Расследование компьютерных инцидентов

Стоимость обучения (руб):
18 600
Продолжительность (час):
26
Записавшись на обучение, забронируйте себе место в группе. С Вами свяжутся в течение рабочего дня.

Для кого этот курс:

  • Руководители и сотрудники служб безопасности и защиты информации
  • Специалисты по поисковым мероприятиям

В курсе осуществляется обучение руководителей и специалистов правовым, организационным и практическим вопросам расследования компьютерных инцидентов (КИ) в сфере обращения компьютерной информации. В курсе подробно разбираются все аспекты деятельности службы безопасности (отдела информационной безопасности) организации при реагировании на инциденты в информационной системе, в том числе методика предупреждения таких инцидентов, ликвидации нанесенного ими ущерба, пресечения хакерской активности, перекрытия каналов незаконного съема информации и выявления виновных лиц. Обучение вопросам расследования инцидентов направлено на устранения недостатков в деятельности службы безопасности, создающие предпосылки для появления уязвимостей в информационной инфраструктуре организации, разбираются основные способы обеспечения непрерывности функционирования информационной системы в случае возникновения КИ и скорейшего устранения их последствий, рассматриваются основные аспекты технической политики организации, направленные на минимизацию, нанесенного КИ ущерба. Рассматриваются методика и средства осуществления сбора и обработки информации по КИ.

  1. Правовые и нормативные документы по защите информации в Российской Федерации, общие вопросы защиты информации
    • Нормативно-правовые акты в сфере защиты информации, их структура и основные положения. Государственная система защиты информации.
    • Лицензирование деятельности в области защиты информации. Государственная система сертификации средств защиты информации.
    • Понятие и классификация КИ. Основные стадии КИ (подготовка, развитие, скрытие следов).
  2. Угрозы безопасности информации и основные виды атак
    • Уязвимости сетевых протоколов, операционных систем и приложений.
    • Типовые сценарии различных видов атак на канальном, сетевом, транспортном и прикладном уровнях: сбор информации, сканирование сети, перехват и взлом паролей учетных записей, атака на переполнение буфера, атака перехвата сеанса, взлом веб-серверов, SQL-инъекции, атаки на беспроводные сети.
    • DoS- атаки, особенности и разновидности атак, приводящих к отказам в обслуживании. Механизмы реализации DDoS-атак на транспортном и прикладном уровнях.
    • Теория и практика атак «человек посередине».
  3. Факторы угроз для информации в организации и их классификация
    • Неправильно составленная или ненадлежаще неисполняемая политика безопасности организации. Отсутствие подготовленного персонала и ответственных лиц по вопросам работы с информацией ограниченного доступа. Использование нелицензионного программного обеспечения.
    • Внутренние нарушители правил хранения и доступа к информации из числа персонала организации (инсайдеры). Различные категории нарушителей требований политики безопасности. Методы предотвращения вредных последствий от их деятельности.
    • Внешние нарушители правил доступа к информации - хакеры. Цели и методы их деятельности. Возможные последствия.
    • Другие внешние нарушители правил доступа к информации - воры, рэкетиры, террористы и возможные последствия их действий.
    • Внешние нарушители - представители государственных органов. Возможные причины интереса со стороны контролирующих органов. Налоговые проверки, "крышевание", действия в интересах конкурентов. Методы минимизации возможного ущерба от этой неправомерной деятельности.
    • Несчастные случаи и стихийные бедствия. Возможные последствия и методы минимизации ущерба.
  4. Основные предпосылки для возникновения КИ
    • Неправильно составленная политика безопасности организации.
    • Ненадлежаще неисполняемая службой безопасности (СБ) политика безопасности организации.
    • Проблемы в работе с персоналом. Отсутствие подготовленного персонала. Поручение работ по защите информации случайным лицам. Отсутствие единой политики информационной безопасности. Недочеты в работе с персоналом, в том числе с уволившимися сотрудниками.
    • Уязвимости в программном обеспечении (ПО). Наличие скрытых уязвимостей в используемых программных средствах, в том числе, вследствие использования нелицензионного ПО. Несоблюдение процедур инсталляции и обслуживания ПО. Консультации со случайными лицами и их последствия.
    • Халатность ответственных сотрудников. Игнорирование предупреждений со стороны компетентных государственных органов и персонала. Непринятие мер к своевременному расследованию КИ. Игнорирование сигналов от защитных программных и аппаратных средств.
  5. Расследование КИ в РФ
    • Компетентные государственные органы, осуществляющие расследование КИ в РФ: подразделения «К» БСТМ МВД РФ, ФСБ РФ. Интерпол. Некоторые возможности этих организаций в расследовании КИ.
    • Негосударственные организации, занимающиеся расследованием КИ на территории РФ, и их возможности. Профессиональные ассоциации, охранно-детективные структуры, службы безопасности провайдерских компаний.
  6. Основные меры по минимизации нанесенного КИ ущерба
    • Комплексная система безопасности на предприятии. Объединение в едином комплексе организационно-административных, программно-технических, физических и технических мер как необходимое условие для минимизации нанесенного КИ ущерба.
    • План обеспечения непрерывности работы и восстановления работоспособности АС организации (ОНРВ). Необходимость предварительной подготовки плана действий в случае КИ с учетом различных видов КИ. Автоматизм в исполнении плана.
    • Адекватная политика информационной безопасности. Повышение осведомленности сотрудников организации в вопросах информационной безопасности.
  7. Юридические предпосылки для минимизации нанесенного КИ ущерба
    • Законы "Об информации, информатизации и защите информации", "О правовой охране программ для ЭВМ и баз данных", "О коммерческой тайне" и предъявляемые ими требования. Уголовный кодекс и Кодекс об административных правонарушениях РФ.
    • Использование криптографических средств. Правовое регулирование работ с криптографическими средствами защиты информации в РФ.
    • Правовая защита информации в организации. Реализация режима коммерческой тайны на предприятии в отношении существенной информации. Ознакомление с этим фактом всех заинтересованных лиц.
    • Организация взаимодействия с правоохранительными органами. Предварительное установление и поддержка контакта с правоохранительными органами.
  8. Технические предпосылки для минимизации нанесенного КИ ущерба
    • Использование средства протоколирования. Использование средств протоколирования всех подозрительных действий, мониторинга активности пользователей и использование систем обнаружения вторжений для выявления КИ на ранней стадии. Обеспечение доказательственного значения файлов протоколов.
    • Перекрытие технических каналов снятия информации. Основные методы несанкционированного съема информации (активные и пассивные радиозакладки, отражатели, электронно-оптические преобразователи, направленные микрофоны, стетоскопы, средства внешнего контроля). Нестандартные приемы съема информации (волноводы, тайники, ВЧ-навязывание). Некоторые средства защиты. Непрофессиональный подход к технической защите информации и его последствия.
    • Обеспечение резервного копирования данных. Периодическое полное и дифференциальное копирование. Обеспечение защищенных зон для хранения информации.
    • Доказательственное значение файлов протоколов в случае официального и частного расследования.
  9. Практические методы контроля работы с информацией в организации
    • Контроль рабочих мест сотрудников. Использование программ слежения за обрабатываемой информацией и сетевой активностью. Внедрение контрольного ПО на рабочие места. Обеспечение "невидимости" контрольного ПО для антивирусных программ. Снятие файлов протоколов, в том числе удалённо.
    • Контроль активности сотрудников в отношении утечки конфиденциальной информации. Использование методики honey pot. Отслеживание обращений к критичным файлам. Протоколирование действий сотрудников с помощью специальных программных средств и средств аудита в ОС MS Windows.
    • Контроль трафика электронной почты и обращения к Web-сайтам. Виды активности, которые требуется контролировать.
    • Контроль телефонных переговоров сотрудников. Использование стандартного программного обеспечения мини-АТС.
    • Использование результатов контрольных мероприятий. Анализ файлов протоколов. Построение профилей активности сотрудников. Методика реагирования на недопустимые действия сотрудников. "Мягкое" и "жесткое" пресечение недозволенной активности.
  10. Действия в случае возникновения КИ
    • Неотложные действия. Алгоритм действий при возникновении инцидентов. Рекомендации NIPC США и возможность их адаптации к российским условиям.
    • Взаимодействие с государственными и негосударственными органами. Решение вопроса об обращении в правоохранительные органы. Взаимодействие с негосударственными организациями и специалистами по информационной безопасности.
    • Выявление и устранение предпосылок, способствовавших возникновению КИ
    • Восстановление работоспособности системы после КИ согласно плану ОНРВ
    • Специфика реагирования при возникновения КИ вследствие неправомерных действий отдельных представителей государственных органов. Обеспечение правовой и физической защиты информации. Документирование неправомерных действий.
  11. Действия после обращения в государственные органы
    • Взаимодействие с правоохранительными органами в ходе расследования. Официальное обращение в государственные органы. Возбуждение уголовного дела.
    • Выявление злоумышленника. Оценка нанесенного злоумышленником ущерба с учетом морального вреда и упущенной выгоды организации.
    • Сбор доказательств преступной деятельности злоумышленника. Недопустимость применения незаконных методов сбора доказательств. Различие между служебным расследованием в рамках организации и оперативно-розыскной деятельностью. Участие правоохранительных органов.
    • Представительство интересов организации на предварительном следствии и в суде. Некоторые сложности, которые могут при этом возникнуть.
    • Использование статуса потерпевшего для получения информации об истинных мотивах и методах действий злоумышленника. Необходимость полного и окончательного расследования КИ. Раскрытие возможных пособников злоумышленника внутри организации.
    • Устранение причин, способствовавших возникновению КИ. Обеспечение невозможности возникновения КИ в будущем.
  12. Изъятие и исследование компьютерной техники и носителей информации
    • Правовые основы для изъятия и исследования компьютерной техники в административном порядке (осмотр). Правовой статус специалиста.
    • Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники.
    • Методика исследования компьютерной техники. Общие принципы исследования техники. Компьютерная модель расследования (оценка ситуации, накапливание данных, анализ данных, подготавливают отчета о проведенном расследовании). Программные средства для проведения расследования (DEFT, EnCase Forensic, NST, OSForensics, TSK, COFEE-Microsoft tools и др.). Выводы эксперта и экспертное заключение.

Отзывов по данному курсу пока нет

Учебный центр безопасности информации «МАСКОМ»
Контакты:
Адрес: 119421, Москва , ул. Новаторов, дом 40, корпус 1
Сайт:, Телефон:+7 (495) 740-43-40, Электронная почта: mascom-uc@mascom-uc.ru