Расследуем инцидент ИБ: от методологии к инструментам

Допустим, вы обнаружили «красное» событие в DLP-системе. Инцидент ИБ. И тут появляются каверзные вопросы. Как понять, найденный инцидент – это единичное нарушение или только часть общей картины, связанной с утечкой данных? Копирование 100 файлов на флешку – это 100 инцидентов ИБ или 1?
Зададимся этими и другими вопросами в первой части вебинара. Обратимся к методологии расследований инцидентов ИБ и определим, чем полноценное расследование принципиально отличается от разбора нарушения. Во второй, практической части вебинара, на примере кейса разберем тактику и порядок действий при расследовании инцидента ИБ. Продемонстрируем новый инструмент расследований, который появился в модуле Vision DLP-системы InfoWatch Traffic Monitor.

• Вы обнаружили нарушение. Какие вопросы задать себе и что еще проверить с точки зрения методологии, чтобы знать наверняка: взять с нарушителя объяснение и закрыть инцидент или стартовать расследование.
• Расследование по шагам: как собрать материалы расследования и хранить их конфиденциально, организовать групповую работу над расследованием, обобщить результаты, выявить мотивы и всех участников инцидента ИБ, предоставить результаты в виде отчета прямо по ходу работы. 
• Практический блок: проиллюстрируем подход к расследованию на примере кейса, когда масштабный инцидент ИБ начался с незначительного нарушения. Проведем демо нового инструмента «Расследования», который есть в модуле Vision DLP-системы InfoWatch Traffic Monitor.