Показать метаданные Скрыть метаданные

(19)

(11)

2 742 179

(13)

(51)

МПК

G06F21/00(2013-01-01)

(21) (22)

Заявка

2020109494, 2020-03-03

(24)

Дата начала отсчета патента

2020-03-03

(22)

дата подачи заявки

2020-03-03

(45)

опубликовано

2021-02-03

(72)

авторы

Погорелов Владислав ВасильевичДроботун Евгений БорисовичКозлов Денис ВикторовичАксенов Михаил Александрович

(73)

патентообладатели

Федеральное Государственное Казенное Военное Образовательное Учреждение Высшего Образования Академия Воздушно-Космической Обороны Имени Маршала Советского Союза Г.К. Жукова" Министерства Обороны Российской Федерации

(56)

Документы, цитированные в отчете о поиске

СПОСОБ ПОСТРОЕНИЯ СИСТЕМЫ ОБНАРУЖЕНИЯ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ Российский патент 2021 года по МПК G06F21/00

Описание патента на изобретение RU2742179C1

Изобретение относится к области систем защиты автоматизированных систем управления различного назначения от инцидентов информационной безопасности.

Для обеспечения защищенности АСУ от инцидентов информационной безопасности применяются разнообразные меры программно- технического характера, которые выполняются в виде систем обнаружения вторжений.

Известен способ построения системы защиты от компьютерных атак для автоматизированных систем [см. Россия, патент №2642374 G06F 21/57 (2017.08); G06F 21/577 (2017.08) Опубликовано: 24.01.2018.], заключающиеся в формировании всех возможных вариантов построения подсистем защиты от компьютерных атак и выбора наиболее рационального варианта. Недостатком данного способа построения системы защиты является отсутствие этапа оценки времени на обнаружение инцидентов информационной безопасности и рассмотрение понятия «компьютерная атака» в узком направлении.

Из уровня техники известна система для сбора инцидентов безопасности, которая осуществляет сбор информации в несколько этапов - первичный сбор и дополнительный, описанная в заявке US 20040260947 А1. После того как собрана вся необходимая информация о сети и ее компонентах, производится анализ и определяется инцидент. Недостатком известной системы является то, что она не позволяет определить причины и источник заражения, вследствие чего требуются дополнительные технические решения в автоматизированной системе, которые позволили бы описывать, накапливать и в последующем решать эти проблемы, что в свою очередь приведет к увеличению времени реагирования на инциденты безопасности.

Под инцидентом информационной безопасности (ИБ) понимается одно или серия нежелательных событий ИБ, которые имеют значительную вероятность компрометации обрабатываемой информации и угрожают информационной безопасности. Последствиями инцидентов ИБ могут быть прерывания работы АСУ, нарушение конфиденциальности, целостности или доступности информации системы, что в свою очередь приводит к потере производительности, или краху системы. В качестве примеров инцидентов угроз безопасности АСУ можно привести следующие угрозы: [Электронный ресурс] // ФАУ «ГНИИИ ПТЗИ ФСТЭК России». - URL: http://www.bdu.fstec.ru/threat (дата обращения 25.12.2019).]

Цель изобретения - сформировать исходя из данных требований такую систему обнаружения инцидентов информационной безопасности, которая бы позволила учитывать время обработки и минимизировать время обнаружения инцидента информационной безопасности и соответствовала требованиям по стоимости.

Указанная цель достигается тем, что в способе построения системы обнаружения для автоматизированных систем управления, за счет выбора оптимальной структуры и требований параметров системы обнаружения инцидентов информационной безопасности.

Исходя из этого, в качестве подсистем, обеспечивающих обнаружение инцидентов информационной безопасности АСУ, можно выделить:

• Подсистема планирования уровня защищенности;

• Подсистема координации действий участников;

• Подсистема управления средствами защиты информации;

• Подсистема сбора данных о состоянии объекта.

1. Этап формирования множества всех возможных вариантов построения системы обнаружения атак на АСУ от инцидентов информационной безопасности.

где V_пу3 - множество всех возможных вариантов построения подсистемы планирования уровня защищенности;

V_пк - множество всех возможных вариантов построения подсистемы координации действий участников;

V_пусз - множество всех возможных вариантов построения подсистемы управления средствами защиты информации;

V_псд - множество всех возможных вариантов построения подсистемы сбора данных о состоянии объекта.

n,m,k,p - количество всех возможных вариантов построения подсистемы планирования уровня защищенности, подсистемы координации действий участников, подсистемы управления средствами защиты информации, подсистемы сбора данных о состоянии объекта.

2. Формирование множества V всех возможных вариантов А построения системы обнаружения инцидентов на основе множеств V_пуз, V_пк, V_пусз, V_псд

где S - количество всех возможных вариантов построения системы защиты

3. Оценка сформированного множества V вариантов построения системы обнаружения инцидентов и выделение из него подмножества V* альтернативных вариантов построения системы обнаружения вторжений, реализующие заданные функциональные требования:

где - реализуемые вариантом функциональные требования системы, F_зад - заданные функциональные требования, N* - число альтернативных вариантов построения системы обнаружения.

4. Оценка сформированного множества V* альтернативных вариантов построения системы обнаружения воздействий и выделение из него подмножества V** допустимых по стоимости вариантов построения системы обнаружения:

где - реализуемые вариантом функциональные требования, F_зад - заданные функциональные требования, - стоимость варианта , C_доп - максимально допустимая стоимость создания СОА,

N** - число допустимых по стоимости вариантов построения СОА;

5. Оценка сформированного множества V** допустимых по стоимости вариантов построения системы обнаружения, и выбор оптимального варианта построения системы обнаружения инцидентов информационной безопасности АСУ:

где - показатель, характеризующий время обнаружения инцидента информационной безопасности АСУ i-го варианта построения системы обнаружение инцидентов информационной безопасности АСУ.

Общая схема процесса выбора оптимального варианта построения системы защиты показана на фигуре 1.

Исходными данными для разработки и построения системы обнаружения воздействий:

• Требуемая эффективность системы обнаружения Q описываемая совокупностью показателей, характеризующих способность системы обнаружения за минимальное время обнаружить инцидент информационной безопасности;

• Максимально допустимая стоимость создания системы обнаружения вторжений;

На этапе формирования возможных вариантов построения подсистемы планирования уровня защищенности, подсистемы координации действий участников, подсистемы управления средствами защиты информации, подсистемы сбора данных о состоянии объекта об инцидентах информационной безопасности.

Для формирования этих множеств использован метод морфологического анализа [4], преимуществом которого является возможность простой алгоритмизации и компьютерной реализации.

Вариант каждой подсистемы формируется на основе структуры подсистемы, которая представляет собой совокупность элементов L подсистемы, реализующих способы решения задач подсистемы и совокупности параметров F подсистемы, а множество этих вариантов формируется путем перебора всех возможных комбинаций сочетаний элементов подсистемы и их параметров.

Для подсистемы планирования уровня защищенности все возможные варианты формируются исходя из совокупности множеств {L_пуз, F_пуз}, где L_пуз - множество всех существующих средств планирования уровня защищенности, a Fобн- множество совокупностей параметров для каждого средства планирования уровня защищенности. Для подсистемы координации действий участников все возможные варианты формируются исходя из совокупности множеств {L_пк, F_пк}, где L_пк - множество всех существующих средств координации действий участников, a F_пк - множество совокупностей параметров для каждого средства координации действий участников подсистемы. Для подсистемы управления средствами защиты информации все возможные варианты формируются исходя из совокупности множеств {L_пусз, F_пусз}, где L_пусз - множество всех существующих средств управления средствами защиты информации, a F_пусз - множество совокупностей параметров для каждого средства управления средствами защиты информации. Для подсистемы сбора данных о состоянии объекта все возможные варианты формируются исходя из совокупности множеств {L_псд, F_псд}, где L_псд - множество всех существующих средств сбора данных о состоянии объекта, a F_псд - множество совокупностей параметров для каждого средства сбора данных о состоянии объекта.

Для снижения количества всех возможных вариантов построения каждой подсистемы (для уменьшения временных затрат), для параметров с плавно изменяющимися значениями принимаются три возможных значения: минимальное значение параметра, среднее значение параметра и максимальное значение параметра.

Далее, на этапе формирования множества всех возможных вариантов построения системы обнаружение инцидентов информационной безопасности АСУ, исходя из множеств V_пуз, V_пк, V_пусз, V_псд, полученных на предыдущем этапе, с помощью метода морфологического анализа формируется множество V всех возможных вариантов построения системы защиты путем перебора всех возможных комбинаций сочетаний вариантов построения подсистем.

Далее, на этапе оценки стоимости вариантов построения системы обнаружение инцидентов информационной безопасности АСУ, производится оценка стоимости каждого варианта построения системы обнаружение инцидентов информационной безопасности АСУ, входящего во множество альтернативных вариантов построения системы обнаружение инцидентов информационной безопасности АСУ, сформированного на предыдущем этапе. Стоимость i-го варианта построения определяется суммой стоимостей каждой подсистемы, входящего в i-й вариант построения:

где s_ji - j-й элемент i-го варианта построения, C(s_ji) - стоимость j-го элемента i-го варианта построения, n_i - число элементов в i-ом варианте построения системы обнаружение инцидентов информационной безопасности АСУ.

Из вариантов построения системы обнаружение инцидентов информационной безопасности АСУ, стоимость которых меньше или равна максимально допустимой стоимости, формируется множество допустимых по стоимости вариантов построения системы обнаружение инцидентов информационной безопасности АСУ.

На этапе оценки эффективности вариантов построения системы защиты из множества V* отбираются варианты построения системы защиты, удовлетворяющие требуемому уровню защищенности, обеспечиваемому системой защиты, и из отобранных вариантов формируется множество V**:

где Q - совокупность показателей, характеризующих уровень защищенности АСУ, реализуемой системой обнаружения инцидентов информационной безопасности;

Q_треб - требуемый уровень защищенности АСУ.

В качестве показателей, характеризующих уровень защищенности АСУ от компьютерных атак, используются коэффициент защищенности АСУ Z [5] и время восстановления работоспособности АСУ после обнаружения инцидента информационной безопасности АСУ Т_восст:

Методика определения коэффициента защищенности АСУ Z изложена в [5]. Сущность методики заключается в проведении тестирования АСУ по двум направлениям: локального тестирования и сетевого. Локальное тестирование заключается в проверке состояния защищенности отдельных элементов АСУ от внутреннего нарушителя. Сетевое тестирование заключается в моделировании действий внешнего нарушителя и направлено на проверку защищенности АСУ в целом.

По итогам локального тестирования определяется локальный коэффициент уязвимости L, который определяется следующим образом:

где P_i - количество открытых портов на i-м элементе АСУ;

Y_i - количество портов i-x элементов АСУ, на которых были найдены уязвимости.

По итогам сетевого тестирования определяется коэффициент уязвимости S вычислительной сети, объединяющей составные элементы АСУ:

где R_i - количество реализованных сценариев инцидентов информационной безопасности на i-м элементе АСУ;

Е_o - количество основных сценариев моделирования инцидентов информационной безопасности;

А_o - количество дополнительных сценариев моделирования инцидентов информационной безопасности.

Далее находится коэффициент общей уязвимости системы W, который определяется следующим образом:

W=L⋅S.

Исходя из того, что уровень защиты АСУ и уровень общей уязвимости АСУ дополняют друг друга до единицы, коэффициент защищенности системы Z можно определить, как:

Z=1-W.

Время восстановления работоспособности АСУ после инцидента информационной безопасности Т_восст определяется как сумма общего времени восстановления данных из резервных копий Т_{восстдан} и времени восстановления операционной системы из точек восстановления Т_{восст. ос}:

Т_восст = Т_{восст. дан} + Т_{восст. ос.},

На заключительном этапе выбора оптимального варианта построения системы обнаружения инцидентов информационной безопасности АСУ из множества V**, полученного на предыдущем этапе, выбирается оптимальный вариант А' построения системы обнаружения инцидентов информационной безопасности АСУ, который обеспечивает минимальное время обнаружения инцидентов информационной безопасности АСУ:

Таким образом, предлагаемый способ позволит построить систему обнаружения инцидентов информационной безопасности АСУ, удовлетворяющую требованиям по стоимости, эффективности защиты и обеспечивающая минимальное время обнаружения инцидентов информационной безопасности.

Предлагаемые технические решения являются новыми, поскольку из общедоступных сведений не известен предлагаемый способ построения системы обнаружения инцидентов информационной безопасности в автоматизированных системах управления.

В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, описанной формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

Иллюстрации к изобретению RU 2 742 179 C1

Реферат патента 2021 года СПОСОБ ПОСТРОЕНИЯ СИСТЕМЫ ОБНАРУЖЕНИЯ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ

Изобретение относится к защите информации. Технический результат заключается в сокращении времени обнаружения инцидента информационной безопасности. Способ построения системы обнаружения инцидентов информационной безопасности (ИБ) для автоматизированных систем управления, включающий в себя этапы построения и формирования подсистем обнаружения инцидентов ИБ, в ходе которого, используя метод морфологического анализа, формируют подсистемы планирования уровня, координации, управления средствами защиты информации и сбора данных о состоянии объекта, этап оценки реализации функций в вариантах построения системы обнаружения инцидентов информационной безопасности АСУ, в ходе которого производят оценку соответствия реализованных функций в каждом варианте построения системы из множества вариантов, сформированного на предыдущем этапе, этап оценки стоимости и вариантов построения системы защиты от компьютерных атак, этап оценки оптимального варианта построения системы обнаружения инцидентов информационной безопасности с минимальным временем обнаружения. 1 ил.

Формула изобретения RU 2 742 179 C1

Способ построения системы обнаружения инцидентов информационной безопасности для автоматизированных систем управления, включающий в себя этап формирования множества всех возможных вариантов построения подсистем обнаружения инцидентов информационной безопасности, в ходе которого, используя реализуемый с помощью компьютера метод морфологического анализа, формируют множество возможных вариантов построения подсистемы планирования уровня, множество возможных вариантов построения подсистемы координации, множество возможных вариантов построения подсистемы управления средствами защиты информации и множество вариантов построения подсистемы сбора данных о состоянии объекта, при этом для уменьшения количества возможных вариантов построения подсистем для параметров элементов подсистем с плавно изменяющимися значениями принимают минимальное, среднее и максимальное значения; этап формирования множества всех возможных вариантов построения системы обнаружения инцидентов информационной безопасности, в ходе которого, используя реализуемый с помощью компьютера метод морфологического анализа, на основе множеств возможных вариантов построения подсистем, полученных на предыдущем этапе, формируют множество всех возможных вариантов построения системы обнаружения инцидентов информационной безопасности, которое записывают в память компьютера; этап оценки реализации функций в вариантах построения системы обнаружения инцидентов информационной безопасности АСУ, в ходе которого производят оценку соответствия реализованных функций в каждом варианте построения системы из множества вариантов, сформированного на предыдущем этапе, заданным функциональным требованиям и производят формирование множества альтернативных вариантов построения; этап оценки стоимости и вариантов построения системы защиты от компьютерных атак, в ходе которого с помощью компьютера определяют стоимость и требуемые для функционирования ресурсы всех вариантов построения системы из множества вариантов, сформированного на предыдущем этапе, с помощью компьютера, выбирают варианты, стоимость которых не превышают заданных, и далее из этих отобранных вариантов формируют множество вариантов построения системы обнаружения инцидентов информационной безопасности АСУ, удовлетворяющих требованиям по стоимости, которое записывают в память компьютера; этап оценки оптимального варианта построения системы обнаружения инцидентов информационной безопасности с минимальным временем обнаружения.

Документы, цитированные в отчете о поиске Патент 2021 года RU2742179C1

	0		SU180789A1
СТАНОК ДЛЯ ШЛИФОВАНИЯ КАМЕННЫХ ПЛИТ	0		SU178282A1
СПОСОБ ПОСТРОЕНИЯ СИСТЕМЫ ЗАЩИТЫ ОТ КОМПЬЮТЕРНЫХ АТАК ДЛЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ УПРАВЛЕНИЯ	2017	Дроботун Евгений Борисович	RU2642374C1
Способ приготовления мыла	1923	Петров Г.С. Таланцев З.М.	SU2004A1
Воздухораспределительное устройство	1961	Антропов Л.В. Баженов Д.Д. Родигин С.П.	SU148692A1

RU 2 742 179 C1

Авторы

Погорелов Владислав Васильевич

Дроботун Евгений Борисович

Козлов Денис Викторович

Аксенов Михаил Александрович

Даты

2021-02-03—Публикация

2020-03-03—Подача

название	год	авторы	номер документа
СПОСОБ ПОСТРОЕНИЯ СИСТЕМЫ ЗАЩИТЫ ОТ КОМПЬЮТЕРНЫХ АТАК ДЛЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ УПРАВЛЕНИЯ	2017	Дроботун Евгений Борисович	RU2642374C1
СПОСОБ ПРОЕКТИРОВАНИЯ И ПОСТРОЕНИЯ СИСТЕМЫ ЗАЩИТЫ АВТОМАТИЗИРОВАННЫХ СИСТЕМ УПРАВЛЕНИЯ КРИТИЧЕСКИ ВАЖНЫМИ ОБЪЕКТАМИ ОТ РАЗРУШАЮЩИХ ПРОГРАММНЫХ ВОЗДЕЙСТВИЙ	2016	Дроботун Евгений Борисович	RU2623721C1
СПОСОБ ВЫБОРА И ОБОСНОВАНИЯ ТАКТИКО-ТЕХНИЧЕСКИХ ХАРАКТЕРИСТИК СИСТЕМЫ ЗАЩИТЫ ОТ ГРУППОВЫХ РАЗНОРОДНЫХ КОМПЬЮТЕРНЫХ АТАК НА СРЕДНЕСРОЧНЫЙ ПЕРИОД	2020	Макаров Владимир Николаевич Гречишников Евгений Владимирович Добрышин Михаил Михайлович Климов Сергей Михайлович Манзюк Виктор Валентинович Локтионов Александр Дмитриевич	RU2760099C1
Система и способ поэтапного повышения информационной безопасности элементов технологической системы	2019	Духвалов Андрей Петрович Дякин Павел Владимирович Кулагин Дмитрий Александрович	RU2728504C1
СИСТЕМА ПРИНЯТИЯ РЕШЕНИЙ ПРИ УГРОЗЕ И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ ЧС	2022	Сущев Сергей Петрович Козлов Михаил Александрович Смолин Роман Евгеньевич Федосеева Татьяна Алексеевна Айдемиров Игорь Айдемирович Грязнев Данил Юрьевич Нечаева Наталья Борисовна Угаров Александр Николаевич Ларионов Валерий Иванович	RU2796623C1
Способ и система выявления аномального поведения пользователей	2021	Бузинов Максим Сергеевич	RU2775861C1
Система и способ корреляции событий для выявления инцидента информационной безопасности	2019	Люкшин Иван Станиславович Кирюхин Андрей Александрович Лукиян Дмитрий Сергеевич Филонов Павел Владимирович	RU2739864C1
СИСТЕМА ПРОГНОЗИРОВАНИЯ И ОЦЕНКИ БЕЗОПАСНОСТИ ОПАСНОГО ПРОИЗВОДСТВЕННОГО ОБЪЕКТА С ИСПОЛЬЗОВАНИЕМ КОМПЛЕКСНОЙ МОДЕЛИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ	2013	Ганченко Павел Владимирович Ибадулаев Даниил Владиславович Космичев Василий Павлович Лузанов Виктор Федорович Обломский Сергей Борисович Степанов Илья Владимирович	RU2549514C2
СПОСОБ ОБЕСПЕЧЕНИЯ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ ОБЪЕКТОВ, ТЕРРИТОРИЙ И НАСЕЛЕНИЯ НА БАЗЕ ПРОГРАММНО-АППАРАТНЫХ КОМПЛЕКСОВ И УНИВЕРСАЛЬНЫЙ ПРОГРАММНО-АППАРАТНЫЙ КОМПЛЕКС УПРАВЛЕНИЯ СИСТЕМОЙ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ	2020	Федулов Андрей Владимирович Плясунов Сергей Сергеевич Сергеев Сергей Ильич	RU2790795C2
АВТОМАТИЗИРОВАННАЯ ОПЕРАЦИОННО-ИНФОРМАЦИОННАЯ СИСТЕМА СОПРОВОЖДЕНИЯ ПОДГОТОВКИ И ПРОВЕДЕНИЯ ГОЛОСОВАНИЯ	2005	Вешняков Александр Альбертович Ященко Виктор Васильевич Калинин Александр Николаевич Демин Борис Евгеньевич Бурдаков Виктор Иванович Молчанов Владимир Иванович	RU2303816C2