ФГАОУ ВО «Московский политехнический университет»

УТВЕРЖДАЮ УТВЕРЖДАЮ

ректор Московского политехнического декан факультета ИТ

университета

Личная Миклушевский В.В. Личная Демидов Д.Г.

Подпись Расшифровка подпись Расшифровка

Печать Печать

Дата 28.09.2025 Дата 28.09.2025

Автоматизированная система управления инцидентами информационной безопасности «Бустсейв»

АСУ «Бустсейв»

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

На 24 листах

Действует с 28.09.2025

СОГЛАСОВАНО

Руководитель образовательной

программы

Личная Гнешев А.Ю подпись

Печать

Дата 28.09.2025

2025

СОДЕРЖАНИЕ

1 ОБЩИЕ ПОЛОЖЕНИЯ 3

1.1 Наименование системы и общие положения 3

1.2 Назначение создания системы 3

1.3 Область применения 3

1.4 Функционал 3

2 ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ 5

2.1 Постановка цели на создание системы 5

2.2 Используемые методы и алгоритмы 6

2.2.1 Алгоритм автоматического выявления и классификации инцидентов 6

2.2.2 Алгоритм приоритезации обработки инцидентов 7

2.2.3 Метод контроля SLA (Service Level Agreement) 7

2.2.4 Метод расчёта показателей эффективности KPI 8

2.2.5 Метод анализа инцидентов и самообучения системы 8

2.3 Алгоритм работы системы 8

2.4 Структура входных и выходных данных 10

2.5 Состав технических и программных средств 11

2.6 Принципы построения конфигурации 14

3 ТЕХНИКО-ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ 15

3.1 Цель ТЭО 15

3.2 Выгоды для Заказчика 15

3.3 Технические и функциональные преимущества перед аналогами на рынке 18

СПИСОК ИПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 20

ФГАОУ ВО «Московский политехнический университет» 24

ФГАОУ ВО «Московский политехнический университет» 24

1 Общие положения

1. Наименование системы и общие положения

Автоматизированная система управления инцидентами информационной безопасности «Бустсейв».

2. Назначение создания системы

Автоматизированная система управления инцидентами информационной безопасности «Бустсейв» предназначена для автоматизации процессов обнаружения, анализа, регистрации и оперативного реагирования на инциденты информационной безопасности в сервисе «Спиральный бустер».

Система обеспечивает исключение ручного сбора данных, сокращение времени обработки инцидентов, повышение уровня защищённости ИТ-инфраструктуры и унификацию процессов взаимодействия между подразделениями.

3. Область применения

Автоматизированная система управления инцидентами информационной безопасности «Бустсейв» применяется в рамках процессов обеспечения информационной безопасности сервиса «Спиральный бустер». Система используется подразделениями, осуществляющими мониторинг событий безопасности, управление инцидентами, проведение расследований и разработку мер реагирования, анализа и корреляции данных, выполнения сценариев реагирования, документирования и подготовки отчётности.

4. Функционал

АСУ «Бустсейв» обеспечивает сбор, нормализацию и корреляцию событий безопасности из различных источников ИТ-инфраструктуры, выполняет автоматизированный анализ инцидентов, формирует уведомления о выявленных нарушениях, реализует сценарии реагирования, включая блокировку атакующих узлов, изоляцию скомпрометированных устройств и запуск процедур восстановления, обеспечивает интеграцию с системами мониторинга и средствами защиты информации, формирует аналитические отчёты и журналы регистрации, а также предоставляет средства администрирования, управления доступом и контроля работоспособности системы.

2 Технические характеристики

2.1 Постановка цели на создание системы

В текущей архитектуре сервиса «Спиральный бустер» процессы обработки событий и инцидентов информационной безопасности выполняются с использованием отдельных внутренних инструментов, локальных журналов, частично ручных процедур и несогласованных методов регистрации. Это приводит к ряду системных проблем:

1. Отсутствие единого ядра обработки событий.

События безопасности поступают из различных источников (серверы, сетевые устройства, прикладные сервисы), но не проходят централизованную нормализацию, что снижает качество анализа и усложняет выявление инцидентов.

2. Недостаток автоматизации процессов реагирования.

Обработка обнаруженных инцидентов выполняется вручную или с использованием разрозненных инструментов, что увеличивает время реакции и приводит к рискам невыполнения внутренних KPI (MTTD, MTTR).

3. Отсутствие единого хранилища структурированных данных.

Инциденты, события, служебные журналы и отчётные данные не консолидированы в централизованную базу, что препятствует проведению анализа, построению отчётности и формированию истории обработки.

4. Несогласованность правил, документов и процедур реагирования.

На данный момент отсутствует единая библиотека шаблонов обработки инцидентов, а последовательность действий специалистов не формализована, что снижает воспроизводимость и надёжность реагирования.

5. Фрагментарный контроль доступа и отсутствие общего механизма авторизации.

Пользовательские роли и политики безопасности не объединены единым модулем авторизации, что создаёт риски некорректного разграничения прав и нарушений целостности данных.

6. Недостаточная автоматизация формирования отчётности и документов.

Итоговые документы (отчёты, аналитика, сводки) формируются вручную, что увеличивает трудозатраты и снижает точность данных.

Цель создания системы – создать автоматизированную систему управления инцидентами информационной безопасности «Бустсейв», обеспечивающую:

• централизованный сбор, нормализацию и обработку событий безопасности;

• автоматическое выявление и регистрацию инцидентов;

• выполнение предопределённых сценариев реагирования;

• ведение единой базы событий, инцидентов, журналов и документов;

• формирование отчётных материалов и аналитики;

• обеспечение строгого и централизованного контроля доступа.