Оценка эффективности центров мониторинга и реагирования на киберугрозы: ограничения временных метрик и операционные индикаторы качества
Работая с сайтом, я даю свое согласие на использование файлов cookie. Это необходимо для нормального функционирования сайта, показа целевой рекламы и анализа трафика. Статистика использования сайта обрабатывается системой Яндекс.Метрика
Принять
Научный журнал Моделирование, оптимизация и информационные технологииThe scientific journal Modeling, Optimization and Information Technology
cетевое издание
issn 2310-6018
Главная О журнале Текущий выпуск Архив Авторам Редакционная коллегия
12+
отправить
статью
Главный редактор О журнале Авторам
Текущий выпуск Редакционная коллегия Архив

Оценка эффективности центров мониторинга и реагирования на киберугрозы: ограничения временных метрик и операционные индикаторы качества

Пахомов В.В. 

УДК 004.056.55
DOI: 10.26102/2310-6018/2025.51.4.040

  • Аннотация
  • Список литературы
  • Об авторах

В статье рассматриваются практики оценки эффективности центров мониторинга и реагирования на киберугрозы в условиях роста объемов телеметрии и усложнения атак. Показано, что распространенные показатели среднего времени обнаружения и среднего времени реагирования отражают преимущественно быстроту, но не отвечают на вопросы о достаточности данных для обоснованных выводов, наличии контекста расследования и повторяемости его шагов. Выполнено сопоставление международных руководств и обзорных отчетов с российскими нормативными требованиями и проведен анализ отраслевых публикаций. В качестве результата систематизированы источники данных центра мониторинга, выделены типовые узкие места в цепочке преобразования данных и ограничения классических временных метрик. Предложена простая рамка сравнения по трем направлениям: скорость, контекст, процесс. Новизна состоит во введении трех вычислимых индикаторов: полноты контекста (доля инцидентов, подтвержденных не менее чем тремя независимыми источниками), воспроизводимости расследований (доля шагов, выполненных по утвержденным сценариям с машиночитаемым журналированием) и устойчивости к пиковым нагрузкам (сопоставление соблюдения целевых сроков в пиковом и базовом режимах), а также интегрального показателя управляемости, объединяющего скорость, точность и полноту. Практическая значимость заключается в возможности расчета указанных индикаторов на имеющихся системах управления событиями информационной безопасности и в их включении в дашборды для аудита, планирования ресурсов и сопоставимости команд.

1. Шабловский Я.К., Гельфанд А.М. Обзор технологии SOC (Security Operations Center). Инновации. Наука. Образование. 2021;(33):1316–1321.

2. Кузнецов А.В. Организация раздельного хранения данных о событиях безопасности. Вопросы кибербезопасности. 2024;(2):22–28. https://doi.org/10.21681/2311-3456-2024-2-22-28

3. Forsberg J., Frantti T. Technical Performance Metrics of a Security Operations Center. Computers & Security. 2023;135. https://doi.org/10.1016/j.cose.2023.103529

4. Agyepong E., Cherdantseva Yu., Reinecke Ph., Burnap P. A Systematic Method for Measuring the Performance of a Cyber Security Operations Centre Analyst. Computers & Security. 2023;124. https://doi.org/10.1016/j.cose.2022.102959

5. Шилова А.Д. Критерий безопасности сетевой инфраструктуры. Научно-технический вестник информационных технологий, механики и оптики. 2023;23(3):530–537. https://doi.org/10.17586/2226-1494-2023-23-3-530-537

6. Bridges R.A., Rice A.E., Oesch S., et al. Testing SOAR Tools in Use. Computers & Security. 2023;129. https://doi.org/10.1016/j.cose.2023.103201

7. Islam M.A. Application of Artificial Intelligence and Machine Learning in a Security Operations Center. Issues in Information Systems. 2023;24(4):311–327. https://doi.org/10.48009/4_iis_2023_124

8. González-Granadillo G., González-Zarzosa S., Diaz R. Security Information and Event Management (SIEM): Analysis, Trends, and Usage in Critical Infrastructures. Sensors. 2021;21(14). https://doi.org/10.3390/s21144759

9. Shaked A., Cherdantseva Yu., Burnap P., Maynard P. Operations-Informed Incident Response Playbooks. Computers & Security. 2023;134. https://doi.org/10.1016/j.cose.2023.103454

10. Федорченко А.В., Левшун Д.С., Чечулин А.А., Котенко И.В. Анализ методов корреляции событий безопасности в SIEM-системах. Часть 1. Труды СПИИРАН. 2016;(4):5–27. https://doi.org/10.15622/sp.47.1

11. Федорченко А.В., Левшун Д.С., Чечулин А.А., Котенко И.В. Анализ методов корреляции событий безопасности в SIEM-системах. Часть 2. Труды СПИИРАН. 2016;(6):208–225. https://doi.org/10.15622/sp.49.11

12. Mahboubi A., Luong Kh., Aboutorab H., et al. Evolving Techniques in Cyber Threat Hunting: A Systematic Review. Journal of Network and Computer Applications. 2024;232. https://doi.org/10.1016/j.jnca.2024.104004

13. Афанасьева С.В., Кузьмина У.В. Основные проблемы при работе с центрами мониторинга информационной безопасности. Вестник УрФО. Безопасность в информационной сфере. 2023;(1):51–58. https://doi.org/10.14529/secur230105

14. Feng W., Cao Yu, Chen Y. Multi-Granularity User Anomalous Behavior Detection. Applied Sciences. 2025;15(1). https://doi.org/10.3390/app15010128

Пахомов Валерий Владиславович

Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации

Москва, Российская Федерация

Ключевые слова: SOC, оценка эффективности, MTTD, MTTR, полнота контекста, воспроизводимость расследований, устойчивость под нагрузкой, SIEM, SOAR, XDR

Для цитирования: Пахомов В.В. Оценка эффективности центров мониторинга и реагирования на киберугрозы: ограничения временных метрик и операционные индикаторы качества. Моделирование, оптимизация и информационные технологии. 2025;13(4). URL: https://moitvivt.ru/ru/journal/pdf?id=2092 DOI: 10.26102/2310-6018/2025.51.4.040

40

Полный текст статьи в PDF

Поступила в редакцию 11.10.2025

Поступила после рецензирования 07.11.2025

Принята к публикации 17.11.2025

Текущий выпуск предыдущие выпуски все публикации