2. ИнБИТ
  3. Курсы
  4. Вендоры и направления
  5. Безопасность информационных технологий

Расследование инцидентов безопасности компьютерных систем

В курсе рассматриваются вопросы деятельности подразделений информационной безопасности организации при реагировании на инциденты информационной безопасности в информационной системе предприятия. Рассматриваются меры предупреждения и противодействия инцидентам, минимизация или ликвидация ущерба, перекрытия каналов утечки информации и выявления виновных лиц. Даются рекомендации по снижению риска компьютерных инцидентов. Рассматриваются основные предпосылки возникновения инцидентов информационной безопасности в информационных системах. Изучается необходимые организационные, технические, юридические мероприятия, необходимые после выявления компьютерного инцидента. Слушатели ознакомятся с практикой расследования инцидентов в России и за рубежом.

  Для кого:

  • Руководители подразделений информационной безопасности, а также кандидаты, предполагающие работать на таких должностях.
  • Инженеры и аудиторы безопасности.
  • Аналитики информационной безопасности.
  • Специалисты по вопросам защиты информации.

    • Что должен знать слушатель

    Общие представления о правовых, организационных и технических аспектах обеспечения безопасности информации.

    Результаты обучения

    По окончании курса слушатели будут знать:

  • Классификацию компьютерных инцидентов;
  • Угрозы безопасности компьютерных систем;
  • Категории внутренних и внешних нарушителей;
  • Отечественные и зарубежные подходы к расследованию компьютерных инцидентов;
  • Нормативно-правовую базу защиты информации в организации;
  • Технические средства минимизации ущерба;
  • Средства и методы инструментального контроля;
  • Алгоритм действий при возникновении инцидентов;
  • Основы компьютерной криминалистики;
  • Средства защиты от утечки по техническим каналам.

    По окончании курса слушатели будут уметь:

  • Разрабатывать план реагирования ни компьютерные инциденты;
  • Осуществлять резервное копирование данных;
  • Осуществлять контроль активности сотрудников;
  • Осуществлять контроль сетевого трафика;
  • Осуществлять атаки анализ файлов протоколов;
  • Осуществлять расследование инцидентов безопасности;
  • Осуществлять сбор улик.

    • Программа обучения

    Модуль 1. Введение. Компьютерные инциденты ▼

    • 1.1 Примеры инцидентов информационной безопасности в компьютерных системах. Возможные последствия инцидентов.
      • 1.2 Понятие компьютерных инцидентов. Классификация компьютерных инцидентов. Основные стадии КИ (подготовка, развитие, скрытие следов).

    Модуль 2. Угрозы безопасности компьютерных систем ▼

      2.1 Ненадлежащая политика руководства организации. Отсутствие подготовленного персонала. Отсутствие формально ответственных лиц. Использование "пиратского" программного обеспечения. Игнорирование рекомендаций службы безопасности, непринятие профилактических мер. 2.2 Недостатки подбора кадров службы безопасности. Несбалансированная организационно-штатная структура службы безопасности. Неверное формирование микроклимата в организации. Неверный подход к формированию позитивного образа сотрудника службы безопасности. 2.3 Проблемы в работе с персоналом. Низкая подготовленность персонала. Поручение работ по защите информации случайным лицам. Отсутствие единой политики информационной безопасности. Недопустимость использования IT-специалистов для обеспечения информационной безопасности. 2.4 Уязвимости в программном обеспечении (ПО). Наличие скрытых уязвимостей в используемых программных средствах, в том числе, вследствие использования пиратского ПО. Несоблюдение процедур инсталляции, обслуживания и обновления ПО. 2.5 Беспечность ответственных сотрудников. Игнорирование предупреждений со стороны компетентных государственных органов и персонала. Непринятие мер к своевременному расследованию КИ. Игнорирование сигналов от защитных программных и аппаратных средств.

    Модуль 3. Виды нарушителей ▼

      3.1 Внутренние нарушители. Категории внутренних нарушителей. Методы противодействия. 3.2 Деятельность хакеров. Социальный состав хакеров. Цели и методы их деятельности. 3.3 Кибертеррористы и возможные последствия их действий. Изменение некоторых концепций в сфере информационной безопасности в свете роста количества террористических актов. 3.4 Неправомерная деятельность отдельных представителей органов власти. Возможные причины интереса со стороны контролирующих органов. Методы минимизации возможного ущерба от подобной неправомерной деятельности.

    Модуль 4. Отечественные и зарубежные подходы к расследованию компьютерных инцидентов ▼

      4.1 Государственные органы, осуществляющие расследование КИ в РФ и США. Подразделения «К» МВД РФ. ФСБ РФ. Некоторые возможности организаций в расследовании компьютерных инцидентов. 4.2 Различия в юридической базе РФ и США. Влияние этих различий на расследование КИ. Ограничения в применении в РФ западных методик предотвращения и расследования КИ. 4.3 Международное взаимодействие в расследовании компьютерных инцидентов. Доказательственное значение материалов, полученных из-за границы. Типичные ошибки при сборе информации за рубежом. 4.4 Негосударственные организации, занимающиеся расследованием КИ на территории РФ, и их возможности.

    Модуль 5. Минимизация ущерба, причинённого компьютерным инцидентом ▼

      5.1 Организация комплексной системы безопасности на предприятии, как необходимое условие для минимизации нанесенного КИ ущерба. 5.2 Обеспечения непрерывности работы и восстановления работоспособности АС организации. Разработка плана реагирования ни компьютерные инциденты. 5.3 Доработка политики информационной безопасности в части минимизации рисков, превентивных действий, нейтрализующих угрозы инцидентов. Разъяснительная работа среди сотрудников организации по вопросам информационной безопасности.

    Модуль 6. Нормативно-правовая база защиты информации в организации ▼

      6.1 Законодательство РФ. Законы "Об информации, информатизации и защите информации", "О правовой охране программ для ЭВМ и баз данных", "О коммерческой тайне" и предъявляемые ими требования. Уголовный кодекс и Кодекс об административных правонарушениях РФ. 6.2 Правовое регулирование работ с криптографическими средствами защиты информации в РФ. 6.3 Реализация режима коммерческой тайны на предприятии в отношении информации ограниченного распространения. 6.4 Организация взаимодействия с правоохранительными органами. Предварительное установление и поддержка контакта с правоохранительными органами.

    Модуль 7. Технические средства минимизации ущерба ▼

      7.1 Логгирование и протоколирование событий в информационной системе. Мониторинг активности пользователей. Обеспечение юридической значимости файлов протоколов. 7.2 Технические каналы утечки информации. Перекрытие технических каналов утечки информации. Основные методы несанкционированного съема информации через технические каналы. Средства защиты от утечки по техническим каналам. 7.3 Обеспечение резервного копирования данных. Периодическое полное и дифференциальное копирование.

    Модуль 8. Средства и методы инструментального контроля ▼

      8.1 Контроль рабочих мест сотрудников. Использование кейлоггеров и шпионских программ. Внедрение контрольного ПО на рабочие места. Обеспечение скрытности контрольного ПО. Снятие файлов протоколов. 8.2 Контроль активности сотрудников. Honey net и honey pot. Отслеживание обращений к критичным файлам. Протоколирование действий сотрудников с помощью специальных программных средств. 8.3 Контроль сетевого трафика. Виды активности, которые требуется контролировать. 8.4 Комплексные решения контроля за сотрудниками. DLP системы. 8.5 Контроль телефонных переговоров сотрудников. Использование стандартного программного обеспечения мини-АТС. 8.6 Использование результатов контрольных мероприятий. Анализ файлов протоколов 8.7 Методика реагирования на недопустимые действия сотрудников. "Мягкое" и "жесткое" пресечение недозволенной активности.

    Модуль 9. Реагирование на компьютерные инциденты ▼

      9.1 Алгоритм действий при возникновении инцидентов. Рекомендации NIPC США и возможность их адаптации к российским условиям. 9.2 Взаимодействие с государственными и негосударственными органами. Решение вопроса об обращении в правоохранительные органы. Взаимодействие с негосударственными организациями и специалистами по информационной безопасности. 9.3 Выявление и устранение предпосылок, способствовавших возникновению инцидента. 9.4 Восстановление работоспособности системы. 9.5 Обеспечение правовой и физической защиты информации. Документирование неправомерных действий.

    Модуль 10. Взаимодействие с государственными органами ▼

      10.1 Взаимодействие с правоохранительными органами в ходе расследования. Официальное обращение в государственные органы. Возбуждение уголовного дела. 10.2 Выявление злоумышленника. Оценка нанесенного злоумышленником ущерба с учетом морального вреда и упущенной выгоды организации. 10.3 Сбор улик. Недопустимость применения незаконных методов сбора. Различие между служебным расследованием и оперативно-розыскной деятельностью. Участие правоохранительных органов. 10.4 Представительство интересов организации на предварительном следствии и в суде. Раскрытие возможных пособников злоумышленника внутри организации. 10.5 Устранение причин, способствовавших возникновению компьютерного инцидента.

    Модуль 11. Основы компьютерной криминалистики ▼

      11.1 Правовые основы для изъятия и исследования компьютерной техники. Правовой статус специалиста. 11.2 Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники. 11.3 Методика исследования компьютерной техники. Общие принципы исследования техники. Источники цифровых улик. 11.4 Методы криминалистического исследования. Объекты криминалистического исследования. Инструментарий компьютерного криминалиста 11.5 Выводы эксперта и экспертное заключение. 11.6 Практическая работа по сбору цифровых улик и расследованию компьютерных инцидентов.