🟪 Введение: структура DFIR-экспертизы как процессуально и технически регламентированной деятельности

• В условиях нарастающей угрозы кибератак, утечек данных и инсайдерских инцидентов организации всех форм собственности все чаще обращаются к методологии Digital Forensics and Incident Response (DFIR) — комплексному подходу, объединяющему компьютерную криминалистику (digital forensics) и оперативное реагирование на инциденты (incident response). Однако для заказчика (руководителя организации, юриста, специалиста по безопасности, частного лица) критически важно понимать не только общие принципы DFIR, но и конкретную поэтапную структуру работ, а также то, какие юридически и экономически значимые результаты он получит на каждом этапе.
• Настоящая консультация представляет собой детализированное описание всех этапов производства независимой экспертизы инцидентов кибербезопасности (DFIR) в соответствии с международными стандартами (NIST SP 800-61, ISO/IEC 27043) и российскими процессуальными нормами (УПК РФ, ГПК РФ, Федеральный закон № 73-ФЗ). Для каждого этапа указаны: цели, типовые действия эксперта, сроки, а главное — конкретные результаты (в виде документов, отчетов, цифровых носителей с доказательствами, рекомендаций), которые получает заказчик. В консультации приведены три практических кейса, иллюстрирующих прохождение этапов DFIR-экспертизы в реальных условиях, а также даны рекомендации по подготовке к взаимодействию с экспертной организацией.

🟪 Раздел 1. Общая структура DFIR-экспертизы и ее процессуальные особенности

Прежде чем перейти к детальному описанию этапов, необходимо определить, что экспертиза инцидентов кибербезопасности (в российской процессуальной традиции чаще всего проводимая как компьютерно-техническая экспертиза или комплексное исследование) имеет строгую последовательность, закрепленную в методических рекомендациях. В отличие от внутреннего расследования силами IT-отдела, DFIR-экспертиза, претендующая на юридическую значимость, должна соответствовать следующим принципам:

📢 Неизменность исходных данных: все действия с цифровыми доказательствами производятся только с криминалистическими копиями (образами), оригиналы носителей не изменяются.

Документированность каждого шага: все действия эксперта фиксируются в рабочей документации, которая затем включается в заключение.

Воспроизводимость: результаты могут быть проверены другим экспертом при использовании тех же методик и инструментов.

📢 Своевременность: большинство этапов (особенно сдерживание и сбор) должны выполняться в режиме реального времени, в первые часы после обнаружения инцидента.

Типовая DFIR-экспертиза (судебная или досудебная) включает следующие макроэтапы, которые будут подробно раскрыты далее:

Этап 0 (подготовительный): Прием материалов, анализ задания, планирование.

Этап 1 (идентификация — Identification): Выявление признаков инцидента, определение границ компрометации.

Этап 2 (сдерживание — Containment): Локализация угрозы, предотвращение дальнейшего ущерба.

Этап 3 (сбор и сохранение доказательств — Collection & Preservation): Криминалистическое изъятие образов, логов, RAM-дампов, сетевого трафика.

Этап 4 (анализ — Analysis): Техническое исследование собранных материалов (таймлайн, IOC, восстановление удаленных файлов).

Этап 5 (устранение (эрадикация) — Eradication): Удаление вредоносного ПО, закрытие уязвимостей, сброс учетных записей.

Этап 6 (восстановление — Recovery): Восстановление штатной работы систем, проверка функциональности.

Этап 7 (подготовка заключения и отчетности — Reporting): Формирование итогового экспертного заключения или акта, пригодного для суда, прокуратуры или внутренних решений.

Важно отметить, что в судебной экспертизе, назначенной по определению суда, этапы сдерживания, устранения и восстановления могут не выполняться экспертом (это задача IT-служб организации), но эксперт дает рекомендации по их проведению. В комплексной внесудебной DFIR-экспертизе (полного цикла) экспертная организация может взять на себя все этапы, включая восстановление.

🟪 Раздел 2. Детальное описание этапов DFIR-экспертизы и результаты для заказчика

📢 2.1. Этап 0 (подготовительный, организационный)

Цели: Юридическое и организационное обеспечение допуска эксперта к материалам и инфраструктуре, определение объема работ, подписание договора (или получение судебного определения).

Действия экспертной организации:

Получение от заказчика первичного описания инцидента, перечня систем, документов, процессуального основания.

Анализ возможности проведения экспертизы (наличие технических средств, лицензий, допусков к гостайне при необходимости).

Согласование стоимости, сроков, формата итогового заключения (судебное или досудебное).

Подготовка перечня материалов, которые заказчик должен предоставить.

При судебной экспертизе — ознакомление с определением суда и вопросами, поставленными на разрешение.

Результаты, получаемые заказчиком на этом этапе:

📢 Договор на оказание услуг (или акцепт оферты) с указанием предмета, стоимости, сроков, ответственности сторон.

Программа экспертного исследования (план-график) с перечислением всех этапов и предполагаемых дат завершения.

Письменный запрос эксперта (перечень материалов, которые заказчик должен предоставить для успешного проведения экспертизы).

Квитанция об оплате (предоплата, если предусмотрена договором).

Для судебной экспертизы: уведомление суда о сроках проведения и запрос дополнительных материалов (если требуется).

Юридическая значимость: На этом этапе формируется основа для последующей допустимости доказательств: если заказчик не предоставит запрошенные материалы в срок, эксперт вправе вернуть определение без исполнения, что может повлечь процессуальные последствия (суд назначит другого эксперта или прекратит производство).

📢 2.2. Этап 1 (идентификация — Identification)

Цели: Оперативно (в течение часов после обращения) подтвердить или опровергнуть факт киберинцидента, определить его тип и предварительные границы.

Действия эксперта:

Анализ предоставленных заказчиком первичных данных: сообщений систем мониторинга, показаний сотрудников, антивирусных алертов, DLP-событий.

Удаленный (при возможности) или выездной осмотр инфраструктуры: проверка журналов событий на предмет аномалий (массовые неудачные входы, необычные исходящие соединения, изменения в файловой системе).

Оценка критичности инцидента: затрагивает ли он персональные данные, коммерческую тайну, критическую информационную инфраструктуру (КИИ).

Предварительное определение вектора атаки (фишинг, эксплуатация уязвимости, внутренний инсайдер).

Результаты, получаемые заказчиком:

📢 Акт первичного осмотра (протокол), содержащий:

Подтверждение факта инцидента либо вывод об отсутствии признаков (с обоснованием).

Предварительную классификацию по таксономии (например, «инцидент категории A.3: несанкционированный доступ к конфиденциальной информации с внутреннего IP-адреса»).

Список систем (серверов, ПК, сетевое оборудование), которые предположительно скомпрометированы.

Предварительный перечень затронутых данных (по косвенным признакам — размер папки, ее расположение).

Рекомендации по срочным мерам (безопасное отключение систем, блокировка учетных записей) с пометкой «до прибытия эксперта для сбора доказательств» — чтобы заказчик не уничтожил следы.

📢 Оценка срочности: указание максимального времени, в течение которого необходимо перейти к этапу сдерживания (обычно 1-2 часа).

Пример формулировки вывода эксперта на этапе идентификации (для заказчика):
*«По результатам первичного анализа журналов безопасности контроллера домена (DC01) и межсетевого экрана UserGate выявлены признаки несанкционированного доступа к базе данных 1С с IP-адреса 10.20.30.45 (рабочая станция сотрудника Петрова А.А.) в период с 14:00 15.03.2025 по 16:30 15.03.2025. Инцидент классифицируется как внутренний неправомерный доступ с признаками эксфильтрации (объем исходящего трафика на USB-устройство составил ориентировочно 1,2 ГБ). Рекомендовано немедленно заблокировать учетную запись Петрова А.А. и изолировать его рабочую станцию методом отключения сетевого кабеля без выключения питания.»*

📢 2.3. Этап 2 (сдерживание — Containment)

Цели: Локализовать угрозу, предотвратить дальнейшее распространение атаки, уничтожение данных, эксфильтрацию, а также сохранить «горячие» доказательства (RAM, активные соединения).

Действия эксперта (или под его руководством — сотрудниками заказчика):

Физическое отключение сетевых кабелей скомпрометированных систем (если дистанционная блокировка невозможна).

Изменение паролей на всех учетных записях, которые могли быть скомпрометированы (доменные администраторы, сервисные аккаунты).

Блокировка на межсетевом экране IP-адресов C&C-серверов (командных центров злоумышленников).

Создание изолированного VLAN для «карантинных» машин, которые еще нужно исследовать, но они не должны взаимодействовать с чистой сетью.

Сохранение состояния систем: создание «замороженных» снапшотов на виртуальных платформах.

Результаты, получаемые заказчиком:

Акт о проведенных сдерживающих мерах (дата, время, кто выполнил, какие именно действия). Важно для последующего исключения версии о том, что изменения внесены самим заказчиком, а не злоумышленником.

Схема изолированных сегментов/систем (графическое отображение того, что отключено, что оставлено в работе).

Подтверждение остановки активности (отсутствие новых событий в логах после блокировки, отсутствие нового исходящего трафика на подозрительные IP).

Сохраненные «битые» доказательства (если в процессе сдерживания эксперт успел сделать RAM-дамп до отключения — это отдельный результат, но относится к следующему этапу).

Особое предупреждение: Заказчик не должен самостоятельно выполнять сдерживающие меры (особенно выключение компьютера, удаление файлов) без инструкции эксперта, так как это может уничтожить доказательства. Эксперт дает письменную инструкцию «Do’s and Don’ts».

📢 2.4. Этап 3 (сбор и сохранение доказательств — Collection & Preservation)

Этот этап является наиболее технически сложным и критическим для последующей юридической силы заключения. Эксперт создает криминалистические образы всех носителей, изымает логи, RAM-дампы, трафик.

Действия эксперта:

Создание побитовых образов (bit-by-bit) жестких дисков с использованием write-blocker (аппаратного или программного). Для Windows — FTK Imager, для Linux — dd, dcfldd. Форматы:.E01 (с компрессией и хэшами),.RAW,.AFF.

RAM-дамп (WinPmem, DumpIt, LiME для Linux) — до выключения питания.

Выгрузка логов из SIEM, DLP, системного журнала, веб-серверов, межсетевых экранов (в исходных форматах:.evtx,.log,.json, csv).

Сбор сетевого трафика (PCAP) за период инцидента и предшествующие периоды (если трафик сохранялся).

Изъятие физических носителей (USB-накопителей, внешних SSD, карт памяти), их упаковка и опечатывание.

Фиксация хэш-сумм (MD5, SHA-1, SHA-256) для каждого созданного образа и каждого лог-файла.

Результаты, получаемые заказчиком:

Протокол изъятия и копирования, содержащий:

Полный перечень изъятых оригинальных носителей (с серийными номерами, моделью, объемом).

Перечень созданных образов (имена файлов, хэш-суммы).

Даты и время каждого действия, подписи эксперта и понятых (если требуется).

Внешний накопитель (или несколько) с криминалистическими образами дисков и логами (на отдельном защищенном диске, в зашифрованном контейнере). Это копии доказательств, с которыми будет работать эксперт; оригиналы возвращаются заказчику или хранятся в экспертной организации.

Акт приема-передачи материалов между заказчиком и экспертной организацией (с указанием хэшей).

Фотографии процесса изъятия (распечатанные или на диске) — для иллюстрации в заключении.

Юридическая ценность: Именно этот этап определяет допустимость доказательств. Если цепочка хранения нарушена, суд исключит заключение. Заказчик получает документы, которые потом может предъявить в суде для подтверждения, что следы были изъяты законно и без повреждений.

📢 2.5. Этап 4 (анализ — Analysis)

Самый продолжительный этап (от нескольких дней до месяцев). Эксперт исследует собранные образы и логи, используя методы компьютерной криминалистики.

Действия эксперта:

Таймлайн-анализ (timeline analysis): объединение сотен тысяч событий из разных источников в единую временную шкалу с точностью до миллисекунды.

Восстановление удаленных файлов: из нераспределенного пространства, из теневых копий (Volume Shadow Copy), из MFT.

Анализ логов аутентификации: выявление фактов использования чужих учетных записей, брутфорса, времени входа.

Анализ USB-артефактов: идентификация съемных носителей, которые подключались к скомпрометированной системе.

Анализ сетевых соединений из дампов памяти и логов firewall: IP-адреса C&C, географическая привязка.

Извлечение метаданных документов (Office, PDF, изображения) для установления автора и времени последнего редактирования.

Поиск индикаторов компрометации (IOC): хэши вредоносных файлов, IP-адреса, домены, паттерны реестра.

Поведенческий анализ (при наличии RAM-дампов): запущенные процессы, скрытые руткиты, сетевые соединения.

Результаты, получаемые заказчиком (с разбивкой по подэтапам):

А. Промежуточные результаты (в ходе анализа, по запросу заказчика):

Справка о выявленных IOC (хэши вредоносного ПО) — может быть немедленно использована для проверки других систем.

Список IP-адресов злоумышленников (для блокировки на сетевом уровне).

Подтверждение или опровержение утечки определенных файлов (по метаданным, логам доступа).

Б. Итоговый аналитический отчет (раздел заключения):

Детальная хронология инцидента (в виде таблицы с колонками: время, субъект, действие, объект, источник данных):

Перечень всех измененных, удаленных или скопированных файлов.

Карта атаки (attack vector): от первичного проникновения до конечной цели (например, через фишинг -> выполнение скрипта -> повышение привилегий -> доступ к БД).

Характеристика вредоносного ПО (семейство, функции, сетевая связь).

Оценка объема скомпрометированных данных (в ГБ, количестве записей, категориях: ПДн, коммерческая тайна и т.д.).

Выводы о вероятном виновнике (учетная запись, IP-адрес, рабочая станция) для внутренних и внешних инсайдеров.

📢 2.6. Этап 5 (устранение (эрадикация) — Eradication)

Цели: Полное удаление вредоносного ПО, закрытие уязвимостей, сброс скомпрометированных паролей, удаление скрытых каналов связи.

Действия эксперта (или заказчика под контролем эксперта):

Очистка систем (удаление известных вредоносных файлов, прав реестра, планировщиков задач).

Переустановка ОС на полностью скомпрометированных системах (рекомендовано, если не доверяете очистке).

Применение патчей (обновлений) для уязвимостей, через которые произошло проникновение.

Изменение всех паролей (включая сервисные, доменных администраторов, рядовых пользователей).

Аудит и отзыв неиспользуемых учетных записей.

Отключение неиспользуемых сервисов и портов.

Результаты, получаемые заказчиком:

📢Перечень выполненных эрадикационных мероприятий с указанием даты, времени, ответственных лиц.

Подтверждение отсутствия вредоносного ПО (результаты повторного сканирования чистыми антивирусами).

Акт о замене/переустановке систем (с указанием старых и новых конфигураций).

Рекомендации по долгосрочной настройке (например, политики сложности паролей, двухфакторная аутентификация).

Важно: Эрадикация проводится только после того, как созданы полные криминалистические образы и собран анализ. Иначе можно уничтожить улики до того, как будет составлено заключение.

📢 2.7. Этап 6 (восстановление — Recovery)

Цели: Возвращение систем в штатный режим работы с гарантией, что инцидент не повторится немедленно.

Действия эксперта (часто совместно с IT-отделом заказчика):

Восстановление данных из чистых бэкапов (проверенных на отсутствие вредоносного ПО).

Настройка систем с учетом усиленных мер безопасности (сегментация сети, строгие правила файрвола).

Постепенное подключение восстановленных систем к сети (сначала карантинный сегмент, затем продуктивная среда).

Мониторинг в течение 24-48 часов после восстановления (на предмет повторных попыток атаки).

Результаты, получаемые заказчиком:

План восстановления (пошаговая инструкция с временными метками, ролями ответственных).

Акт о восстановлении данных (из каких бэкапов, дата восстановления, контрольные суммы восстановленных файлов).

Протокол функционального тестирования (подтверждение, что бизнес-критичные сервисы работают).

Журнал мониторинга за 48 часов (показывает отсутствие повторных аномалий).

📢 2.8. Этап 7 (подготовка заключения и отчетности — Reporting)

Итоговый этап, на котором эксперт оформляет все результаты в виде документа, имеющего юридическую силу (для суда, прокуратуры) или для внутреннего использования (акт технического исследования).

Действия эксперта:

Формулирование выводов в ответ на поставленные вопросы (суда, следователя или заказчика).

Составление структурированного заключения по требованиям ст. 25 Федерального закона № 73-ФЗ (для судебной экспертизы) или по договоренности (для внесудебной).

Включение в заключение всех протоколов, актов, таблиц, хронологий, хэш-сумм, фотографий.

Подпись эксперта, печать организации, предупреждение об ответственности по ст. 307 УК РФ (для судебной экспертизы).

При необходимости — подготовка краткого обзора для менеджмента (Executive Summary) без технических деталей.

Результаты, получаемые заказчиком:

А. Итоговое экспертное заключение (судебное или внесудебное). Объем: от 50 до 300 страниц. Содержит:

Вводную часть (основания, вопросы, сведения об эксперте).

Исследовательскую часть с детальным описанием всех действий эксперта.

Выводы (категоричные или вероятные) по каждому вопросу.

Приложения (акты, протоколы, фотографии, скриншоты, таблицы, дампы в сокращенном виде).

*Б. Краткое резюме (1-2 страницы) для руководства:* «Что произошло, кто виноват, какой ущерб, что делать».

В. Рекомендации по устранению уязвимостей и предотвращению будущих инцидентов (часто оформляются отдельным документом — «План по усилению ИБ»).

Г. Диск с электронной версией заключения и приложениями (включая необработанные дампы, образцы вредоносного ПО в изолированном виде).

🟪 Раздел 3. Практические кейсы: прохождение этапов DFIR-экспертизы в различных сценариях

Кейс № 1 (полный цикл DFIR для промышленного предприятия после атаки шифровальщика).

Исходные данные: АО «Завод точного машиностроения» обнаружило шифрование файлов на 15 рабочих станциях и 2 серверах. Явные требования выкупа (ransomware семейства LockBit). Заказчик (служба безопасности) обратился в экспертную организацию через 4 часа после первого обнаружения.

Прохождение этапов:

Этап 0 (подготовительный): Договор на срочный выезд, согласована предоплата 300 000 руб., составлен перечень систем.

Этап 1 (идентификация): За 2 часа эксперты подтвердили: атака не только на зашифрованные файлы, но и следы эксфильтрации данных в сеть Интернет (по логам прокси-сервера).

Этап 2 (сдерживание): Эксперты отдали команду отключить все зараженные машины от сети (не выключая) и заблокировать исходящий трафик на подозрительные IP-адреса. Заказчиком получен акт блокировок.

Этап 3 (сбор): Созданы криминалистические образы 17 дисков (4 ТБ) и RAM-дампы 5 работающих серверов. Протокол изъятия подписан.

Этап 4 (анализ): Таймлайн показал, что первичное проникновение через уязвимость RDP (брутфорс пароля на сервере терминалов) произошло за 2 недели до шифрования. Эксперт установил IP-адрес злоумышленника (заблокирован у провайдера по запросу).

Этап 5 (эрадикация): Удалены все бэкдоры (включая планировщик задач), закрыт RDP для внешнего доступа, сброшены 200 паролей.

Этап 6 (восстановление): Данные восстановлены из резервных копий (не зашифрованных, так как они хранились на ленточных носителях).

Этап 7 (отчет): Получено заключение на 180 страницах, приложение с хронологией. Суд (арбитраж) использовал заключение для взыскания ущерба с ответственного за нарушение политик сотрудника (длящего RDP без 2FA).

Результат для заказчика: Предотвращен простой производства (восстановление заняло 4 дня вместо прогнозируемых 3 недель), виновник привлечен к материальной ответственности, выплачена страховка по киберполису на основании отчета.

Кейс № 2 (только идентификация, сдерживание и анализ без эрадикации в рамках уголовного дела по инсайдеру).

Исходные данные: В банке «Центральный» внутреннее расследование заподозрило сотрудника отдела разработки в копировании исходных кодов мобильного приложения. Заказчик — следственный департамент МВД. Назначена судебная компьютерно-техническая экспертиза.

Прохождение этапов:

Этап 0: Получено постановление следователя, вопросы: «Копировал ли сотрудник Сидоров файлы?», «На какой носитель?», «Когда?».

Этап 1 (идентификация): Эксперт осмотрел предоставленный следователем образ жесткого диска рабочей станции (изъятой по месту работы Сидорова). Признаки копирования обнаружены (артефакты USBSTOR, LNK-файлы на внешние буквы).

Этап 2 (сдерживание): Не требовался, так как станция уже была изъята.

Этап 3 (сбор): Эксперт создал копию образа (копия с хэшами приложена к делу). Оригинал образа хранится в вещественных доказательствах.

Этап 4 (анализ): Восстановлены удаленные файлы кода через MFT; определен серийный номер USB-флешки (Kingston DT100 G2); в метаданных скопированных файлов обнаружено изменение «Last Modified By» на «Sidorov».

Этапы 5-6 (эрадикация/восстановление): Не выполнялись, так как это не входит в задачи судебной экспертизы (технические меры безопасности проводит банк отдельно).

Этап 7: Заключение эксперта из 120 страниц. Выводы категоричны: Сидоров скопировал 2 300 файлов на USB-накопитель 07.10.2025 в период 15:30-16:45. Суд признал Сидорова виновным по ст. 183 УК РФ.

Результат: Заключение полностью обеспечило обвинение.

Кейс № 3 (неполный цикл — заказчик прервал экспертизу после этапа сбора, потеряв возможность доказать вину).

Ситуация: ООО «КонсалтПрофи» заподозрил сотрудницу Иванову в отправке клиентской базы на личную почту. DFIR-эксперт был вызван, проведен этап идентификации и сбора: созданы образы диска рабочей станции, RAM-дамп, выгружены логи почтового сервера. Однако руководитель организации, посчитав затраты на анализ слишком высокими (150 000 руб.), отказался от этапа анализа и эрадикации, сославшись на то, что «уже понятно, что Иванова виновата». Иванова была уволена по статье, но обратилась в суд с иском о восстановлении на работе.

Последствия: В суде экспертная организация не смогла дать заключение, так как анализ не был проведен. Работодатель предоставил только акт изъятия (без выводов). Суд отказал в признании доказательств, так как «факт копирования не установлен экспертным путем». Иванова восстановлена на работе с выплатой компенсации за вынужденный прогул (450 000 руб.). Экономия на этапе анализа привела к многократным потерям.

Вывод: Заказчик должен понимать, что промежуточные результаты (сбор) сами по себе не являются заключением. Юридически значимые выводы дает только полный анализ (этап 4).

🟪 Раздел 4. Сравнительная таблица результатов этапов для судебной и досудебной экспертизы

🟪 Раздел 5. Что заказчик НЕ получит на этапах DFIR (разграничение компетенций)

Важно понимать, что экспертиза DFIR не является:

Юридической квалификацией действий (эксперт не дает заключение «виновен или не виновен» — это прерогатива суда).

Полной страховкой от повторной атаки (даже после устранения остается риск новых уязвимостей).

Мгновенным восстановлением всех данных (при отсутствии бэкапов или повреждении носителей часть данных утрачивается навсегда).

Заменой внутреннего IT-аудита (DFIR — это разовое расследование по факту инцидента, а не регулярный мониторинг).

Эксперт также не дает показаний в суде «бесплатно» — этап допроса (по ходатайству стороны) оплачивается дополнительно, если не включен в договор.

🟪 Раздел 6. Сроки и стоимость этапов (ориентировочные)

Стоимость и продолжительность зависят от сложности, объема данных и срочности. Ниже приведены среднерыночные значения (для крупного региона):

Общая стоимость полного цикла DFIR-экспертизы (с выездом, сбором, анализом, эрадикацией, восстановлением и отчетом) для средней компании (10–30 серверов, 100 рабочих станций) составляет от 800 000 до 2 500 000 руб. Судебная экспертиза (без эрадикации/восстановления) — от 500 000 руб.

🟪 Раздел 7. Рекомендации заказчику: как подготовиться к каждому этапу в зависимости от целей

ℹ️ Если ваша цель — судебное разбирательство против виновного (инсайдера или третьего лица):

Сразу переходите к этапу 0 (юридическое основание) — заключите договор с экспертной организацией, но лучше дождаться назначения судебной экспертизы процессуальным документом (постановлением следователя). Или параллельно инициируйте обеспечение доказательств (нотариус или суд).

На этапе сбора обязательно привлекайте понятых или нотариуса для фиксации процесса.

Требуйте от эксперта предоставления промежуточных актов (изъятия, хэширования) сразу после этапа 3.

ℹ️ Если ваша цель — оперативное восстановление работы бизнеса с минимальным ущербом:

Приоритизируйте этапы 1 (идентификация) и 2 (сдерживание) — выполняйте их в течение 1-2 часов. Этап 3 (сбор) — минимально необходимый объем (только образы основных серверов). Анализ (этап 4) можно провести параллельно с восстановлением.

Не ждите полного отчета для начала эрадикации и восстановления — эксперт может дать промежуточные «чистые» IOC и рекомендации после первичного анализа.

ℹ️ Если ваша цель — только доказать факт инцидента для страховой компании:

Достаточно выполнения этапов 0, 1, 3 и 4 (идентификация, сбор, анализ) с выдачей заключения-отчета. Эрадикация и восстановление могут быть выполнены силами заказчика.

Если бюджет ограничен:

Закажите этап 3 (сбор) и этап 4 (анализ) в минимальном объеме: только для ключевых систем (1-2 сервера, 5 рабочих станций). Откажитесь от эрадикации и восстановления (сделайте их сами). Итоговый отчет будет менее полным, но юридически значимым.

ℹ️ Заключение

Экспертиза инцидентов кибербезопасности (DFIR) представляет собой строго регламентированную последовательность этапов — от идентификации до итогового отчета. Каждый этап дает заказчику конкретные, материально выраженные результаты (акты, протоколы, образы дисков, аналитические таблицы, экспертные выводы), которые могут использоваться как для оперативного восстановления деятельности, так и в судебных процессах для взыскания ущерба и привлечения виновных к ответственности.

Ключевой вывод настоящей консультации: заказчик не должен пропускать или экономить на критических этапах (сбор доказательств, анализ), так как это приводит к утрате юридической силы материалов. В то же время этапы эрадикации и восстановления могут быть делегированы собственному IT-отделу, если бюджет ограничен.

ℹ️ Для получения детальной консультации по этапам DFIR-экспертизы применительно к вашему конкретному инциденту, для составления плана-графика работ и предварительного расчета стоимости (в том числе срочного выезда в течение 2 часов) обращайтесь на официальный сайт: https://patexp.ru/