- •Содержание
- •Общие положения
- •Наименование системы и общие положения
- •Назначение и цели создания системы
- •Область применения
- •Функционал
- •Уточнение структуры входных и выходных данных
- •Входные данные
- •Данные о событиях безопасности
- •Данные об инцидентах
- •Данные пользователей системы
- •Служебные и интеграционные данные
- •Выходные данные
- •Статус инцидента
- •Отчёт об инциденте
- •Отчётность и аналитические данные
- •Информация о критических и подозрительных инцидентах
- •Методы решения задачи
- •Корреляция и анализ событий безопасности
- •Используемые технологии
- •Применение
- •Автоматическое реагирование на инциденты
- •Методы аутентификации
- •Применение
- •Шифрование и защита данных
- •Методы и инструменты
- •Применение
- •Аутентификация и контроль доступа
- •Методы и технологии
- •Применение
- •Аналитика и отчетность
- •Методы и инструменты
- •Применение
- •Разработка алгоритма решения задачи
- •Цель алгоритма
- •Общий принцип работы алгоритма
- •Взаимодействие подсистем
- •Определение формы представления входных и выходных данных
- •Определение семантики и синтаксиса языка
- •Семантика данных
- •Синтаксис данных
- •Примечания
- •Разработка структуры системы
- •Основные подсистемы и модули
- •Подсистема хранения данных
- •Подсистема авторизации
- •Базовая подсистема
- •Подсистема работы с документами
- •Подсистема шаблонов
- •Взаимодействие подсистем
- •Принципы построения структуры программы
- •Окончательное определение конфигурации технических средств
- •Серверное оборудование
- •Рабочие станции и устройства пользователей
- •Сетевое и коммуникационное оборудование
- •Программное обеспечение
- •Принципы построения конфигурации
- •Список ипользуемых источников
Отчёт об инциденте
Содержание данных:
уникальный код инцидента, формируемый функционалом базовой подсистемы;
источник инцидента – сервер, сетевое устройство, рабочая станция, прикладной сервис или пользователь (указано в структуре входных данных ЭП);
тип угрозы и краткое описание события, включая результаты нормализации и корреляции;
временные метки (время обнаружения события, время формирования инцидента, время запуска сценариев реагирования и завершения обработки);
меры, выполненные системой и специалистами, включая автоматические сценарии SOAR и ручные действия SOC;
итоговый результат обработки: устранено, обработано, отправлено на дорасследование, отклонено как нерелевантное;
контроль целостности отчёта (хеш или электронный идентификатор системы).
Формат передачи:
структурированные отчётные данные, формируемые подсистемой аналитики;
возможность экспорта в документированные файлы (формат выбирается системой документооборота организации);
сохранение отчёта в базе данных и его доступность через интерфейс системы.
Назначение:
формирование официальных отчётов для руководства и подразделений ИБ;
использование при расследованиях, внутренних аудитах и проверках регуляторов;
долговременное архивирование для анализа динамики инцидентов, моделирования угроз и совершенствования сценариев реагирования.
Отчётность и аналитические данные
Содержание данных:
сводные показатели работы системы, включая общее число инцидентов, распределение по категориям угроз, динамику выявленных событий и показатели эффективности реагирования;
метрики времени обработки, включая среднее время реакции и устранения (значения MTTR и аналогичные показатели, используемые в подсистеме отчётности);
детализированные сведения по каждому инциденту, такие как источник возникновения, время выявления, действия системы, результат обработки и ответственное подразделение;
аналитические агрегаты, формируемые по подразделениям, категориям угроз, временным периодам и типам сценариев реагирования;
статистические данные, используемые для формирования отчётов, KPI и визуализации тенденций угроз в подсистеме аналитики.
Формат передачи:
структурированные аналитические данные, подсистемой работы с документами;
представление в виде дашбордов, сводных таблиц и аналитических панелей, доступных через интерфейс системы;
экспорт отчётов в внутренние форматы системы, поддерживаемые подсистемой аналитики и документирования;
доступность данных для дальнейшей обработки в корпоративных аналитических сервисах.
Назначение:
для подразделений информационной безопасности – оценка эффективности реагирования, анализ трендов угроз, контроль выполнения установленных нормативов;
для ИТ-подразделений – мониторинг нагрузки на инфраструктуру, контроль стабильности сервисов и своевременное выявление аномалий;
для руководства организации – принятие управленческих решений на основе KPI, динамики угроз и общей ситуации по информационной безопасности.