МОДЕЛЬ ПРОЦЕССА ВЫЯВЛЕНИЯ ИНФОРМАЦИИ О ЗАПУСКЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В ОПЕРАЦИОННЫХ СИСТЕМАХ WINDOWS ПРИ РАССЛЕДОВАНИИ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В статье представлена основанная на математическом аппарате сетей Петри
модель процесса выявления информации о запуске программного обеспечения, используемая при расследовании инцидентов информационной безопасности. Входными
данными предлагаемой модели являются кортежи, содержащие интересующие специалиста признаки, связанные с запуском программы: имя и полный путь до файла,
время запуска и источник информации о запуске. В статье кратко описаны основные
массивы данных, в которых содержится необходимая информация о запуске программы. Предлагаемая модель может быть расширена при появлении новых массивов данных, а также использована в качестве основы для создания средства автоматизации
сбора и анализа информации, что позволит специалисту, проводящему расследование инцидента информационной безопасности, ускорить процесс выявления и ликвидации последствий инцидента.