- •Содержание
- •Общие положения
- •Наименование системы и общие положения
- •Назначение и цели создания системы
- •Область применения
- •Функционал
- •Уточнение структуры входных и выходных данных
- •Входные данные
- •Данные о событиях безопасности
- •Данные об инцидентах
- •Данные пользователей системы
- •Служебные и интеграционные данные
- •Выходные данные
- •Статус инцидента
- •Отчёт об инциденте
- •Отчётность и аналитические данные
- •Информация о критических и подозрительных инцидентах
- •Методы решения задачи
- •Корреляция и анализ событий безопасности
- •Используемые технологии
- •Применение
- •Автоматическое реагирование на инциденты
- •Методы аутентификации
- •Применение
- •Шифрование и защита данных
- •Методы и инструменты
- •Применение
- •Аутентификация и контроль доступа
- •Методы и технологии
- •Применение
- •Аналитика и отчетность
- •Методы и инструменты
- •Применение
- •Разработка алгоритма решения задачи
- •Цель алгоритма
- •Общий принцип работы алгоритма
- •Взаимодействие подсистем
- •Определение формы представления входных и выходных данных
- •Определение семантики и синтаксиса языка
- •Семантика данных
- •Синтаксис данных
- •Примечания
- •Разработка структуры системы
- •Основные подсистемы и модули
- •Подсистема хранения данных
- •Подсистема авторизации
- •Базовая подсистема
- •Подсистема работы с документами
- •Подсистема шаблонов
- •Взаимодействие подсистем
- •Принципы построения структуры программы
- •Окончательное определение конфигурации технических средств
- •Серверное оборудование
- •Рабочие станции и устройства пользователей
- •Сетевое и коммуникационное оборудование
- •Программное обеспечение
- •Принципы построения конфигурации
- •Список ипользуемых источников
Определение семантики и синтаксиса языка
Семантика данных
Каждое поле входных и выходных данных АСУ «Бустсейв» имеет фиксированное значение и используется всеми подсистемами системы в единообразном виде. Семантика данных обеспечивает корректную трактовку информации при передаче между:
базовой подсистемой – обработка, маршрутизация и логика работы;
подсистемой хранения данных – сохранение, архивирование и контроль целостности;
подсистемой авторизации – идентификация пользователей и контроль доступа;
подсистемой работы с документами – формирование отчётов и итоговых материалов;
подсистемой шаблонов – применение правил, сценариев и предустановленных моделей обработки.
Основные элементы семантики данных:
EventID – уникальный идентификатор события безопасности, присваиваемый при его регистрации в системе;
IncidentID – уникальный идентификатор инцидента, сформированного в результате корреляции событий;
UserID – идентификатор пользователя системы (оператора SOC, администратора безопасности, системного администратора, CISO и др.);
Source – источник возникновения события: сервер, рабочая станция, прикладной сервис, сетевое устройство, IP-адрес или пользователь;
EventType – тип события: аутентификация, сетевой трафик, изменение конфигурации, попытка доступа, ошибка приложения и другие категории;
Severity – уровень критичности события или инцидента: Low, Medium, High, Critical;
Status – текущий статус инцидента: Active, In Progress, Resolved, False Positive;
Timestamp – временная метка события или обновления статуса в стандарте ISO 8601 (YYYY-MM-DDThh:mm:ssZ);
ActionTaken – выполненные системой или специалистами меры реагирования: блокировка IP, изоляция хоста, уведомление, запуск сценария;
RiskLevel – уровень риска, присвоенный анализируемому событию (Low, Medium, High, Critical);
Description – текстовое описание события или инцидента, включающее ключевые детали и контекст;
Owner – пользователь или подразделение, назначенное ответственным за обработку инцидента;
ResolutionTime – время устранения инцидента (в минутах или часах), фиксируемое подсистемой отчётности;
KPI – показатели эффективности реагирования: MTTD (Mean Time To Detect), MTTR (Mean Time To Respond), SLA и другие метрики.
Семантика данных обеспечивает однозначную интерпретацию информации всеми подсистемами и позволяет:
стандартизировать обмен данными между модулями системы;
обеспечивать корректную корреляцию событий;
формировать отчёты и аналитические панели;
сохранять целостность и непротиворечивость информации.
Синтаксис данных
Для взаимодействия между подсистемами АСУ «Бустсейв» используется формализованный синтаксис данных. Обмен осуществляется в машиночитаемых структурах, позволяющих однозначно интерпретировать передаваемую информацию как внутри системы, так и при интеграции с внешними сервисами.
Основные требования к синтаксису:
форматы передачи – сообщения формируются в структурированных видах данных (например, json или xml), что обеспечивает совместимость с корпоративными сервисами и внутренними механизмами обработки;
стандартизированные ключи – имена полей фиксированы спецификацией системы, что обеспечивает единообразие для всех подсистем (мониторинга, корреляции, реагирования, хранения и отчётности);
типизация полей – для каждого атрибута определён тип данных и обязательность его наличия (обязательное или дополнительное поле), что исключает неоднозначность при обработке;
поддержка вложенных структур – формат сообщений допускает использование массивов и вложенных объектов, например, при передаче нескольких событий в составе одного инцидента;
валидация данных – перед обработкой сообщения проходят проверку целостности и соответствия внутренним схемам (json schema / xml schema), что предотвращает ошибки и нарушение логики обработки.
Пример XML-сообщения представлен в листинге 1.
<Incident> <IncidentID>INC-2025-4781</IncidentID> <Timestamp>2025-11-12T09:22:14Z</Timestamp> <Source>Server-12</Source> <EventType>AccessViolation</EventType> <Severity>High</Severity> <Status>Active</Status> <ActionTaken>HostIsolated</ActionTaken> <RiskLevel>Critical</RiskLevel> <Owner>SOC_Level2</Owner> <Description>Detected unauthorized configuration changes on the host.</Description> <ResolutionTime/> </Incident> |
Листинг 1 – Пример XML-сообщения