Компания «Доктор Веб» оказывает платные услуги по расследованию вирусозависимых компьютерных инцидентов.
Из границ экспертизы вытекает перечень вопросов, ответы на которые даст исследование компьютеров для реагирования на инциденты.
| Вопросы | Ответы |
|---|
| Что было скомпрометировано (объект экспертизы) |
- Была ли нарушена целостность компьютерной системы.
- Был ли компьютерный инцидент совершен с помощью вредоносного ПО (в этом случае он является ВКИ, а значит, лежит в пределах границ экспертизы «Доктор Веб»)..
|
| Где произошел ВКИ (среда ВКИ) |
- Описание технических характеристик и особенностей системы, в которой произошел ВКИ, а также ее окружения. Цели использования системы заказчиком (необходимо для правильной приоритиезации ИИБ).
- Есть ли признаки доступа без ведома пользователя к компьютерной системе.
- Описание средств защиты системы, в которой произошел ВКИ, и были ли они скомпрометированы. Если да — что послужило причиной компрометации.
|
| Что послужило причиной возникновения (совершения) ВКИ |
- Какие нарушения правил эксплуатации компьютерной системы или политики безопасности со стороны персонала послужили причиной ВКИ.
|
| Каким образом совершен ВКИ |
- Перечень вирусов и вредоносного ПО (троянцев), использованных для совершения ВКИ, с описанием их функциональных особенностей (как задействованных злоумышленником в данном ВКИ, так и несущих потенциальную угрозу).
- Действия, предпринятые сотрудниками заказчика для обнаружения ВКИ, и после его обнаружения. Оценка правильности этих действий.
|
| К каким результатам привел ВКИ |
- Текущее состояние компьютерной системы.
- В чем состоит факт компрометации (что похищено).
- Последствия компрометации.
- Можно ли продолжать пользоваться скомпрометированной компьютерной системой.
|
| Кто причастен к ВКИ |
- Круг лиц, причастных к ВКИ (предположительно с умыслом или по неосторожности), и мера причастности каждого.
|
| Какие собраны доказательства совершения ВКИ |
- Находится ли ВКИ в области юрисдикции судебной компьютерно-технической экспертизы (СКТЭ). Возможно ли обращение в правоохранительные органы и затем в суд. Шансы на выигрыш дела.
- Перечень собранных доказательств.
|
| Как не допустить подобных ВКИ в будущем |
- Рекомендации по построению системы антивирусной защиты с целью недопущения ВКИ или сокращения их количества в будущем.
|
