Расследование компьютерных инцидентов

Расследование компьютерных инцидентов позволяет оперативно реагировать на угрозы, минимизировать ущерб и соответствовать требованиям закона. Без профессионального подхода компания рискует штрафами по 152-ФЗ или даже приостановкой деятельности. Мы опираемся на ключевые нормативные акты Российской Федерации, которые регулируют эту сферу.

Правовая основа и практическая ценность услуг

1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Этот закон устанавливает базовые правила защиты информации, включая меры по выявлению и устранению угроз. Он подчёркивает, что любая организация обязана обеспечивать конфиденциальность данных.
2. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации». Закон требует от субъектов КИИ (промышленные предприятия, банки, транспорт) обязательного расследования всех инцидентов. Игнорирование может привести к административной ответственности и потере статуса.
3. Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ». Документ предписывает создание системы для обнаружения, анализа и расследования инцидентов. Без этого невозможно обеспечить непрерывность работы критических систем.
4. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Закон фокусируется на защите личной информации и требует мер по предупреждению и ликвидации атак на системы персональных данных. Расследование здесь — обязательный шаг для уведомления регуляторов и пострадавших.
5. Приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах...». Этот свежий документ усиливает контроль за защищённостью информации в госструктурах и предприятиях, включая регулярные проверки и расследования.

Что мы предлагаем?

Мы предлагаем полный цикл расследования, разделённый на логические блоки. Это позволяет оперативно реагировать и документировать каждый этап, обеспечивая доказательную базу для отчётности перед регуляторами. Услуги адаптированы под разные масштабы: от малого бизнеса до крупных корпораций

Блок 1: Экспресс-оценка и инициализация работ

Этот этап является фундаментом расследования, где мы быстро оцениваем ситуацию, чтобы не дать инциденту распространиться.

1. Первичный анализ уведомления об инциденте и сбор контекста. Мы проводим срочный звонок или встречу, заполняем детальный опросник: что произошло, когда, какие симптомы (замедление системы, подозрительные логины). Это помогает понять масштаб и критичность инцидента. Обоснование: Соответствует приказу ФСТЭК № 239 (п. 36), требующему немедленных мер по локализации.

2. Определение круга задействованных активов и предварительная оценка ущерба. Идентифицируем поражённые устройства: рабочие станции, серверы, учётные записи. Оцениваем потенциальный ущерб — от потери данных до финансовых потерь. Обоснование: Необходимо для соблюдения всех перечисленных законов, включая 187-ФЗ.

Блок 2: Активное расследование и сбор цифровых доказательств

Здесь мы углубляемся в технический анализ, собирая улики для полной картины атаки.

3. Сбор доказательств с поражённых систем. Создаём образы памяти (RAM), дисков, реестра и журналов событий. Используем нефункциональные методы, чтобы не изменить данные. Обоснование: Это основа для анализа, как того требует 149-ФЗ. В реальности такие доказательства помогают в суде или при отчётности Роскомнадзору.

4. Анализ сетевой активности и журналов. Изучаем трафик (NetFlow, PCAP), логи firewall, прокси и IDS/IPS. Выявляем аномалии — необычные соединения или объёмы данных. Обоснование: Помогает восстановить цепочку атаки, в соответствии с требованиями ФСТЭК № 239.

5. Анализ вредоносного программного обеспечения (ВПО). Статический и динамический анализ образцов ВПО в изолированной среде (песочнице). Определяем, как ВПО распространяется, закрепляется в системе и связывается с атакующими. Обоснование: Ключевой шаг для нейтрализации, как в 152-ФЗ.

Блок 3: Восстановление картины инцидента и отчётность

6.Корреляция данных и восстановление хронологии атаки, выявление техник, тактик и процедур (ТТП). Реконструируем события: точка входа, действия злоумышленника (по модели Kill Chain), время в системе, связь с APT-группами. Обоснование: Необходимо для промежуточного отчёта и усиления защиты, по 187-ФЗ. Это помогает понять, была ли атака целенаправленной.

7. Подготовка итогового отчёта о расследовании. Составляем полный отчёт: методики, инструменты, индикаторы компрометации (IOCs), причины, ущерб, выводы и рекомендации. Обоснование: Прямое требование ФСТЭК № 239 (п. 37) и СТО БР ИББС-1.4-2023. Клиенты используют его для страховки или судов.

Блок 4: Рекомендации и поддержка

8. Разработка рекомендаций по ликвидации последствий и усилению защищённости. Даём инструкции: удаление ВПО, закрытие уязвимостей, смена учёток, настройка мониторинга. Обоснование: Соответствует 187-ФЗ о непрерывном совершенствовании. В практике это предотвращает повторные атаки.

Почему именно мы?

«Астрал. Безопасность» помогает не только выявить и устранить угрозу, но и предотвратить будущие риски. Наша работа строится на строгом соблюдении отечественных нормативов, что гарантирует вам юридическую защиту и высокую эффективность.

Мы не просто «разбираем полёты», а помогаем выполнить требования законодательства, минимизировать ущерб и повысить устойчивость. Доказательность, прозрачность и опыт с 2007 года являются нашими ключевыми преимуществами. В результате клиенты избегают штрафов по 152-ФЗ и укрепляют бизнес.