Состав материалов, связанных с возникновением компьютерных инцидентов (цифровых свидетельств), подлежащих фиксации, зависит от типа компьютерного инцидента и его последствий.

В рамках реагирования на компьютерные инциденты могут фиксироваться следующие материалы, связанные с возникновением компьютерных инцидентов (цифровые свидетельства):

• электронные образы штатных машинных носителей информации средств вычислительной техники и (или) съемных машинных носителей информации;
• содержимое рабочей памяти (дамп) процесса, ядра ОС или ОС в целом;
• сетевой трафик, циркулирующий между вовлеченными в компьютерный инцидент элементами информационной инфраструктуры, а также между этими элементами и элементами других функционирующих в сети Интернет ресурсов;
• образцы вредоносного ПО;
• отдельные файлы, такие как журналы регистрации событий безопасности, файлы реестра ОС, системные и пользовательские файлы;
• сообщения электронной почты;
• снимки состояния виртуальных машин.

[из 7.1 Фиксация материалов, связанных с возникновением компьютерных инцидентов ГОСТ Р 59712-2022]