- •Содержание
- •Общие положения
- •Наименование системы и общие положения
- •Назначение и цели создания системы
- •Область применения
- •Функционал
- •Уточнение структуры входных и выходных данных
- •Входные данные
- •Данные о событиях безопасности
- •Данные об инцидентах
- •Данные пользователей системы
- •Служебные и интеграционные данные
- •Выходные данные
- •Статус инцидента
- •Отчёт об инциденте
- •Отчётность и аналитические данные
- •Информация о критических и подозрительных инцидентах
- •Методы решения задачи
- •Корреляция и анализ событий безопасности
- •Используемые технологии
- •Применение
- •Автоматическое реагирование на инциденты
- •Методы аутентификации
- •Применение
- •Шифрование и защита данных
- •Методы и инструменты
- •Применение
- •Аутентификация и контроль доступа
- •Методы и технологии
- •Применение
- •Аналитика и отчетность
- •Методы и инструменты
- •Применение
- •Разработка алгоритма решения задачи
- •Цель алгоритма
- •Общий принцип работы алгоритма
- •Взаимодействие подсистем
- •Определение формы представления входных и выходных данных
- •Определение семантики и синтаксиса языка
- •Семантика данных
- •Синтаксис данных
- •Примечания
- •Разработка структуры системы
- •Основные подсистемы и модули
- •Подсистема хранения данных
- •Подсистема авторизации
- •Базовая подсистема
- •Подсистема работы с документами
- •Подсистема шаблонов
- •Взаимодействие подсистем
- •Принципы построения структуры программы
- •Окончательное определение конфигурации технических средств
- •Серверное оборудование
- •Рабочие станции и устройства пользователей
- •Сетевое и коммуникационное оборудование
- •Программное обеспечение
- •Принципы построения конфигурации
- •Список ипользуемых источников
Данные пользователей системы
Типы данных:
ФИО, должность, подразделение;
учётная запись пользователя, идентификатор;
контактные данные (email, телефон, внутренняя связь);
роль и уровень доступа (администратор безопасности, оператор SOC, системный администратор, администратор БД, пользователь);
история действий и сессий.
Источник:
база данных системы;
корпоративный каталог пользователей.
Формат:
структурированные записи в БД;
синхронизация через механизмы интеграции (каталог пользователей / внутренние API).
Обработка:
аутентификация;
авторизация по ролям;
журналирование действий пользователя.
Служебные и интеграционные данные
Типы данных:
служебные параметры обмена между подсистемами АСУ «Бустсейв», включая мониторинг событий, корреляцию, реагирование и отчётность;
технические журналы работы модулей, содержащие данные о запуске сценариев, ошибках, сбоях и внутренних процессах системы (описано в требованиях к хранению и журналированию);
данные о состоянии инфраструктурных компонентов, включая серверы, сетевое оборудование, прикладные сервисы и каналы связи – используются подсистемой мониторинга и диагностики;
метаданные отчётности и статистики, включая показатели эффективности реагирования, статистику инцидентов, аналитические сводки и KPI.
Источник:
внутренние сервисы интеграции системы, обеспечивающие взаимодействие между подсистемами «Бустсейв»;
модуль сбора телеметрии базовой подсистемы;
корпоративные каталоги и сервисы, через которые осуществляется обмен служебной информацией (описано в ТЗ в разделе интеграций).
Формат:
структурированные внутренние данные, совместимые с централизованной базой данных системы;
передача данных через встроенные механизмы обмена и интеграции, поддерживаемые архитектурой АСУ «Бустсейв»;
защищённые каналы связи, обеспечивающие целостность и конфиденциальность служебной информации.
Обработка:
валидация данных подсистемами мониторинга, корреляции и реагирования перед записью и передачей;
сохранение в журнал служебных взаимодействий, включая ошибки, вызовы подсистем, выполнение сценариев;
регулярное обновление служебных справочников, параметров состояния и статистики;
использование данных интеграции при работе отчётности, корреляции и автоматических сценариев реагирования.
Выходные данные
Статус инцидента
Содержание данных:
идентификатор инцидента – формируется подсистемой мониторинга и корреляции;
текущий статус: «зарегистрирован», «в расследовании», «обработан», «устранён», «эскалирован», «отклонён»;
уровень критичности – определяется правилами корреляции (низкий, средний, высокий, критический);
категория угрозы – тип обнаруженного инцидента согласно классификации (вирусная активность, сетевое вторжение, несанкционированный доступ, аномальные действия пользователей и др.);
временные метки: момент выявления, время фиксации инцидента, время применения сценариев реагирования;
ответственный специалист или подразделение – SOC, администратор безопасности, системный администратор.
Формат передачи:
структурированные записи, передаваемые через внутренний интерфейс системы;
обмен данными осуществляется через встроенные механизмы системы и защищённые каналы, применяемые в АСУ «Бустсейв»;
сохранение данных в централизованной базе инцидентов.
Назначение:
отображение текущего статуса инцидентов в базовой подсистеме;
использование данных в аналитических и отчётных модулях, включая формирование KPI и динамики угроз;
фиксация статусов в журнале регистрации для проведения аудита, расследований и контроля качества реагирования.