- •Содержание
- •Общие положения
- •Наименование системы и общие положения
- •Назначение и цели создания системы
- •Область применения
- •Функционал
- •Уточнение структуры входных и выходных данных
- •Входные данные
- •Данные о событиях безопасности
- •Данные об инцидентах
- •Данные пользователей системы
- •Служебные и интеграционные данные
- •Выходные данные
- •Статус инцидента
- •Отчёт об инциденте
- •Отчётность и аналитические данные
- •Информация о критических и подозрительных инцидентах
- •Методы решения задачи
- •Корреляция и анализ событий безопасности
- •Используемые технологии
- •Применение
- •Автоматическое реагирование на инциденты
- •Методы аутентификации
- •Применение
- •Шифрование и защита данных
- •Методы и инструменты
- •Применение
- •Аутентификация и контроль доступа
- •Методы и технологии
- •Применение
- •Аналитика и отчетность
- •Методы и инструменты
- •Применение
- •Разработка алгоритма решения задачи
- •Цель алгоритма
- •Общий принцип работы алгоритма
- •Взаимодействие подсистем
- •Определение формы представления входных и выходных данных
- •Определение семантики и синтаксиса языка
- •Семантика данных
- •Синтаксис данных
- •Примечания
- •Разработка структуры системы
- •Основные подсистемы и модули
- •Подсистема хранения данных
- •Подсистема авторизации
- •Базовая подсистема
- •Подсистема работы с документами
- •Подсистема шаблонов
- •Взаимодействие подсистем
- •Принципы построения структуры программы
- •Окончательное определение конфигурации технических средств
- •Серверное оборудование
- •Рабочие станции и устройства пользователей
- •Сетевое и коммуникационное оборудование
- •Программное обеспечение
- •Принципы построения конфигурации
- •Список ипользуемых источников
Методы аутентификации
Использование подсистемы автоматизированного реагирования (SOAR-функциональность) для запуска сценариев обработки инцидентов;
применение предопределённых шаблонов реагирования, определяющих последовательность действий при конкретных типах угроз;
интеграция с Service Desk, средствами мониторинга и защиты информации для выполнения связанных процедур;
автоматическое уведомление специалистов службы ИБ и смежных подразделений через корпоративные каналы связи;
ведение централизованного журнала действий, включая запуск сценариев, изменения статусов и результаты реагирования.
Применение
Блокировка атакующих IP-адресов, сетевых соединений и компрометированных учётных записей;
изоляция устройств или сегментов сети при угрозе распространения атаки;
автоматическое создание задач и уведомлений в Service Desk;
оповещение операторов SOC и ответственных специалистов о критичных событиях и предпринятых мерах;
фиксация результатов выполнения сценариев и передача их в подсистему отчётности.
Шифрование и защита данных
Цель
Обеспечение конфиденциальности, целостности и защищённости информации, обрабатываемой системой, как при её передаче между компонентами АСУ «Бустсейв», так и при хранении в подсистеме данных.
Цель включает предотвращение несанкционированного доступа, подмены и искажения данных.
Методы и инструменты
Использование сертифицированных средств криптографической защиты информации, соответствующих требованиям ФСТЭК России и ФСБ России;
защита каналов передачи данных между подсистемами с обеспечением конфиденциальности и целостности;
шифрование и контроль целостности данных, включая журналы регистрации, конфигурационные данные, материалы расследований и отчётные файлы;
применение механизмов аутентификации и проверки целостности при обмене служебной информацией;
использование средств, обеспечивающих защиту от подмены и несанкционированного изменения данных.
Применение
Шифрование данных при передаче между подсистемами АСУ «Бустсейв» и внешними корпоративными сервисами;
хранение событий безопасности, журналов, отчётов, пользовательских данных и материалов расследований в защищённом виде;
обеспечение контроля целостности критичных данных и файлов конфигурации;
защита диагностических журналов и служебной информации, используемой подсистемами мониторинга и реагирования.
Аутентификация и контроль доступа
Цель
Предотвращение несанкционированного доступа к системе и обеспечение корректного разграничения прав пользователей в соответствии с назначенными ролями.
Цель включает контроль всех действий пользователей и обеспечение безопасности критичных операций.
Методы и технологии
Идентификация и аутентификация пользователей с использованием учётных записей;
проверка полномочий на основе ролевой модели доступа (администратор безопасности, оператор SOC, системный администратор, администратор БД, пользователь системы);
разграничение прав для доступа к подсистемам, данным и административным функциям;
ведение журнала действий пользователей, включая: входы/выходы, попытки доступа, изменения конфигураций, выполнение сценариев реагирования;
автоматическая блокировка сессии при превышении времени бездействия;
контроль целостности данных при выполнении критичных операций.