ОБЩАЯ ИНФОРМАЦИЯ И СТАТИСТИКА

Компании разных организационно-правовых форм, размеров и форм собственности регулярно сталкиваются с инцидентами информационной безопасности. Этот показатель из года в год растёт параллельно с увеличением дефицита специалистов в области ИБ и приближается к 100%: большинство компаний столкнулись хотя бы с одним инцидентом , вызванным внешними или внутренними факторами.

По отчету управления по раскрытию преступлений в сфере высоких технологий МВД Республики Беларусь почти 75% киберпреступлений в Беларуси связаны с хищениями. Анализ криминогенной обстановки свидетельствует, что количество выявленных преступлений в сфере высоких технологий в 2017-м году по сравнению с 2016-м годом увеличилось на 25,4% (с 2471 до 3099). «Почти три четверти злодеяний в киберпространстве связаны с хищениями путем использования компьютерной техники.

Кроме того, на 20% (с 651 до 781) увеличилось количество выявленных преступлений против информационной безопасности. В первую очередь это обусловлено ростом числа фактов неправомерного завладения компьютерной информацией (с 13 до 29), а также случаев модификации компьютерной информации (с 13 до 25) и несанкционированного доступа к компьютерной информации (с 258 до 462).

В 2017-м году сотрудники подразделений по раскрытию преступлений в сфере высоких технологий криминальной милиции Министерства внутренних дел Беларуси установили 1052 причастных к киберзлодеяниям граждан, что на 86 человек больше, чем в 2016 году. Сумма ущерба от противоправных действий в виртуальном пространстве в 2017 году составила Br3,2 млн.

ОБЩАЯ СТАТИСТИКА

Исходя из отчетов ведущих компаний, специализирующихся на ифнормационной безопасности на евразийском рынке общий анализ и статистика в целом выглядят так :

Процентное соотношение инцидентов информационной безопасности:

1. Вредоносное ПО — 77%
2. Спам — 74%
3. Фишинговые атаки — 28%
4. Корпоративный шпионаж — 26%
5. Сетевые вторжения — 23%
6. Отказ в обслуживании (Dos, DDos- атаки) — 18%
7. Кража мобильных устройств — 17%
8. Кража сетевого, компьютерного и др. оборудования — 11%
9. Таргетированные (целевые) атаки — 10%
10. Преступное вредительство — 5%
11. Иные инциденты — 2%

Процентное соотношение убытков, понесенных предприятиями от инцидентов ИБ:

1. Вредоносное ПО — 46%
2. Корпоративный шпионаж — 19%
3. Сетевые вторжения — 14%
4. Фишинговые атаки — 14%
5. Кража мобильных устройств — 13%
6. Отказ в обслуживании (Dos, Ddos — атаки) — 11%
7. Кража сетевого, компьютерного и др. оборудования — 9%
8. Таргетированные (сетевые) атаки — 5%
9. Преступное вредительство — 4%

Одним из основных последствий осуществлённой злоумышленниками успешной кибератаки (независимо от типа и способа) становится потеря организацией критической с точки зрения информационной безопасности информации. Атаки с использованием вредоносного ПО являются не только самыми распространенными, но и самыми опасными: они приводили к утечке подобной информации в 46% случаев и в 14% случаев компании теряли информацию из-за фишинговых атак. Но внешние угрозы – далеко не единственная проблема ИБ, с которой приходится иметь дело современным компаниям. Не меньший вред способны нанести организации и внутренние факторы. При этом аналитическая систематизация инцидентов дает целый набор обстоятельств, характеризующих разнообразие угроз от персонала как в части мотивов и условий, так и в части используемых средств. Среди наиболее часто происходящих инцидентов ИБ, связанных с внутренними факторами следующие:

• утечка служебной информации;
• кража клиентов и бизнеса организации;
• саботаж инфраструктуры;
• внутреннее мошенничество;
• фальсификация отчетности;
• торговля на рынках на основе инсайдерской, служебной информации;
• злоупотребление полномочиями.

Процентное соотношение внутренних угроз ИБ:

1. Уязвимости в ПО — 48%
2. Случайная утечка информации по вине персонала — 36%
3. Намеренная утечка информации- .23%
4. Утечка из-за ненадлежащего обмена информацией — 21%
5. Потеря мобильных устройств — 20%
6. Мошенничество сотрудников не связанное с IT — 19%
7. Утечка информации через привлекаемых поставщиков — 12%
8. Иные инциденты, связанные с внутренними факторами — 13%

Главными рисками внутри компаний являются уязвимости в ПО (48%), незнание сотрудниками правил IT-безопасности, приводящее к случайным утечкам данных (36%), а также намеренное раскрытие конфиденциальной информации сотрудниками (23%). Разумеется, все эти типы угроз приводили к потере компаниями критической секретной информации. В среднем в результате внутренних инцидентов ИБ лишились конфиденциальных сведений около 24% организаций.

ПРИМЕРЫ НАШУМЕВШИХ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

«Логическая бомба» Роджера Дуронио

В отместку за слишком маленькую премию и увольнение 63-летний Рожер Дуронио (бывший системный администратор компании UBS Paine Webber) установил на серверах компании «логическую бомбу», которая уничтожила все данные и парализовала работу компании на продолжительное время.

Внедрение «логической бомбы» Дуронио осуществил с домашнего компьютера за несколько месяцев до того, как получил слишком маленькую, на его взгляд, премию. «Логическая бомба» была установлена примерно на 1500 компьютеров в сети филиалов по всей стране и настроена на определенное время — 9.30, как раз на начало банковского дня .

Уволился Дуронио из UBS Paine Webber 22 февраля 2002 г., а четвертого марта 2002 г. «логическая бомба» последовательно удалила все файлы на главном сервере центральной базы данных и 2000 серверов в 400 филиалах банка, при этом отключив систему резервного копирования.

Кроме того, Дуронио решил заработать на атаке: ожидая падения акций банка в связи с ИТ-катастрофой, он сделал фьючерсную заявку на продажу, чтобы при снижении курса получить разницу. На это обвиняемый потратил 20 000 долларов. Однако бумаги банка не упали, а инвестиции Дуронио не окупились.

Заложенная Дуронио «логическая бомба» остановила работу 2000 серверов в 400 офисах компании. В компании воцарился хаос, который почти сутки устраняли 200 инженеров из IBM. Всего над исправлением ситуации работало около 400 специалистов, включая ИТ-службу самого банка. Ущерб от случившегося оценивают в 3,1 млн долларов. Восемь тысяч брокеров по всей стране вынуждены были прекратить работу. Некоторым из них удалось вернуться к нормальной деятельности через несколько дней, некоторым — через несколько недель, в зависимости от того, насколько сильно пострадали их базы данных и осуществлялось ли в филиале банка резервное копирование.

В целом же банковские операции были возобновлены в течение нескольких дней, однако работа некоторых серверов так и не была восстановлена в полном объеме, в большей степени из-за того, что на 20 % серверов не было средств резервного копирования. Только через год весь серверный парк банка снова был полностью восстановлен.

Крупнейшая утечка персональных данных за всю историю Японии

Японская фирма Dai Nippon Printing, специализирующаяся на выпуске полиграфической продукции, допустила крупнейшую утечку в истории своей страны. Хирофуми Йокояма, бывший сотрудник одного из подрядчиков компании, скопировал на мобильный винчестер и украл персональные данные клиентов фирмы. В общей сложности под угрозу попали 8,64 млн человек, так как похищенная информация содержала имена, адреса, телефоны и номера кредитных карт. В похищенной информации содержались сведения о клиентах 43 различных компаний, например о 1 504 857 клиентах компании American Home Assurance, 581 293 клиентах компании Aeon Co и 439 222 клиентах NTT Finance .

После похищения данной информации Хирофуми открыл торговлю приватными сведениями порциями от 100 000 записей. Благодаря стабильному доходу инсайдер даже покинул постоянное место работы. К моменту задержания Хирофуми успел продать данные 150 000 клиентов крупнейших кредитных фирм группе мошенников, специализирующихся на онлайн-покупках. Кроме того, часть данных уже была использована для мошенничества с кредитными картами.

Более половины организаций, данные клиентов которых были похищены, даже не были предупреждены об утечке информации.

В результате данного инцидента убытки граждан, которые пострадали из-за мошенничества с кредитными картами, ставшего возможным только вследствие этой утечки, составили несколько миллионов долларов. Всего пострадали клиенты 43 различных компаний, в том числе Toyota Motor Corp., American Home Assurance, Aeon Co и NTT Finance.

Запорожский хакер против украинского банка

Интереснейший инцидент ИБ произошёл на Украине. Бывший системный администратор одного из крупных банков Украины перевел через банк, в котором раньше работал, со счета региональной таможни на счет несуществующей днепропетровской фирмы-банкрота около 5 млн гривен.

Карьера системного администратора началась после того, как он окончил техникум и был принят на работу в один из крупных банков Украины в отдел программного и технического обеспечения. Спустя некоторое время руководство заметило его талант и решило, что он больше принесет пользы банку в качестве начальника отдела. Однако приход нового руководства в банке повлек за собой и кадровые перестановки. Его попросили временно освободить занимаемую должность.

Вскоре новое руководство начало формировать свою команду, а его талант оказался невостребованным, и ему предложили несуществующую должность заместителя начальника, но уже в другом отделе. В результате таких кадровых перестановок он стал заниматься совершенно не тем, в чем разбирался лучше всего.

Системный администратор не мог мириться с таким отношением руководства к себе и уволился по собственному желанию. Однако ему не давала покоя собственная гордость и обида на руководство, кроме того, ему хотелось доказать, что он лучший в своем деле, и вернуться в отдел с которого началась его карьера.

Уволившись, бывший системный администратор решил вернуть у бывшего руководства интерес к своей персоне посредством использования несовершенства применяемой практически во всех банках Украины системы «Банк-Клиент»2. План системного администратора состоял в том, что он решил разработать свою программу защиты и предложить ее банку, вернувшись на свое прежнее место работы. Реализация плана заключалась в проникновении в систему «Банк-Клиент» и внесении в нее минимальных изменений. Весь расчет был сделан на то, что в банке должны были обнаружить взлом системы.

Для проникновения в указанную систему бывший системный администратор воспользовался паролями и кодами, которые узнал еще в процессе работы с данной системой. Вся остальная информация, необходимая для взлома, была получена с различных хакерских сайтов, где в подробностях были расписаны различные случаи взломов компьютерных сетей, методики взлома и размещалось все необходимое для взлома программное обеспечение.

Создав в системе лазейку, бывший системный администратор периодически проникал в компьютерную систему банка и оставлял в ней различные знаки, пытаясь привлечь внимание к фактам взлома. Специалисты банка должны были обнаружить взлом и забить тревогу, но, к его удивлению, проникновения в систему никто даже не замечал.

Тогда системный администратор решил изменить свой план, внеся в него коррективы, которые бы не смогли остаться незамеченными. Он решил подделать платежное поручение и перевести по нему через компьютерную систему банка крупную сумму. С помощью ноутбука и мобильного телефона со встроенным модемом системный администратор около 30 раз проникал в компьютерную систему банка: просматривал документы, счета клиентов, движение денежных средств — в поисках подходящих клиентов. В качестве таких клиентов им были выбраны региональная таможня и днепропетровская фирма-банкрот.

Получив в очередной раз доступ к системе банка, он создал платежное поручение, в котором с лицевого счета региональной таможни снял и перечислил через банк на счет фирмы-банкрота 5 млн гривен. Кроме того, им целенаправленно было сделано несколько ошибок в «платежке», что в свою очередь должно было еще больше способствовать привлечению внимания со стороны специалистов банка. Однако даже такие факты были не замечены специалистами банка, обслуживающими систему «Банк-Клиент», и они спокойно перечислили 5 млн гривен на счет уже не существующей фирмы.

В действительности системный администратор рассчитывал на то, что денежные средства не будут переведены, что факт взлома будет обнаружен до перевода средств, но на практике все оказалось по-другому и он стал преступником и его липовый перевод перерос в кражу.

Факт взлома и хищения денежных средств в особо крупных размерах были обнаружены только через несколько часов после перевода, когда работники банка позвонили на таможню — подтвердить перевод. Но там сообщили, что такую сумму никто не перечислял. Деньги в срочном порядке были возвращены назад в банк, а в прокуратуре Запорожской области заведено уголовное дело.

Банк не понес никаких потерь, так как деньги были возвращены владельцу, а компьютерная система получила минимальные повреждения, вследствие чего руководство банка отказалось от каких-либо претензий в адрес бывшего системного администратора.

Инциденты ИБ в Республике Беларусь:

• В 2010 году ученик одиннадцатого класса средней школы г. Смолевичи ради развлечения взломал ряд ПК пользователей, а также информационные системы нескольких предприятий, среди которых СМУ ОАО «Промтехмонтаж» г. Солигорск, быховский УКП «Бытуслуги», РУП «Гомельское ПО «Кристалл». Школьник уничтожил архивы сетевых дисков подразделений, образ операционной системы компьютера сисадмина, базы данных специализированных программ. На восстановление информации у работников предприятия ушли недели, убытки от шалости школьника оцениваются сотнями миллионов рублей.
• В мае 2012 года двое жителей Витебска получили несанкционированный доступ к базам данных РУП «Белтелеком». Злоумышленники изменили пароли и коды доступа пользователей информационной системы, после чего некоторое время контролировали их личные счета.
• В апреле 2014 года житель Слуцка, работавший системным администратором, имел доступ к редактированию данных в интернет-магазине, электронным базам данных предприятия. За нарушение трудового контракта был уволен. В качестве мести он взломал систему защиты и удалил около 140 тысяч файлов, что привело к потере части прибыли коммерческого предприятия и большим временным затратам на восстановление информации.
• В июле 2014 года неизвестный хакер взломал сервер электронной почты и получил доступ к электронным ящикам частной фирмы, написал ее работникам ряд писем от имени зарубежных деловых партнеров. В своем сообщении он уверял, что банковский счет, куда нужно перечислять деньги, изменился. Работники фирмы поверили ему и исправно переводили деньги злоумышленнику. Так ему удалось получить 7000 евро и 6000 долларов США.
• Также в 2014 году имел место довольно известный инцидент, хакер взломал сайт производителя белорусского печенья «Слодыч» и менял названия в графе «Наша продукция»: вместо печенья «Сдобного» появлялись то «говняшка», то «обсирашка», то прочие не менее остроумные названия. Инцидент продолжался более недели и обошел весь белорусский твиттер и социальные сети. Компании был нанесен серьезный рейтинговый ущерб.
• В сентябре 2014 года неизвестными через Интернет были атакованы номера из баз сотовых операторов. Многие абоненты получили сообщения в которых предлагалось пройти по определенной ссылке и скачать фотографию. Во многих случаях смс приходили от людей, чьи имена записаны в телефонной книге. Вместе с фото на мобильник загружалась вредоносная программа, которая начинала самостоятельно отправлять сообщения с зараженного телефона. Пострадавшие заявляют об ущербе на сотни тысяч рублей.
• В апреле 2015 года была предпринята очередная, но весьма массированная атака хакреов на информационную систему РУП «Белтелеком». Долгое время отсуствовала связь с сайтами, расположенными в ЦОД РУП «Белтелеком». По некоторым данным были выведены из строя системы хранения данных.
• В мае 2015 года сайт Центрального избирательного комитета Беларуси взломали неизвестные и разместили фотографии с силуэтами людей с оружием на фоне флага Курдистана.
• Также в 2015 году подверглись DoS-атакам многие белорусские сайты, в рейтинге самых крупных DDOS-атак Беларуси занимает известный портал Tut.by, второе место с уровнем мощности трафика 8-12 Гбит/с принадлежит атаке на портал Onliner.by DDOS-атаке предшествовал анонимный звонок с угрозой, но без объяснения причин и целей. Подвергался атакам и сайт Президента Республики Беларусь, сайты ряда других организаций в общей сложности более двух десятков.

Приведенные выше примеры ярко иллюстрируют, что в Беларуси, как и за рубежом, сфера преступлений различна, целенаправленным атакам подвергаются ресурсы организаций в широком диапазоне. При этом, стоит отметить, что определенная часть преступлений совершается не с какой-либо конкретной целью, а как акт вандализма или с целью развлечения, последствия подобного рода действий крайне разрушительны, так как злоумышленник испытывает, на сколько серьезный ущерб он может нанести.

Различным организациям наносится не только экономический ущерб, связанный с выходом из строя оборудования, потерями информации, непосредственными финансовыми потерями, но и репутационный. Предприятие, на котором возникает инцидент, связанный с информационной безопасностью теряет имидж и, более того, теряет доверие партнеров и клиентов, так как становится совершенно очевидно, что возникший тот или иной инцидент является упущением в первую очередь со стороны руководства.

Именно поэтому в современных реалиях информационная безопасность становится крайне актуальным фактором при ведении бизнеса. На сегодняшний день, в Республике активно продвигаются со стороны законодательства и СМИ принципы защиты информации, сделан ряд шагов для упорядочивания сферы информационных технологий.

ТЕНДЕНЦИИ ПОСЛЕДНИХ ЛЕТ И УГРОЗЫ

2017-Й год стал показательным для бизнеса в контексте информационной безопасности. Выражение «лучше один раз увидеть, нежели сто раз услышать» — как раз о нем. Столкнувшись с вирусами-шифровальщиками, компании прочувствовали на себе важность элементарных правил ИБ-гигиены. Отсутствие актуальных обновлений и привычка жить с уязвимостями привели к остановке заводов Renault во Франции, Honda и Nissan в Японии; пострадали банки, школы, энергетические, телекоммуникационные компании; только лишь одна компания Maersk потеряла 300 млн долларов. На фоне информационного цунами, вызванного вирусами-вымогателями, некоторые важные события остались за пределами массового внимания.

Перечислим основные тренды в инцидентах ИБ за последние год-два в мире кибербезопасности:

• Практическая безопасность. С бумажной безопасностью начали бороться на самом высоком уровне. Например, федеральный закон РФ N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» не просто рекомендует, а обязывает компании различных отраслей (как государственные, так и коммерческие) защищаться и вводит механизмы контроля эффективности защитных мер.
• Уязвимости SS7 заметили. Злоумышленники начали перехватывать коды для двухфакторной аутентификации с помощью уязвимостей сигнального протокола SS7. Первыми пострадали абоненты O2- Telefonica.
• «Масштабируемые» атаки на банкоматы. Банкоматы грабят давно и разными способами, например, привязывают к тросу автомобиля и увозят. Но когда киберпреступники стали подключаться к локальной сети банка и удаленно контролировать множество ATM, у банков появился серьезный повод для беспокойства.
• Тайный майнинг. Весной 2017 года эксперты сферы ИБ обнаружили сотни компьютеров в крупных компаниях, которые майнили криптовалюту для неизвестных взломщиков. Майнер использовал ту же уязвимость, что и WannaCry, и защищал от шифровальщика захваченные ПК.
• Войти через IoT. Не успел стихнуть шум вокруг безопасности IoT из-за ботнетов и DDoS-атак, как с помощью незащищенных «умных» кофемашин стали останавливать нефтехимические заводы, а смарт-аквариумы использовать для атак на казино.
• Биткоины и уязвимый веб. К концу 2017-го года биткоин опередил по капитализации российский рубль, и хакеры сконцентрировали свое внимание на блокчейн-стартапах. Самая простая схема атаки стала наиболее популярной — найти уязвимости на сайте ICO и подменить адрес кошелька для сбора инвестиций. Израильский CoinDash таким образом лишился $7,5 млн.
• Эпидемия целевых атак. Число компаний, столкнувшихся в 2017 году с APT-атаками, увеличилось почти вдвое. Одновременно с этим атаки прямо на глазах усложняются, начинают активно применяться методы, затрудняющие анализ и расследование инцидентов.

Работа с инцидентами информационной безопасности

Доброго дня, уважаемый хабрахабр!
Я продолжаю публикацию статей из практики по информационной безопасности.
В этот раз речь пойдёт о такой важной составляющей, как инциденты безопасности. Работа с инцидентами займёт львиную долю времени после установления режима информационной безопасности (приняты документы, установлена и настроена техническая часть, проведены первые тренинги).

Информирование об инцидентах

Перво наперво необходимо получить информацию об инциденте. Этот момент необходимо продумать ещё на этапе формирования политики безопасности и создания презентаций по ликбезу в ИБ для сотрудников.
Основные источники информации:
1. Helpdesk.
Как правило (и это хорошая традиция) о любых неполадках, неисправностях или сбоях в работе оборудования звонят или пишут в хелпдеск вашей IT-службы. Поэтому необходимо заранее «встроиться» в бизнес-процесс хелпдеска и указать те виды инцидентов, с которыми заявку будут переводить в отдел информационной безопасности.
2. Сообщения непосредственно от пользователей.
Организуйте единую точку контакта, о чём сообщите в тренинге по ИБ для сотрудников. На данный момент отделы ИБ в организациях, как правило, не очень большие, зачастую из 1-2 человек. Поэтому будет несложно назначить ответственного за приём инцидентов, можно даже не заморачиваться с выделением адреса электропочты под нужды IS Helpdesk.
3. Инциденты, обнаруженные сотрудниками ИБ.
Тут всё просто, и никаких телодвижений для организации такого канала приёма не требуется.
4. Журналы и оповещения систем.
Настройте оповещения в консоли антивируса, IDS, DLP и других систем безопасности. Удобнее использовать аггрегаторы, собирающие данные также из логов программ и систем, установленных в вашей организации. Особое внимание нужно уделить точкам соприкосновения с внешней сетью и местам хранения чувствительной информации.

Категорирование инцидента

Хоть инциденты безопасности разнообразны и многообразны, их довольно легко разделить на несколько категорий, по которым проще вести статистику.
1. Разглашение конфиденциальной или внутренней информации, либо угроза такого разглашения.
Для этого необходимо иметь, как минимум, актуальный перечень конфиденциальной информации, рабочую систему грифования электронных и бумажных носителей. Хороший пример — шаблоны документов, практически на все случаи жизни, находящиеся на внутреннем портале организации или во внутренней файлопомойке, по умолчанию имеют проставленный гриф «Только для внутреннего использования».
Немного уточню про угрозу разглашения, в предыдущем посте я описывал ситуацию, когда документ с грифом «Только для внутреннего использования» был вывешен в общем холле, смежным с другой организацией. Возможно, самого разглашения и не было (вывешено было после окончания рабочего дня, да и замечено было очень быстро), но факт угрозы разглашения — на лицо!
2. Несанкционированный доступ.
Для этого необходимо иметь список защищаемых ресурсов. То есть тех, где находится какая-либо чувствительная информация организации, её клиентов или подрядчиков. Причём желательно внести в эту категорию не только проникновения в компьютерную сеть, но и несанкционированный доступ в помещения.

3. Превышение полномочий.
В принципе можно объединить этот пункт с предыдущим, но лучше всё-таки выделить, объясню почему. Несанкционированный доступ подразумевает доступ тех лиц, которые не имеют никакого легального доступа к ресурсам или помещениям организации. Это внешний нарушитель, не имеющий легального входа в вашу систему. Под превышением полномочий же понимается несанкционированный доступ к каким-либо ресурсам и помещениям именно легальных сотрудников организации.
4. Вирусная атака.
В этом случае необходимо понимать следующее: единично заражение компьютера сотрудника не должно повлечь за собой разбирательство, так как это можно списать на погрешность или пресловутый человеческий фактор. Если же заражен ощутимый процент компьютеров организации (тут уже исходите из общего количества машин, их распределенности, сегментированности и тд), то необходимо разворачивать полновесную отработку инцидента безопасности с необходимыми поисками источников заражения, причин и т.д.
5. Компрометация учетных записей.
Этот пункт перекликается с 3. Фактически инцидент переходит из 3 в 5 категорию, если в ходе расследования инцидента выясняется, что пользователь в этот момент физически и фактически не мог использовать свои учётные данные.

Классификация инцидента

С этим пунктом в работе с инцидентами можно поступить 2-мя путями: простым и сложным.
Простой путь: взять соглашение об уровне сервиса вашей IT-службы и подогнать под свои нужды.
Сложный путь: на основе анализа рисков выделить группы инцидентов и/или активов, в отношении которых решение или устранение причин инцидента должны быть незамедлительными.
Простой путь неплохо работает в небольших организациях, где не так уж и много закрытой информации и нет огромного количества сотрудников. Но стоит понимать, что IT-служба исходит в SLA из своих собственных рисков и статистики инцидентов. Вполне возможно, что зажевавший бумагу принтер на столе генерального директора будет иметь очень высокий приоритет, в том случае, как для вас важнее будет компрометация пароля администратора корпоративной БД.

Сбор свидетельств инцидента

Есть особенная прикладная наука — форензика, которая занимается вопросам криминалистики в области компьютерных преступлений. И есть замечательная книга Федотова Н.Н. «Форензика — компьютерная криминалистика». Я не буду сейчас расписывать детально аспекты форензики, просто выделю 2 основных момента в сохранении и предоставлении свидетельств, которых необходимо придерживаться.
• Для бумажных документов: подлинник хранится надежно с записью лица, обнаружившего документ, где документ был обнаружен, когда документ был обнаружен и кто засвидетельствовал обнаружение. Любое расследование должно гарантировать, что подлинники не были сфальсифицированы
• Для информации на компьютерном носителе: зеркальные отображение или любого сменного носителя, информации на жестких дисках или в памяти должны быть взяты для обеспечения доступности. Должен сохраняться протокол всех действий в ходе процесса копирования, и процесс должен быть засвидетельствован. Оригинальный носитель и протокол (если это невозможно, то, по крайней мере, одно зеркальное отображение или копия), должны храниться защищенными и нетронутыми

После устранения инцидента

Итак, инцидент исчерпан, последствия устранены, проведено служебное расследование.
Но работа на этом не должна завершаться.
Дальнейшие действия после инцидента:
• переоценка рисков, повлекших возникновение инцидента
• подготовка перечня защитных мер для минимизации выявленных рисков, в случае повторения инцидента
• актуализация необходимых политик, регламентов, правил ИБ
• провести обучение персонала организации, включая сотрудников IT, для повышения осведомленности в части ИБ
То есть необходимо предпринять все возможные действия по минимизации или нейтрализации уязвимости, повлекшей реализацию угрозы безопасности и, как результат, возникновение инцидента.

Несколько советов

1. Ведите журнал регистрации инцидентов, где записывайте время обнаружения, данные сотрудника, обнаружившего инцидент, категорию инцидента, затронутые активы, планируемое и фактическое время решения инцидента, а так же работы, проведенные для устранения инцидента и его последствий.
2. Записывайте свои действия. Это необходимо в первую очередь для себя, для оптимизации процесса решения инцидента.
3. Оповестите сотрудников о наличие инцидента, что бы во-первых они не мешали вам в расследовании, во-вторых исключили пользование затронутыми активами на время расследования.