«Это понятно, так как цели у этих оценок — разные. Если цифры на суде могут решать свои задачи, репутационные, например, то высокая себестоимость внутреннего расследования может привести к ряду вопросов (и не всегда приятных) к службе безопасности», — поясняет Михеев.
По мнению Николая Федотова, главного аналитика компании InfoWatch, возможность расследования инцидента ИБ закладывается еще на стадии проектирования информационной системы. Чтобы было на что опираться при расследовании, необходимая информация должна заранее собираться и храниться в безопасном месте—там, куда злоумышленнику трудно дотянуться. Важно помнить, считает Федотов, что системные журналы, которые обычно ведутся различными программами, в основном ориентированы на отладку работы, поиск ошибок и сбоев, и для проведения расследований они не очень подходят. «Расследование будет эффективным, если информационная система ведет не простые, а криминалистические системные журналы, собирает теневые и криминалистические копии и хранит эти потенциальные доказательства юридически корректно, — объясняет Федотов. — Например, наряду с обычным резервным копированием для восстановления после сбоев следует регулярно снимать криминалистическую (посекторную) копию диска компьютера, по которой можно восстановить удаленную информацию и найти цифровые следы, которые злоумышленник пытался скрыть».
В Большой Москве сконцентрировано огромное количество компаний и представительств, как отечественных, так и зарубежных. Понятно, что и риски, что конфиденциальной информацией могут завладеть злоумышленники, значительны выше, чем в регионах РФ. Понятно и то, что устанавливают подобное ПО только самые продвинутые в плане IT-безопасности компании и удовольствие это не из дешевых.
