- •1 Общие положения
- •Наименование системы и общие положения
- •Назначение создания системы
- •Область применения
- •Функционал
- •2 Технические характеристики
- •2.1 Постановка цели на создание системы
- •2.2 Используемые методы и алгоритмы
- •2.2.1 Алгоритм автоматического выявления и классификации инцидентов
- •2.2.2 Алгоритм приоритезации обработки инцидентов
- •2.2.3 Метод контроля sla (Service Level Agreement)
- •2.2.4 Метод расчёта показателей эффективности kpi
- •2.2.5 Метод анализа инцидентов и самообучения системы
- •2.3 Алгоритм работы системы
- •2.4 Структура входных и выходных данных
- •2.5 Состав технических и программных средств
- •2.6 Принципы построения конфигурации
- •3 Технико-экономическое обоснование
- •3.1 Цель тэо
- •3.2 Выгоды для Заказчика
- •3.3 Технические и функциональные преимущества перед аналогами на рынке
- •Список ипользуемых источников
2.2 Используемые методы и алгоритмы
2.2.1 Алгоритм автоматического выявления и классификации инцидентов
Базовая подсистема выполняет анализ входящих событий с применением встроенных механизмов нормализации и правил обработки, определённых в подсистеме шаблонов.
Для выявления инцидентов используются три типа алгоритмов:
Сигнатурные методы.
Сравнение события с заранее заданными правилами (шаблонами), описанными в подсистеме шаблонов. Применяется для типовых угроз: попытки подбора паролей, изменения конфигураций, сетевые сканирования.
Поведенческие методы.
Анализ отклонений от нормального поведения систем и сервисов (например, аномальная частота ошибок, резкий рост трафика). Базовая подсистема сопоставляет текущее событие с историческими данными, хранящимися в подсистеме хранения.
Статистические методы.
Используется подсистема хранения данных, которая формирует агрегированные показатели и выявляет аномалии по частотам, интервалам и интенсивности событий.
После обработки система присваивает инциденту:
тип угрозы: сетевое нарушение, подозрительная активность, сбой сервиса, нарушение доступа и др.;
уровень критичности: низкий, средний, высокий, критический.
Критичность определяется правилами, размещёнными в подсистеме шаблонов.
2.2.2 Алгоритм приоритезации обработки инцидентов
Приоритет инцидента P определяется по формуле (1):
P = f(S, I, R), (1)
где S – уровень серьёзности угрозы (1 – критическая, 2 – высокая, 3 – средняя, 4 – низкая);
I – влияние на инфраструктуру (1 – затрагивает ключевые сервисы, 2 – ограниченные сегменты, 3 – изолированные узлы);
R – вероятность повторения или распространения (коэффициент риска).
Чем выше значение P, тем выше приоритет обработки.
Используется базовой подсистемой для выбора сценария.
2.2.3 Метод контроля sla (Service Level Agreement)
Для каждого типа инцидента задаются нормативы по времени реакции (Tₚ) и устранения (Tᵣ).
Рассчитываются показатели соблюдения SLA (2):
SLA = (Nₒк / Nₒбщ) × 100%, (2)
где Nₒк – количество инцидентов, обработанных в пределах допустимого времени,
Nₒбщ – общее количество инцидентов за период.
2.2.4 Метод расчёта показателей эффективности kpi
Применяется для оценки производительности SOC и подразделений ИБ:
Базовая формула (3):
KPI = (Факт / План) × 100%. (3)
Примеры KPI:
KPI по уровню автоматизации реагирования (4):
KPI = (Количество автоматических реакций / Общее количество инцидентов) × 100%. (4)
2.2.5 Метод анализа инцидентов и самообучения системы
После завершения обработки каждого инцидента система фиксирует его ключевые характеристики: тип события, причину возникновения, выполненные действия, итоговый статус и время устранения. Эти сведения автоматически сохраняются в базе знаний, входящей в состав подсистемы хранения данных.