Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Проведение служебного расследования.
Подскажите пожалуйста как правильно проводить служебное расследование. И дайте пожалуйста ссылочку на шаблоны документов.
Заранее спасибо.
Цитата
Антон пишет:
Подскажите пожалуйста как правильно проводить служебное расследование. И дайте пожалуйста ссылочку на шаблоны документов.
Заранее спасибо.
Служебное расследование чего? Инцидентов в информационной безопасности? Сначала собирается доказательная база (журналы, логи и т.д.), далее проводится опрос нарушителей, свидетелей (если такие есть), руководителей, предварительно необходимо ознакомиться с их должностными обязанностями. После всего делается заключение по результатам разбирательства (расследования). На основании Вашего экспертного заключения руководитель принимает решение о мерах воздействия. Собственно шаблонов документов не встречал, разрабатывали сами. Бланки актов, протоколов, объяснений, заключений и т.д.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Да, интересует расследование инцидентов в информационной безопасности. И как раз интересует, что должно содержать заключение...Если есть возможность киньте пример пожалуйста.
Цитата
Антон пишет:
Да, интересует расследование инцидентов в информационной безопасности. И как раз интересует, что должно содержать заключение...Если есть возможность киньте пример пожалуйста.
В заключении должно быть:
- описание инцидента;
- что конкретно и на основании каких документов нарушено;
- владелец информации;
- имеющиеся доказательства;
- коротко описание процесса исследования доказательств и выявления нарушителя;
- коротко разбор поступка нарушителя, степени и характера нарушения и выводы о случайности или неслучайности совершения;
- предложения по мерам воздействия;
- предложения по мерам пресечения (предотвращения) нарушения;
- предложения по мерам устранения последствий нарушения;
Вот в общих чертах что желательно включать в заключения по расследованию (разбирательству).
К сожалению пример скинуть не могу, информация конфиденциальная, сами понимаете.
Да, такие заключения еще было бы неплохо регистрировать и вести их учет. По заключениям также необходимо подготавливать проекты приказов (распоряжений) о мерах воздействия, устранения причин и последствий и т.д. Также надо вести анализ нарушений и корректировать организационные и технические меры обеспечения защиты.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Спасибо!
Кстати, при проведении расследований инцидентов ИБ наиболее сложным является сбор доказательств. Не все могут считаться доказательствами, и не все доказательства могут иметь юридическую силу. В этом и кроется самое большое зло. Нашли кто, собрали доказательства, а потом оказывается, что этих доказательств недостаточно или они не могут считаться доказательствами при рассмотрении их в суде и в результате и нарушитель не наказан и безопасник получил по шапке, в том числе и от руководителя и от судьи, а если нарушитель еще сумеет доказать, что его оклеветали, то и уголовное преследование может наступить :( . Вот такая грустная ситуевина в нашей области.
Так что для проведения расследований необходимо иметь соответствующий опыт, также работать вплотную с юристами. Но можно для таких расследований привлекать специалистов из сторонних организаций или из специализирующихся в оказании подобных услуг организаций. Хотя это будет стоить денег, и немалых, но зато и результат будет качественнее.
Изменено: Анатолий М - 18.01.2010 11:17:18
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Начнем с начала:
С какой целью проводим служебное расследование?
Какое нарушение должно быть подтверждено? (например вопросы расследование нарушений использование СКЗИ и СЗИ без криптосредств очень разные подходы и требования)
Что хотим получить в результате? Дисциплинарная, административная или уголовная ответственность.
Тогда смогу подсказать куда копать. Есть опыт.
Страницы: 1
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку