Вопрос: Почему служба информационной безопасности не всегда может провести расследование самостоятельно?

Ответ: На наш взгляд, существуют две основные предпосылки для привлечения сторонних специалистов.

Во-первых, это возможная некомпетентность работников службы безопасности в вопросах реагирования на инциденты, проведения расследования и юридических аспектах. Для эффективного проведения расследования работник должен знать и иметь опыт применения лучших международных и отечественных практик в данной области, это касается методик и инструментов оценки произошедшего, сбора необходимых улик, их анализа, восстановления хронологии событий, устранения последствий и предотвращения повторных инцидентов. Чтобы выполнять эту работу качественно и в срок, необходима постоянная практика и повышение квалификации. К сожалению, не каждая организация готова выделять достаточный объем средств, на содержание команды по реагированию на инциденты.

Во-вторых, учитывая разнообразие инцидентов, нельзя исключать возможность участия в них работников службы информационной безопасности в них. В таких случаях вряд ли стоит надеяться на объективность проведенного расследования, особенно, если работники службы ИБ являются главными виновниками произошедшего.