— восстановление как можно большего числа стертых файлов и других данных;

— раскрытие IP-адресов, имен хостов, сетевых маршрутов и информации Web-сайтов;

— извлечение содержимого скрытых, временных файлов и файлов подкачки, используемых как прикладное, так и системное ПО;

— доступ к содержимому защищенных или зашифрованных файлов (если это не запрещено законодательством);

— анализ всех возможно значимых данных, найденных в специальных (обычно недоступных) областях памяти на дисках;

— анализ времени доступа к файлу, его создания и изменения;

— анализ логов системы / сервиса / сети и приложений;

— определение деятельности пользователей и/или приложений в системе / сервисе / сети;

— анализ электронной почты на наличие исходной информации и ее содержания;

— проведение проверок целостности файлов с целью обнаружения файлов, содержащих «троянского коня», и файлов, изначально отсутствовавших в системе;

— по возможности, анализ физических доказательств ущерба имуществу, например отпечатков пальцев, результатов видеонаблюдения, логов системы сигнализации, логов доступа по пропускам и опроса свидетелей:

— обработка и хранение добытых потенциальных доказательств так, чтобы избежать их повреждения, приведения в негодность и предотвращения просмотра конфиденциального материала несанкционированными лицами. Следует подчеркнуть, что сбор доказательств всегда должен проводиться в соответствии с правилами судопроизводства или слушания дела, для которых возможно представление данного доказательства;

— получение выводов о причинах инцидента ИБ, необходимых действиях и времени их выполнения с приведением свидетельств, включая список соответствующих файлов, включенных в приложение к главному отчету;

— обеспечение экспертной поддержки для любого дисциплинарного или правового действия (при необходимости).

Методы выполнения вышеуказанных действий должны документироваться в процедурах ГРИИБ.

ГРИИБ должна обладать разнообразными навыками в обширной области технических знаний (включая знание средств и методов, которые, возможно, будут использоваться нарушителем), опытом проведения анализа/расследования (с учетом защиты используемых доказательств), знанием нормативно-правовых положений и постоянной осведомленностью о тенденциях, связанных с инцидентами ИБ.

Необходимо учесть следующее:

— некоторые организации могут не иметь своих юристов, поэтому вынуждены обращаться к сторонним юридическим службам;

— сбор правовых доказательств в случае нанесения значительного ущерба может оказаться отправной точкой для возможного возбуждения уголовного дела, т. е. усилия и затраты могут быть оправданы;

— отказ от привлечения специалистов для фиксации правовых доказательств может привести к невозможности судебного разбирательства.

4.6. Коммуникации

Во многих случаях, когда ГРИИБ подтвердила реальность инцидента ИБ, возникает необходимость информирования конкретных лиц как внутри организации (вне обычных линий связи между ГРИИБ и руководством), так и за ее пределами, включая СМИ. Для этого могут потребоваться несколько этапов, например, подтверждение реальности инцидента ИБ и его подконтрольности, определение инцидента ИБ как объекта кризисного управления, завершение инцидента ИБ и завершение отчета о нем.

В случае необходимости осуществления передачи информации необходимо определить, кому нужно знать, что и когда. В таком случае необходимо определить получателей информации и в зависимости от скорости и полноты получения информации разделить их на группы, например:

— прямые внутренние получатели (кризисный персонал, персонал СУИБ и т. п.);

— прямые внешние получатели (внешняя ГРИИБ, партнеры, поставщики и т. п.);

— другие внешние получатели, например, телевидение, пресса и/или другие СМИ.

Каждая группа может нуждаться в разного рода информации, которую она будет получать с определенной скоростью по выделенному организацией каналу. Одной из основных задач передачи информации после решения инцидента ИБ является гарантирование того, что прямые внешние и внутренние посредники получат более полную информацию и раньше других внешних контактов.

Для оказания содействия такой деятельности целесообразно заранее подготовить конкретную информацию с целью быстрой адаптации ее к обстоятельствам возникновения конкретного инцидента ИБ и предоставления этой информации прессе и/или другим СМИ.