Предварительная экспертиза инцидента информационной безопасности

Предварительное расследование инцидента информационной безопасности является частным случаем использования компьютерно-технической и нормативно-технической экспертизы в области ИТ и ИБ.

Предварительное расследование инцидента информационной безопасности проводится на самом раннем этапе обнаружения инцидента или появления обоснованного предположения, что инцидент произошел. Первоочередной задачей на данном этапе сбор максимального объема технических данных и фиксация их состояния. В результате проводимой работы Заказчик получает подтвержденные третьей стороной выписки, логи, журналы, конфигурации и пр. Полученные данные могут использоваться для проведения внутреннего расследования или проведения расследования третьей стороной. RTM Group гарантирует достоверность собранных во время предварительного расследования инцидента данных. Данные могут быть подтверждены экспертом RTM Group при возможных в будущем судебных процессах.

Таким образом, практически исключается возможность признанная собранных технических данных недопустимым доказательством.

Срок проведения расследования, согласно внутренней методике RTM Group, не может превышать 2 календарных дня (1 день – исследование, 2 день – подготовка отчета).

Итоговый отчет содержит первичные выводы относительно установленных обстоятельств инцидента. К отчету прикладываются полный массив собранных и значимых для инцидента данных.

План работ:

Этап Мероприятие
1 Выезд инженера на площадку заказчика

  • Сбор технических данных
2 Подготовка отчета

  • Оформление собранных технических данных

Обеспечение исполнения услуги (предоставляется Заказчиком):

  • Рабочее место на площадке Заказчика в отдельном помещении
  • Доступ в информационные системы Заказчика (возможно использование оборудования RTM Group)

Работа с оборудованием и ПО Заказчика осуществляется:

  • В присутствии администратора безопасности и/или представителя службы ИТ
  • При строгом ограничении доступа специалиста Исполнителя к ключевой информации

Работы закрываются единым актом выполненных работ.