявленного способа,

t_{2 пр} - время обнаружения двадцати нарушений ИБ при использовании способа-прототипа.

При этом, чем больше нарушений ИБ, тем выше эффективность заявленного способа по сравнению со способом-прототипом по своевременности обнаружения нарушений ИБ, что и подтверждает достижение технического результата в заявленном способе.

Таким образом, за счет учета ПФС операторов АС при определении интервала времени измерения контролируемых параметров обеспечивается повышение своевременности обнаружения нарушений ИБ.

1. Способ мониторинга информационной безопасности автоматизированных систем, заключающийся в том, что предварительно задают множество из N≥2, где n=1, 2, …, N, контролируемых параметров, характеризующих информационную безопасность AC, M≥N эталонных значений контролируемых параметров, время измерения контролируемых параметров, измеряют значения контролируемых параметров с заданным интервалом времени, сравнивают измеренные значения контролируемых параметров с эталонными, и по результатам сравнения формируют отчет, в который включают сведения об элементах АС, контролируемые параметры которых вышли за пределы допустимых значений, и по сформированному отчету принимают решение о безопасности АС, отличающийся тем, что дополнительно задают множество из S≥2, где s=1, 2, …, S, контролируемых параметров, характеризующих психофизиологическое состояние оператора АС, измеряют до начала работы i-го оператора значения контролируемых параметров, характеризующих его ПФС в нормальном состоянии, S_{эт i}, воздействуют на i-го оператора с помощью тестовых информационно-психологических воздействий, запоминают интервал допустимых значений параметров ПФС i-го оператора S_{эт i min} и S_{эт i max}, при выходе за рамки которых оператор АС совершает ошибочные действия, допускают i-го оператора к выполнению функциональных обязанностей, измеряют значения параметров психофизиологического состояния i-го оператора, сравнивают измеренные значения с интервалом допустимых значений параметров ПФС i-го оператора S_{эт i min}≤S_i≤S_{эт i max}, в случае, если они не выходят за пределы допустимого интервала выполняют дальнейший контроль ПФС i-го оператора и измерение контролируемых параметров с заданным интервалом измерения контролируемых параметров Δt_мон, в случае выхода хотя бы одного из контролируемых параметров ПФС i-го оператора за пределы интервала допустимых значений параметров ПФС i-го оператора S_{эт i min} и S_{эт i max}, увеличивают интервал измерения контролируемых параметров элемента АС на величину Δt_кор до достижения оператором нормального ПФС.

2. Способ по п.1, отличающийся тем, что дополнительно формируют отчет об изменениях ПФС i-го оператора АС.