Изобретение относится к системам обеспечения информационной безопасности. Техническим результатом является повышение эффективности автоматического расследования инцидентов безопасности и, как следствие, уменьшение времени реагирования на инциденты безопасности в автоматизированной системе. Система автоматического расследования инцидентов безопасности автоматизированной системы содержит средство загрузки данных о системных событиях с компьютерных устройств, подключенных к серверу администрирования; сервер администрирования, который включает в себя средство управления событиями, предназначенное для фиксации, регистрации, анализа по меньшей мере одного системного события из загруженных данных, вызвавшего инцидент безопасности, и средство поиска решений, хранящееся в памяти и исполняемое на процессоре сервера администрирования, причем система включает в себя аналитический модуль описания прецедентов, предназначенный для формализации прецедентов, поиска прецедентов в базе данных прецедентов, актуализации прецедентов, предоставления знаний о прецедентах, и базу данных прецедентов, реализующую в себе технологию представления и хранения данных в формате онтологий. 2 н.п. ф-лы, 2 ил., 1 табл.