- Не надо писать отчёт на исследуемом компьютере. По крайней мере, не сохраняйте текст на исследуемом носителе. Иначе рискуете заглотить/оттоптать собственный хвост.
- Не стремитесь непременно использовать бюрократические обороты (или выражения, которые вам кажутся таковыми). Ваша задача – добиться информативности, а не благоговейности от прочтения отчёта.
- Термин, который для вас и вашего окружения кажется ясным и естественным, может быть неизвестен вне вашего круга. Или того хуже – известен с иным значением.
- Более официальным является тот термин, который чаще упоминается в нормативных документах: ФЗ, указах Президента, постановлениях Правительства и т.д.
- Если сомневаетесь, какой из двух терминов использовать – используйте сразу оба: первый, а в скобках второй.
- Ясность и информативность текста имеют безусловный приоритет перед его "официальностью".
- Постарайтесь представить, кто и с какой целью будет читать ваш текст. Если есть понимание этого, можно вынести в начало или конец текста краткие ответы на вопросы, которые будут интересовать читателя.
- Иллюстрациями отчёт не испортишь.
- Запрет вставлять иллюстрации прямо в текст и требование приводить их на отдельных листах – атавизм докомпьютерной эры. Он уже выкорчеван из кодексов, приказов и ГОСТов, но ещё держится в закостенелых мозгах некоторых начальников.
- На скриншотах желательно выделять существенные элементы графически или указывать на них в подписях. То, что бросается в глаза вам, другие люди запросто пропускают мимо.
- Объёмные логи – под кат. То есть, в приложение к отчёту в виде компакт-диска. В самом тексте приводится лишь короткий фрагмент, позволяющий читателю понять суть дела, не заглядывая в приложение.
- Не злоупотребляйте отсылками. Если для понимания дальнейшего текста читателю пришлось бы отложить отчёт и полезть в RFC, ГОСТ, руководство администратора, приказ, ваш предыдущий отчёт или иной RTFM, то такая отсылка приравнивается к посылу читателя на три неприличных буквы.
- Думайте о читателях отчёта плохо. Тогда они отнесутся к тексту хорошо. Пусть предмет будет настолько разжёван, чтоб его понял дажеваш начальник.
- Объём сведений должен быть достаточен, чтоб читатель мог повторить все ваши действия.
- В качестве исключения из предыдущего правила: обязательно приводите короткоживущие данные, которые кроме вас никто не видел и не увидит. Да, вы никогда не сможете доказать, что при входе в серверную почувствовали запах духов или заметили в ARP-таблице второй адрес, но это может открыть путь для поиска новых доказательств.
Языковая совместимость (3)
Языковая совместимость (3)
От общих рассуждений о необходимости оформления бумаг перейдём наконец к практическим советам про составление отчётов об инцидентахИБ.
расследование
политика безопасности
термины
