Изобретение относится к защите информации. Технический результат заключается в сокращении времени обнаружения инцидента информационной безопасности. Способ построения системы обнаружения инцидентов информационной безопасности (ИБ) для автоматизированных систем управления, включающий в себя этапы построения и формирования подсистем обнаружения инцидентов ИБ, в ходе которого, используя метод морфологического анализа, формируют подсистемы планирования уровня, координации, управления средствами защиты информации и сбора данных о состоянии объекта, этап оценки реализации функций в вариантах построения системы обнаружения инцидентов информационной безопасности АСУ, в ходе которого производят оценку соответствия реализованных функций в каждом варианте построения системы из множества вариантов, сформированного на предыдущем этапе, этап оценки стоимости и вариантов построения системы защиты от компьютерных атак, этап оценки оптимального варианта построения системы обнаружения инцидентов информационной безопасности с минимальным временем обнаружения. 1 ил.
