В установі яку Ви очолюєте, зафіксований факт витоку секретної інформації. Організуйте проведення розслідування для виявлення витоку інформації на підприємстві.
Если утечка случилась и данный факт установлен,
необходимо, прежде всего, определить носители информации, содержащие
интересующие нас сведения. Осмотр, изъятие и иные действия желательно
проводить в присутствии независимых компьютерных криминалистов и
незаинтересованных лиц, свидетелей, данные которых необходимо занести в
соответствующие акты. После этого следует снять полные посекторные копии
носителей, дальнейшее криминалистическое исследование которых позволит
ответить на максимум вопросов, связанных с инцидентом. Отмечу, что
снятие посекторных копий должно проводиться исключительно с
использованием программных и аппаратных блокираторов записи. В противном
случае копии могут быть не приняты правоохранительными или судебными
органами в качестве доказательств при разборе дела. После того, как
копии будут сняты, следует опечатать сами носители. Опечатывание
производится таким образом, чтобы упаковка смогла гарантировать
целостность содержимого, а ее нарушение было невосполнимо.
Параллельно с описанными процедурами следует провести
выгрузку сведений из имеющихся в компании журналирующих систем (сетевое
оборудование, видеонаблюдение, DLP, IPS, иные системы) . Стоит отдельно
отметить, что использование DLP-систем может значительно упростить
проведение расследования. Такие решения имеют систему журналирования и
собственные независимые архивы; также DLP-системы предоставляют
возможность проводить поиск требуемых данных по заданным критериям.
Если в компании используется DLP-система и случае
регистрации утечки с ее помощью, необходимо зафиксировать полученные
сведения и задокументировать сам факт инцидента, параллельно составив
соответствующие документы (служебная записка, акт осмотра и т. д.) .
Сведения из DLP-системы следует выгрузить и записать на носители
информации. Одновременно с этими мероприятиями можно начинать
аналитические работы по изучению истории работы данного пользователя для
того, чтобы определить умысел в его действиях. Это также позволит
установить круг пользователей, причастных к инциденту, и устройства, с
помощью которых нарушитель осуществлял хищение информации. Как только
будут определены эти устройства и если это возможно, следует осуществить
их осмотр с дальнейшим изъятием и опечатыванием, о которым говорилось
выше.
Возникает справедливый вопрос о том, что делать с
опечатанными носителями информации, их посекторными копиями и сведениями
из DLP-системы. Наиболее логичный шаг — передать все на исследование в
независимую лабораторию компьютерной криминалистики. Это позволит
восстановить хронологию события, извлечь необходимые данные, оформить их
в качестве допустимых доказательств и подготовить отчет по итогам
исследования. Все это потребуется для дальнейшей передачи в
правоохранительные и судебные органы для защиты прав и интересов
обладателя конфиденциальной информации.
⇢