Предварительная экспертиза инцидента информационной безопасности

Мы предлагаем:

  • Расследование инцидентов информационной безопасности используя передовые мировые практики;
  • Наиболее полную и правильную фиксацию всех цифровых доказательств;
  • Составление подробного отчета об инциденте;
  • Сопровождение на этапе разбора инцидента в компании, следственных действий и судебного процесса в случае необходимости.

Почему мы:

  • Более 200 расследованных инцидентов ИБ в государственном секторе, сфере финансов, логистики, промышленного производства, услуг связи и т.д.;
  • Собранные нами технические данные признают допустимым доказательством;
  • Гарантия сохранности и неизменности собранной информации.

Важно:

Реагирование на инцидент в течении 24 часов независимо от местоположения.

Предварительная экспертиза инцидента информационной безопасности - услуги RTM Group
Предварительная экспертиза инцидента информационной безопасности - от RTM Group
Узнать стоимость?

Эксперты по экспертизе инцидентов информационной безопасности

Эксперт по экспертизе инцидентов информационной безопасности Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по экспертизе инцидентов информационной безопасности Мещеряков Владимир Алексеевич

Мещеряков Владимир Алексеевич

Опыт: Научно-педагогический стаж работы в сфере информационных технологий и компьютерной экспертизы более 35 лет. Профессор кафедры криминалистики. Доктор юридических наук. Кандидат технических наук.

Профиль >>

Все эксперты

Предварительное расследование инцидента информационной безопасности (экспресс-аудит инцидента ИБ) является частным случаем применения компьютерно-технической и нормативно-технической экспертизы в области ИТ и ИБ.

Экспресс-аудит проводится на самом раннем этапе обнаружения инцидента или появления обоснованного предположения, что инцидент произошел. Первоочередной задачей на данном этапе является сбор максимального объема технических данных и фиксация их состояния. В результате проводимой работы Заказчик получает подтвержденные третьей стороной выписки, логи, журналы, конфигурации и пр.

Полученные данные могут использоваться для проведения внутреннего расследования или проведения расследования третьей стороной. Таким образом, практически исключается возможность признания собранных технических данных недопустимым доказательством и их потеря.

План работ по экспертизе инцидента ИБ:

Этап Мероприятие
1 Выезд специалиста на площадку заказчика

  • Сбор технических данных
2 Подготовка отчета

  • Оформление собранных технических данных

Обеспечение исполнения услуги (предоставляется Заказчиком):

Обеспечение исполнения услуги

  • Рабочее место на площадке Заказчика в отдельном помещении
  • Доступ в информационные системы Заказчика (возможно использование оборудования RTM Group)

Работа с оборудованием и ПО Заказчика осуществляется:

Работа с оборудованием и ПО Заказчика

  • В присутствии администратора безопасности и/или представителя службы ИТ
  • При строгом ограничении доступа специалиста Исполнителя к ключевой информации

Работы закрываются единым актом выполненных работ.

Срок проведения экспресс-расследования, согласно внутренней методике RTM Group, не может превышать 2 календарных дня (1 день – исследование, 2 день – подготовка отчета).

Итоговый отчет содержит первичные выводы относительно установленных обстоятельств инцидента. К отчету прикладываются полный массив собранных и значимых для инцидента данных.

Заказать предварительную экспертизу инцидента информационной безопасности

Для уточнения стоимости и сроков экспертизы заполните форму ниже.

В целях проверки и предотвращения инцидентов ИБ рекомендуем заказать пентест (тестирование на проникновение и анализ уязвимостей).

Наш опыт

Эксперты RTM Group принимали участие в следующих делах:

Гражданские дела

  • 2-195/19
  • 2-3485/16
  • 2-5586/15
  • и пр.

Арбитражные дела

  • А61-2420/2018
  • А56-48236/2018
  • А14-6428/2017
  • А14-18626/2017
  • А36-1780/2016
  • А14-18350/2015
  • А14-13798/2014
  • А14-194/2016
  • А64-4093/2017
  • А36-4987/2018
  • А40-25185/2018
  • А08-8092/2017
  • А53-8968/2017
  • А36-1780/2016
  • А54-1566/2016
  • и пр.

Уголовные дела

  • 31510586 (Банковская безопасность, Липецкая область)
  • 07/41/0082-15 (Фоноскопия, г. Тамбов)
  • 41610889 (Фоноскопия, г. Липецк)
  • 11801420028000200 (Поиск информации на изъятом ПК, г. Липецк)
  • 41610242 (Поиск информации на изъятом ПК, Липецкая область)
  • 31610321 (Контрафактный софт, Липецкая область)
  • 20151050036 (Контрафактный софт, Белгородская область)
  • 11801420026000100 (Анализ памяти смартфона на предмет вредоносов, г. Липецк)
  • 91510446 (Анализ баз 1С, г. Липецк)
  • 11801420015000000 (Анализ памяти устройств, Липецкая область)
  • 1-18-01420011-000021 (Вредонос и контрафакт, Липецкая область)
  • 11801420001000100 (Вредонос и контрафакт, г. Липецк)
  • 11801420026000100 (Вредоносное ПО, г. Липецк)
  • 11701420026000100 (Мошенничество с магнитными картами, г. Липецк)
  • 11801420028000600 (Несанкционированный доступ к информации, г. Липецк)
  • 11801420009000400 (Распространение порнографии, г. Липецк)
  • 11901420007000000 (Оскорбление в соц. сети, Липецкая область)
  • и пр.






Видео по экспертизе инцидентов информационной безопасности

Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по экспертизе инцидентов информационной безопасности

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

Информационное письмо для суда

бесплатно

Предварительная экспертиза инцидента ИБ

При запросе просим указывать дату инцидента, а также краткое описание обстоятельств.

от 90 000 руб.

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

более 1800 экспертиз

по направлению информационных технологий проведено нашими экспертами

2800+ аудитов и экспертиз

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

9 лет

Минимальный стаж экспертной работы

более 50 вариантов

производимых ИТ-экспертиз

35

дипломированных экспертов

Продукты и решения для вас

Нам доверяют

FAQ: Часто задаваемые вопросы

Произошел инцидент. Руководители ИБ и ИТ не могут сойтись во мнении по выставлению показателя критичности. Как сможете помочь?

Здравствуйте.
В соответствии с ГОСТ Р ИСО/МЭК ТО 18044-2007 либо по иному стандарту, наши эксперты проанализируют возникшую ситуацию, соответствующую степени реализации риска ИБ и в соответствии с классификатором рисков присвоят инциденту статус критичности.

Верно ли, что, когда деньги увели – уже поздно метаться?

На самом деле, увод денег — это не одномоментная процедура, мошенникам их надо перевести, обналичить, и мошенники тоже не всегда действуют достаточно расторопно. То есть здесь надо просто проявить максимум оперативности, чтобы успеть быстрее, чем мошенники. Грубо говоря, если у меня украли деньги и перевели их злоумышленнику, я успел позвонить в банк за десять минут, то заблокировать счет злоумышленника за десять минут реально, но для этого должно быть оперативное взаимодействие. За десять минут снять миллион рублей – это тяжело, даже физически банкомат не успеет их выдать.

Какие трудности возникают при взаимодействии с правоохранительными органами?

Во-первых, правоохранительные органы, чтобы добиться какой-то информации от банка, должны пройти целую бюрократию. Это, как правило, месяц и даже несколько месяцев. А делать надо в тот же день, то есть, грубо говоря, сотрудники полиции с экспертом придут к вам в день хищения – вы их пустите в серверную? Вряд ли. Вы им дадите логи? Вряд ли. У вас там будет целая куча согласований, за это время мошенники не то, что деньги снять успеют, они уже будут в другой стране.

Возможен ли возврат украденных средств только по решению суда?

Фактически всегда решение суда – единственная возможность вернуть заблокированные деньги. Даже если успели заблокировать денежные средства на счете, в банке может не быть внутренней процедуры взаимодействия по возврату этих денег и, как правило, это идет через суд.

Вы сотрудничаете с правоохранительными органами?

Мы оказываем содействие правоохранительным органам в рамках участия как в следственных действиях, так и в рамках проведения экспертизы. Иногда это происходит по заключенному договору, но никакого предварительного соглашения, конечно, нет. Если им необходимо участие специалистов, например, в оперативных мероприятиях – мы его оказываем на разных стадиях расследования.

Деньги часто уходят на Qiwi- кошелёк и мгновенно оттуда уходят. Как бороться с такими кошельками?

Здесь бороться с фактом перевода проблематично, надо бороться именно на стадии его предотвращения. Помимо этого, мы говорим про оперативное реагирование – это не закроет все 100% хищений, но к этому надо, как минимум, стремиться.

Есть статистика по мошенничеству в СБП Банка России?

Статистики по мошенничеству в СБП пока немного, потому что к СБП начали подключаться только в прошлом году. И мы видим, по аналогии с общей статистикой хищений, что сведения в Банк России передаются в крошечном размере от общей статистики, а правоохранительные органы не выделяют у себя хищение через Visa, хищение через СБП, хищение через расчетный счет. Поэтому данная детализация статистики нам может быть доступна только из Центрального Банка и в том объеме, в котором он сам ее получит.

Какой способ считаете наиболее эффективным для подтверждения легитимности операции удаленно, для исключений мошенничества. При использовании мобильного приложения? Канал связи? Маркеры?

Во-первых, здесь стоит разделять физических лиц и юридических лиц.

Для юридических лиц – это однозначно «четыре глаза», то есть одной подписью ограничиваться не стоит.

Для физических лиц, для мобильных приложений, опять же, — это второй фактор по альтернативному каналу, никак не через Интернет: это должна быть хотя бы старая добрая SMS, которая вставлена в другой телефон.

Но эффективность для подтверждения операции и безопасность данной операции – это не совсем одно и то же. Все мы знаем, что безопасность снижает эффективность, если мы ставим у себя дверь с тремя замками, мы же сами эту дверь дольше открываем. Безопасность повышена? Повышена. А эффективность открытия дверей снижена. Поэтому мы говорим сейчас о рекомендациях по повышению безопасности. Повышение эффективности работы платежной системы и оперативность совершения платежей входят в прямой конфликт с обеспечением информационной безопасности. Хотелось бы, чтобы все это прекрасно понимали, и здесь надо соблюдать баланс, чтобы мы с одной стороны клиента не загоняли в какие-то негативные рамки вроде задержек в переводе, а с другой стороны – обеспечили ему какую-то безопасность.

Интересует, что делать, когда фрод сработал ложно?

Если антифрод сработал ложно, то это должно быть основанием совершить звонок клиенту с проверкой кодового слова, которое кроме клиента знать никто не должен. По переадресации звонков с телефона клиента – скажем так, кулуарно обсуждаются запреты таких функций. Сначала начали SIM-карты по паспортам выдавать, а теперь еще, я думаю, что номер телефона должен быть привязан к конкретному клиенту. То есть вся переадресация и так далее рано или поздно тоже начнет регулироваться, причем, на достаточно высоком уровне.

Операторы связи не по своей доброй воле это делают – их стимулируют, компетентные органы, потому что подобные функции — это, опять же, ограничение свободы клиента, вызывают негатив. Очевидно, что, если мы введем задержку по операции, клиент будет недоволен, но будет некоторое время чтобы мошенничество остановить.