Способ построения системы обнаружения инцидентов информационной безопасности в автоматизированных системах управления

Авторы патента:

Дроботун Евгений Борисович (RU)

Погорелов Владислав Васильевич (RU)

Козлов Денис Викторович (RU)

Аксенов Михаил Александрович (RU)

H04L63/1408 - Передача дискретной информации, например телеграфная связь (пишущие машины B41J; телеграфные системы G08B; оптические телеграфные аппараты G08B,G08C; фототелеграфные системы G08C; шифровальные или дешифровальные устройства как таковые G09C; кодирование, декодирование или преобразование кода вообще H03M; устройства, применяемые как для телеграфной, так и для телефонной связи H04M; избирательные устройства H04Q)

G06F21/00 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2742179:

Федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия воздушно-космической обороны имени Маршала Советского Союза Г.К. Жукова" Министерства обороны Российской Федерации (RU)

Изобретение относится к защите информации. Технический результат заключается в сокращении времени обнаружения инцидента информационной безопасности. Способ построения системы обнаружения инцидентов информационной безопасности (ИБ) для автоматизированных систем управления, включающий в себя этапы построения и формирования подсистем обнаружения инцидентов ИБ, в ходе которого, используя метод морфологического анализа, формируют подсистемы планирования уровня, координации, управления средствами защиты информации и сбора данных о состоянии объекта, этап оценки реализации функций в вариантах построения системы обнаружения инцидентов информационной безопасности АСУ, в ходе которого производят оценку соответствия реализованных функций в каждом варианте построения системы из множества вариантов, сформированного на предыдущем этапе, этап оценки стоимости и вариантов построения системы защиты от компьютерных атак, этап оценки оптимального варианта построения системы обнаружения инцидентов информационной безопасности с минимальным временем обнаружения. 1 ил.

Изобретение относится к области систем защиты автоматизированных систем управления различного назначения от инцидентов информационной безопасности.

Для обеспечения защищенности АСУ от инцидентов информационной безопасности применяются разнообразные меры программно- технического характера, которые выполняются в виде систем обнаружения вторжений.

Известен способ построения системы защиты от компьютерных атак для автоматизированных систем [см. Россия, патент №2642374 G06F 21/57 (2017.08); G06F 21/577 (2017.08) Опубликовано: 24.01.2018.], заключающиеся в формировании всех возможных вариантов построения подсистем защиты от компьютерных атак и выбора наиболее рационального варианта. Недостатком данного способа построения системы защиты является отсутствие этапа оценки времени на обнаружение инцидентов информационной безопасности и рассмотрение понятия «компьютерная атака» в узком направлении.

Из уровня техники известна система для сбора инцидентов безопасности, которая осуществляет сбор информации в несколько этапов - первичный сбор и дополнительный, описанная в заявке US 20040260947 А1. После того как собрана вся необходимая информация о сети и ее компонентах, производится анализ и определяется инцидент. Недостатком известной системы является то, что она не позволяет определить причины и источник заражения, вследствие чего требуются дополнительные технические решения в автоматизированной системе, которые позволили бы описывать, накапливать и в последующем решать эти проблемы, что в свою очередь приведет к увеличению времени реагирования на инциденты безопасности.

Под инцидентом информационной безопасности (ИБ) понимается одно или серия нежелательных событий ИБ, которые имеют значительную вероятность компрометации обрабатываемой информации и угрожают информационной безопасности. Последствиями инцидентов ИБ могут быть прерывания работы АСУ, нарушение конфиденциальности, целостности или доступности информации системы, что в свою очередь приводит к потере производительности, или краху системы. В качестве примеров инцидентов угроз безопасности АСУ можно привести следующие угрозы: [Электронный ресурс] // ФАУ «ГНИИИ ПТЗИ ФСТЭК России». - URL: http://www.bdu.fstec.ru/threat (дата обращения 25.12.2019).]

Цель изобретения - сформировать исходя из данных требований такую систему обнаружения инцидентов информационной безопасности, которая бы позволила учитывать время обработки и минимизировать время обнаружения инцидента информационной безопасности и соответствовала требованиям по стоимости.

Указанная цель достигается тем, что в способе построения системы обнаружения для автоматизированных систем управления, за счет выбора оптимальной структуры и требований параметров системы обнаружения инцидентов информационной безопасности.

Исходя из этого, в качестве подсистем, обеспечивающих обнаружение инцидентов информационной безопасности АСУ, можно выделить:

• Подсистема планирования уровня защищенности;

• Подсистема координации действий участников;

• Подсистема управления средствами защиты информации;

• Подсистема сбора данных о состоянии объекта.

1. Этап формирования множества всех возможных вариантов построения системы обнаружения атак на АСУ от инцидентов информационной безопасности.

где V_пу3 - множество всех возможных вариантов построения подсистемы планирования уровня защищенности;

V_пк - множество всех возможных вариантов построения подсистемы координации действий участников;

V_пусз - множество всех возможных вариантов построения подсистемы управления средствами защиты информации;

V_псд - множество всех возможных вариантов построения подсистемы сбора данных о состоянии объекта.

n,m,k,p - количество всех возможных вариантов построения подсистемы планирования уровня защищенности, подсистемы координации действий участников, подсистемы управления средствами защиты информации, подсистемы сбора данных о состоянии объекта.

2. Формирование множества V всех возможных вариантов А построения системы обнаружения инцидентов на основе множеств V_пуз, V_пк, V_пусз, V_псд

где S - количество всех возможных вариантов построения системы защиты

3. Оценка сформированного множества V вариантов построения системы обнаружения инцидентов и выделение из него подмножества V* альтернативных вариантов построения системы обнаружения вторжений, реализующие заданные функциональные требования:

где - реализуемые вариантом функциональные требования системы, F_зад - заданные функциональные требования, N* - число альтернативных вариантов построения системы обнаружения.

4. Оценка сформированного множества V* альтернативных вариантов построения системы обнаружения воздействий и выделение из него подмножества V** допустимых по стоимости вариантов построения системы обнаружения:

где - реализуемые вариантом функциональные требования, F_зад - заданные функциональные требования, - стоимость варианта , C_доп - максимально допустимая стоимость создания СОА,

N** - число допустимых по стоимости вариантов построения СОА;

5. Оценка сформированного множества V** допустимых по стоимости вариантов построения системы обнаружения, и выбор оптимального варианта построения системы обнаружения инцидентов информационной безопасности АСУ:

где - показатель, характеризующий время обнаружения инцидента информационной безопасности АСУ i-го варианта построения системы обнаружение инцидентов информационной безопасности АСУ.

Общая схема процесса выбора оптимального варианта построения системы защиты показана на фигуре 1.

Исходными данными для разработки и построения системы обнаружения воздействий:

• Требуемая эффективность системы обнаружения Q описываемая совокупностью показателей, характеризующих способность системы обнаружения за минимальное время обнаружить инцидент информационной безопасности;

• Максимально допустимая стоимость создания системы обнаружения вторжений;

На этапе формирования возможных вариантов построения подсистемы планирования уровня защищенности, подсистемы координации действий участников, подсистемы управления средствами защиты информации, подсистемы сбора данных о состоянии объекта об инцидентах информационной безопасности.

Для формирования этих множеств использован метод морфологического анализа [4], преимуществом которого является возможность простой алгоритмизации и компьютерной реализации.

Вариант каждой подсистемы формируется на основе структуры подсистемы, которая представляет собой совокупность элементов L подсистемы, реализующих способы решения задач подсистемы и совокупности параметров F подсистемы, а множество этих вариантов формируется путем перебора всех возможных комбинаций сочетаний элементов подсистемы и их параметров.

Для подсистемы планирования уровня защищенности все возможные варианты формируются исходя из совокупности множеств {L_пуз, F_пуз}, где L_пуз - множество всех существующих средств планирования уровня защищенности, a Fобн- множество совокупностей параметров для каждого средства планирования уровня защищенности. Для подсистемы координации действий участников все возможные варианты формируются исходя из совокупности множеств {L_пк, F_пк}, где L_пк - множество всех существующих средств координации действий участников, a F_пк - множество совокупностей параметров для каждого средства координации действий участников подсистемы. Для подсистемы управления средствами защиты информации все возможные варианты формируются исходя из совокупности множеств {L_пусз, F_пусз}, где L_пусз - множество всех существующих средств управления средствами защиты информации, a F_пусз - множество совокупностей параметров для каждого средства управления средствами защиты информации. Для подсистемы сбора данных о состоянии объекта все возможные варианты формируются исходя из совокупности множеств {L_псд, F_псд}, где L_псд - множество всех существующих средств сбора данных о состоянии объекта, a F_псд - множество совокупностей параметров для каждого средства сбора данных о состоянии объекта.

Для снижения количества всех возможных вариантов построения каждой подсистемы (для уменьшения временных затрат), для параметров с плавно изменяющимися значениями принимаются три возможных значения: минимальное значение параметра, среднее значение параметра и максимальное значение параметра.

Далее, на этапе формирования множества всех возможных вариантов построения системы обнаружение инцидентов информационной безопасности АСУ, исходя из множеств V_пуз, V_пк, V_пусз, V_псд, полученных на предыдущем этапе, с помощью метода морфологического анализа формируется множество V всех возможных вариантов построения системы защиты путем перебора всех возможных комбинаций сочетаний вариантов построения подсистем.

Далее, на этапе оценки стоимости вариантов построения системы обнаружение инцидентов информационной безопасности АСУ, производится оценка стоимости каждого варианта построения системы обнаружение инцидентов информационной безопасности АСУ, входящего во множество альтернативных вариантов построения системы обнаружение инцидентов информационной безопасности АСУ, сформированного на предыдущем этапе. Стоимость i-го варианта построения определяется суммой стоимостей каждой подсистемы, входящего в i-й вариант построения:

где s_ji - j-й элемент i-го варианта построения, C(s_ji) - стоимость j-го элемента i-го варианта построения, n_i - число элементов в i-ом варианте построения системы обнаружение инцидентов информационной безопасности АСУ.

Из вариантов построения системы обнаружение инцидентов информационной безопасности АСУ, стоимость которых меньше или равна максимально допустимой стоимости, формируется множество допустимых по стоимости вариантов построения системы обнаружение инцидентов информационной безопасности АСУ.

На этапе оценки эффективности вариантов построения системы защиты из множества V* отбираются варианты построения системы защиты, удовлетворяющие требуемому уровню защищенности, обеспечиваемому системой защиты, и из отобранных вариантов формируется множество V**:

где Q - совокупность показателей, характеризующих уровень защищенности АСУ, реализуемой системой обнаружения инцидентов информационной безопасности;

Q_треб - требуемый уровень защищенности АСУ.

В качестве показателей, характеризующих уровень защищенности АСУ от компьютерных атак, используются коэффициент защищенности АСУ Z [5] и время восстановления работоспособности АСУ после обнаружения инцидента информационной безопасности АСУ Т_восст:

Методика определения коэффициента защищенности АСУ Z изложена в [5]. Сущность методики заключается в проведении тестирования АСУ по двум направлениям: локального тестирования и сетевого. Локальное тестирование заключается в проверке состояния защищенности отдельных элементов АСУ от внутреннего нарушителя. Сетевое тестирование заключается в моделировании действий внешнего нарушителя и направлено на проверку защищенности АСУ в целом.

По итогам локального тестирования определяется локальный коэффициент уязвимости L, который определяется следующим образом:

где P_i - количество открытых портов на i-м элементе АСУ;

Y_i - количество портов i-x элементов АСУ, на которых были найдены уязвимости.

По итогам сетевого тестирования определяется коэффициент уязвимости S вычислительной сети, объединяющей составные элементы АСУ:

где R_i - количество реализованных сценариев инцидентов информационной безопасности на i-м элементе АСУ;

Е_o - количество основных сценариев моделирования инцидентов информационной безопасности;

А_o - количество дополнительных сценариев моделирования инцидентов информационной безопасности.

Далее находится коэффициент общей уязвимости системы W, который определяется следующим образом:

W=L⋅S.

Исходя из того, что уровень защиты АСУ и уровень общей уязвимости АСУ дополняют друг друга до единицы, коэффициент защищенности системы Z можно определить, как:

Z=1-W.

Время восстановления работоспособности АСУ после инцидента информационной безопасности Т_восст определяется как сумма общего времени восстановления данных из резервных копий Т_{восстдан} и времени восстановления операционной системы из точек восстановления Т_{восст. ос}:

Т_восст = Т_{восст. дан} + Т_{восст. ос.},

На заключительном этапе выбора оптимального варианта построения системы обнаружения инцидентов информационной безопасности АСУ из множества V**, полученного на предыдущем этапе, выбирается оптимальный вариант А' построения системы обнаружения инцидентов информационной безопасности АСУ, который обеспечивает минимальное время обнаружения инцидентов информационной безопасности АСУ:

Таким образом, предлагаемый способ позволит построить систему обнаружения инцидентов информационной безопасности АСУ, удовлетворяющую требованиям по стоимости, эффективности защиты и обеспечивающая минимальное время обнаружения инцидентов информационной безопасности.

Предлагаемые технические решения являются новыми, поскольку из общедоступных сведений не известен предлагаемый способ построения системы обнаружения инцидентов информационной безопасности в автоматизированных системах управления.

В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, описанной формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

Способ построения системы обнаружения инцидентов информационной безопасности для автоматизированных систем управления, включающий в себя этап формирования множества всех возможных вариантов построения подсистем обнаружения инцидентов информационной безопасности, в ходе которого, используя реализуемый с помощью компьютера метод морфологического анализа, формируют множество возможных вариантов построения подсистемы планирования уровня, множество возможных вариантов построения подсистемы координации, множество возможных вариантов построения подсистемы управления средствами защиты информации и множество вариантов построения подсистемы сбора данных о состоянии объекта, при этом для уменьшения количества возможных вариантов построения подсистем для параметров элементов подсистем с плавно изменяющимися значениями принимают минимальное, среднее и максимальное значения; этап формирования множества всех возможных вариантов построения системы обнаружения инцидентов информационной безопасности, в ходе которого, используя реализуемый с помощью компьютера метод морфологического анализа, на основе множеств возможных вариантов построения подсистем, полученных на предыдущем этапе, формируют множество всех возможных вариантов построения системы обнаружения инцидентов информационной безопасности, которое записывают в память компьютера; этап оценки реализации функций в вариантах построения системы обнаружения инцидентов информационной безопасности АСУ, в ходе которого производят оценку соответствия реализованных функций в каждом варианте построения системы из множества вариантов, сформированного на предыдущем этапе, заданным функциональным требованиям и производят формирование множества альтернативных вариантов построения; этап оценки стоимости и вариантов построения системы защиты от компьютерных атак, в ходе которого с помощью компьютера определяют стоимость и требуемые для функционирования ресурсы всех вариантов построения системы из множества вариантов, сформированного на предыдущем этапе, с помощью компьютера, выбирают варианты, стоимость которых не превышают заданных, и далее из этих отобранных вариантов формируют множество вариантов построения системы обнаружения инцидентов информационной безопасности АСУ, удовлетворяющих требованиям по стоимости, которое записывают в память компьютера; этап оценки оптимального варианта построения системы обнаружения инцидентов информационной безопасности с минимальным временем обнаружения.

Изобретение относится к средствам управления потоком или управления перегрузкой каналов связи. Технический результат заключает в снижении вероятности отказа в обслуживании и повышении пропускной способности при передаче фрактального телекоммуникационного трафика реального времени в системах с отказами.

Способ и устройство для получения доступа к услуге // 2741332

Изобретение относится к области связи. Технический результат изобретения заключается в улучшении эффективности получения доступа к услугам, когда первый путь услуг, используемый для получения доступа к услуге, является недоступным.

Автоматизация проверки достоверности изображения // 2740702

Изобретение относится к средствам для автоматизированного определения, было ли изображение модифицировано. Технический результат заключается в повышении точности определения, было ли изображение модифицировано.

Система и способ защиты бренда на основании поисковой выдачи // 2740635

Изобретение относится к области вычислительной техники. Техническим результатом является обеспечение защиты бренда от использования мошенническими веб-сайтами на основании поисковой выдачи.

Способ мультиплексирования порта и сервер в системе видеоконференций и машиночитаемый носитель информации // 2740305

Изобретение относится к области связи, в частности к способу мультиплексирования порта в системе видеоконференций по протоколу установления сессии (SIP). Технический результат заключается в снижении сложности развертывания системы видеоконференций и рисков в отношении безопасности.

Многоконтурная система обработки и защиты информации // 2740142

Изобретение относится к области информационной безопасности. Техническим результатом является предотвращение возможности попадания информации определенной категории из одной компьютерной сети в другую.

Унифицированные механизмы обнаружения rlf, многолучевого rlm и bfr с полным разнесением в nr // 2740044

Изобретение относится к области сетей связи. Технический результат заключается в обеспечении возможности обнаружения сбоев линии связи и восстановления после сбоя линии связи в сетевом оборудовании для оптимизации производительности и достигается за счет измерения опорного сигнала, принятого по трактам связи линии радиосвязи, проходящей между пользовательским оборудованием и сетевыми устройствами в беспроводной сети; выбора из трактов связи тракта для оценки качества линии связи для работы линии радиосвязи на основании измерений опорного сигнала и критерия для оценки обслуживающей линии связи с учетом нескольких трактов или выбора тракта, причем критерий конфигурируется путем фильтрации показателя отдельного тракта, выбора трактов на основе сравнения с порогом или ранжирования показателей, получения единственного показателя качества линии связи путем объединения выбранных трактов математическими методами, содержащими взвешенное суммирование, и/или оценки качества линии связи путем сравнения полученного показателя с порогом; генерирования указания линии радиосвязи на основе оцененного показателя качества линии связи или статуса операции восстановления линии связи, связанного с выбранным трактом; отправки указания линии радиосвязи с физического уровня устройства на верхний уровень устройства.

Шлюз прямых межсоединений // 2740035

Изобретение относится к области связи. Технический результат – достижение возможности обеспечения связи устройств прямых и непрямых соединений посредством шлюза прямых межсоединений.

Способ для администрирования адаптивным и совместным образом политики маршрутизации и политики повторной передачи у узла в подводной сети и средство для его реализации // 2739973

Изобретение относится к способу для выбора, в подводной сенсорной сети связи, на каждой передаче/повторной передаче пакета, набора узлов, к которым упомянутый пакет должен быть отправлен и который предусматривает, для каждого узла, модуль, который регулирует политику передачи/повторной передачи уровня LLC, и модуль маршрутизации.

Способ адаптивного выбора путей передачи данных пользователя // 2739862

Изобретение относится к области вычислительной техники. Технический результат заключается в обеспечении передачи данных пользователя различной степени конфиденциальности от клиента серверу.

Долгосрочный профиль здоровья пациента для случайных находок // 2741734

Изобретение относится к способу и системе подготовки рекомендаций по последующим действиям для случайной находки визуализационного исследования. Техническим результатом является обеспечение четкой регистрации, контроля и сообщения специфичных для клинического руководства предложений по последующим действиям с целью улучшения клинических исходов пациента.