В статье представлена основанная на математическом аппарате сетей Петри модель процесса выявления информации о запуске программного обеспечения, используемая при расследовании инцидентов информационной безопасности. Входными данными предлагаемой модели являются кортежи, содержащие интересующие специалиста признаки, связанные с запуском программы: имя и полный путь до файла, время запуска и источник информации о запуске. В статье кратко описаны основные массивы данных, в которых содержится необходимая информация о запуске программы. Предлагаемая модель может быть расширена при появлении новых массивов данных, а также использована в качестве основы для создания средства автоматизации сбора и анализа информации, что позволит специалисту, проводящему расследование инцидента информационной безопасности, ускорить процесс выявления и ликвидации последствий инцидента.