4. Разработка общего описания алгоритма решения задачи

   1. Цель алгоритма

Цель алгоритма заключается в обеспечении автоматизированного выявления, регистрации, анализа и реагирования на инциденты информационной безопасности на основе согласованной работы основных подсистем АСУ «Бустсейв».

Алгоритм определяет порядок обработки событий безопасности, включая их сбор, нормализацию, корреляцию, классификацию, запуск сценариев реагирования, фиксацию результатов и передачу данных в подсистему аналитики и отчётности.

Алгоритм описывает взаимодействие между подсистемами мониторинга (SIEM-функциональность), подсистемой автоматизированного реагирования (SOAR), подсистемой управления и администрирования, а также подсистемой отчётности и аналитики, обеспечивая сквозной цикл реагирования – от поступления события до формирования итогового отчёта.

2. Шаги алгоритма

Шаг 1. Сбор событий:

• базовая подсистема принимает события безопасности от серверов, сетевого оборудования, рабочих станций, прикладных сервисов и средств защиты информации;

• выполняется нормализация поступающих данных, устранение дубликатов и первичная классификация событий в едином формате.

Шаг 2. Корреляция и анализ:

• базовая подсистема взаимодействует с подсистемой шаблонов, сопоставляя события между собой и применяя правила корреляции;

• на основе настроенных шаблонов автоматически выявляются инциденты, определяется их тип, источник угрозы и уровень критичности.

Шаг 3. Реагирование:

• подсистема шаблонов запускает преднастроенные автоматические или полуавтоматические сценарии реагирования.

• в рамках сценариев выполняются меры реагирования, такие как изоляция устройств, блокировка сетевых соединений, уведомление специалистов и запуск процедур восстановления.

Шаг 4. Передача информации:

• сведения об инциденте, выполненных действиях и результатах передаются в подсистему хранения данных, где информация фиксируется и защищается;

• при необходимости данные передаются во внешние сервисы (например, Service Desk) через интеграционные механизмы базовой подсистемы;

• автоматически создаются задачи на устранение, сопровождение или расследование инцидента.

Шаг 5. Завершение обработки:

• инцидент получает актуальный статус («зарегистрирован», «в расследовании», «обработан», «устранён», «отклонён»);

• все действия системы и пользователей, включая изменения статусов, результаты сценариев реагирования и комментарии, сохраняются в подсистеме хранения данных и фиксируются в журналах аудита подсистемы авторизации.

Шаг 6. Аналитика и отчётность:

• подсистема работы с документами формирует аналитические материалы, отчёты, сводки и KPI по инцидентам и событиям;

• агрегированные данные передаются руководству и специалистам ИБ для оценки динамики угроз, эффективности реагирования и планирования дальнейших мер;

• отчёты могут быть экспортированы в PDF, XLSX и другие форматы.

3. Взаимодействие подсистем

Источники событий → базовая подсистема (приём, предварительная обработка и нормализация событий) → базовая подсистема совместно с подсистемой шаблонов (корреляция событий, формирование и классификация инцидентов) → подсистема шаблонов (выполнение сценариев автоматизированного реагирования) → подсистема хранения данных (сохранение событий, инцидентов, журналов и результатов реагирования с применением средств защиты информации) → подсистема работы с документами (формирование отчётов и аналитических материалов) → специалисты службы информационной безопасности, подразделения ИТ и руководство организации, получающие доступ к данным через подсистему авторизации.