Книга: Обеспечение информационной безопасности бизнеса
4.3.8. Расследование инцидентов
4.3.8. Расследование инцидентов
Инцидент, в котором замешан сотрудник организации, для большинства организаций — чрезвычайное происшествие. Поэтому способ организации расследования сильно зависит от сложившейся корпоративной культуры организации. Но можно уверенно сказать: важно продумать заранее и зафиксировать организационные политики по расследованию таких инцидентов, включая состав и основные роли участников расследования, условия предоставления и объем чрезвычайных полномочий по получению информации при расследовании, возможные меры в отношении сотрудников, причастных к инциденту.
Расследование выявленного инцидента — информационный процесс, один из этапов реагирования на инцидент. Сбор и документирование информации об инциденте целесообразно начинать уже с момента его обнаружения, а желательно еще раньше — при выявлении предвестников инцидента.
Целями расследования обычно являются:
— восстановление хода инцидента;
— выявление участников инцидента (в том числе из числа сотрудников) и их ролей в ходе инцидента;
— сбор свидетельств и предварительная оценка степени вины сотрудников в инциденте;
— сбор юридически значимых материалов, пригодных для инициирования процедур, обеспечивающих привлечение виновных лиц к ответственности;
— выявление причин и условий инцидента, включая недостатки системы защиты организации, формирование предложений по совершенствованию системы защиты;
— сбор свидетельств и оценка негативных последствий инцидента.
Для успешного расследования крайне важно наличие механизмов регистрации действий сотрудников в расследуемой сфере деятельности.
Отметим, что определение вины сотрудника может быть весьма сложной задачей при проведении внутреннего расследования, поскольку обосновывающие умысел факты часто отсутствуют. К подобным фактам можно отнести:
— неоднократность инцидентов, связанных с сотрудником;
— подтвержденная заинтересованность сотрудника в последствиях инцидента;
— попытки сокрытия сотрудником следов своих действий, связанных с инцидентом;
— наличие следов заблаговременной подготовки сотрудника к инциденту;
— высказывания сотрудника до инцидента, свидетельствующие о его мотивах и намерениях.
Обращение к правоохранительным органам может потребоваться в случае, когда есть основания в умышленном характере инцидента; есть основания для уверенности во внешней поддержке злоумышленника, причинен или мог быть причинен существенный ущерб организации или третьим лицам.
Техническая сторона действий внутреннего злоумышленника зачастую настолько выражена в инцидентах ИБ, что для проведения внутреннего расследования может потребоваться использование специализированных программных средств, позволяющих получить необходимые свидетельства с устройств хранения и обработки информации, принадлежащих организации.
Отметим, что любое внутреннее расследование, пусть и без привлечения правоохранительных органов, — всегда стресс для коллектива. Среди возможных негативных последствий для организации: наказание невиновных, напряженность в коллективе, отвлечение сотрудников от работы и др.
- 4.3.1. Общий подход к противодействию
- 4.3.2. Обеспечение осведомленности персонала в области ИБ
- 4.3.3. Получение информации от сотрудников организации
- 4.3.4. Организационные аспекты
- 4.3.5. Скрытность противодействия
- 4.3.6. Управление системой ролей
- 4.3.7. Программно-технические средства защиты от утечек информации
- 4.3.8. Расследование инцидентов
- 4.3.9. Раскрытие информации об инцидентах