Как правильно расследовать инциденты утечки и собирать доказательства Рекомендации нашего партнера – компании Zecurion

1. Зафиксировать факт инцидента или подозрение. На имя руководителя организации отправляется служебная записка, в которой свидетели или служба ИБ описывают ситуацию: что, когда, как произошло.

2. Создать комиссию по расследованию. В нее стоит включить минимум трех человек, например, представителя HR, сотрудника службы безопасности, руководителя или коллегу нарушителя.

3. Собрать доказательства: из отчетов DLP и журналов других ИТ- и ИБ-систем, с камер видеонаблюдения, от свидетелей.

Что дает правильно настроенная DLP-система:

- быстрый поиск информации по множеству параметров;

- неограниченное по времени и объему хранение данных;

- копии критически важных файлов;

- наглядные отчеты;

- карточки сотрудников и диаграммы связей;

- поведенческий анализ.

4. Зафиксировать размер убытков и результаты расследования. Для оценки убытков можно привлечь независимых экспертов. Итоговый документ по расследованию подписывают все члены комиссии, заверяет руководитель организации.

5. Ознакомить сотрудника с результатами работы комиссии. Может возникнуть сложный момент, если сотрудник отказывается подписывать документ и не предоставляет объяснительную в течение отведенного времени. В этом случае составляем акт, который подписывают все члены комиссии. Сотрудник или его законные представители могут получить доступ к этому акту и к результатам проверки.

6. Принять управленческое решение, что делать с нарушителем. О любом наказании надо составить приказ и ознакомить с ним сотрудника под роспись в течение 3-х рабочих дней. Если он отказывается подписывать, составляется акт. На этом же этапе при необходимости можно потребовать возмещение убытков.

7. Подготовить иск в суд.