В статье рассмотреныпризнаки, идентифицирующие файлы, приведены примеры файловых операций, предложен алгоритм идентификации файловыхопераций, представлена разработанная модельпроцессаидентификациивоздействий на файлы. С учетом событийно-переходной природы процессовизменения признаков, идентифицирующих файлы, для моделирования использован аппарат сетей Петри. На основе моделивозможнареализация системы, применение которойпозволитавтоматизировать процесс идентификации воздействий на файлыс целью определения влияния на обрабатываемую информациюв рамкахрасследования инцидентовинформационной безопасности.Установление факта влияния на информацию позволяет упростить процедуру ликвидациипоследствий инцидента информационной безопасности.Использованиесистемы на основе разработанной модели позволит верифицировать источники информации, содержащиепризнаки, идентифицирующие файлы,и данныеофайловыхоперациях