Расследование инцидентов

Оперативное расследование при возникновении инцидента ИБ или подозрении на его возникновение. В ходе расследования инцидента устанавливаются:

• факт возникновения инцидента,
• временные промежутки,
• затронутые ресурсы,
• факты несанкционированных доступа и передачи информации,
• факты внесения в ресурсы программных закладок, несанкционированных настроек и средств съема информации,
• сценарий развития инцидента,
• недостатки в системе защиты, сделавшие инцидент возможными.

Производится:

• анализ журналов регистраций событий ОС, прикладного ПО, публично доступных и внутренних ресурсов (почтовые, веб-, прокси-, DNS-серверы, почтовые серверы, серверы удаленного доступа, маршрутизаторы и МЭ и др.),
• анализ запущенных исполняемых модулей и их состояния в операционной системе исследуемых ресурсов, перечня компонентов ОС, запускаемых автоматически, содержимого реестра и конфигурационных файлов, дерева каталогов и файлов файловой системе, удаленных данных с жестких дисков, подлежащих восстановлению.
• изучение сетевого трафика исследуемых информационных ресурсов;
• сбор и анализ прочей информации, при необходимости.

Возможны сбор и изучение доказательной базы в формате, требующем представления в правоохранительные органы, организация криминалистической экспертизы.