Для кого этот курс:
- Руководители и сотрудники служб безопасности и защиты информации
- Специалисты по поисковым мероприятиям
В курсе осуществляется обучение руководителей и специалистов правовым, организационным и практическим вопросам расследования компьютерных инцидентов (КИ) в сфере обращения компьютерной информации. В курсе подробно разбираются все аспекты деятельности службы безопасности (отдела информационной безопасности) организации при реагировании на инциденты в информационной системе, в том числе методика предупреждения таких инцидентов, ликвидации нанесенного ими ущерба, пресечения хакерской активности, перекрытия каналов незаконного съема информации и выявления виновных лиц. Обучение вопросам расследования инцидентов направлено на устранения недостатков в деятельности службы безопасности, создающие предпосылки для появления уязвимостей в информационной инфраструктуре организации, разбираются основные способы обеспечения непрерывности функционирования информационной системы в случае возникновения КИ и скорейшего устранения их последствий, рассматриваются основные аспекты технической политики организации, направленные на минимизацию, нанесенного КИ ущерба. Рассматриваются методика и средства осуществления сбора и обработки информации по КИ.
- Правовые и нормативные документы по защите информации в Российской Федерации, общие вопросы защиты информации
- Нормативно-правовые акты в сфере защиты информации, их структура и основные положения. Государственная система защиты информации.
- Лицензирование деятельности в области защиты информации. Государственная система сертификации средств защиты информации.
- Понятие и классификация КИ. Основные стадии КИ (подготовка, развитие, скрытие следов).
- Угрозы безопасности информации и основные виды атак
- Уязвимости сетевых протоколов, операционных систем и приложений.
- Типовые сценарии различных видов атак на канальном, сетевом, транспортном и прикладном уровнях: сбор информации, сканирование сети, перехват и взлом паролей учетных записей, атака на переполнение буфера, атака перехвата сеанса, взлом веб-серверов, SQL-инъекции, атаки на беспроводные сети.
- DoS- атаки, особенности и разновидности атак, приводящих к отказам в обслуживании. Механизмы реализации DDoS-атак на транспортном и прикладном уровнях.
- Теория и практика атак «человек посередине».
- Факторы угроз для информации в организации и их классификация
- Неправильно составленная или ненадлежаще неисполняемая политика безопасности организации. Отсутствие подготовленного персонала и ответственных лиц по вопросам работы с информацией ограниченного доступа. Использование нелицензионного программного обеспечения.
- Внутренние нарушители правил хранения и доступа к информации из числа персонала организации (инсайдеры). Различные категории нарушителей требований политики безопасности. Методы предотвращения вредных последствий от их деятельности.
- Внешние нарушители правил доступа к информации - хакеры. Цели и методы их деятельности. Возможные последствия.
- Другие внешние нарушители правил доступа к информации - воры, рэкетиры, террористы и возможные последствия их действий.
- Внешние нарушители - представители государственных органов. Возможные причины интереса со стороны контролирующих органов. Налоговые проверки, "крышевание", действия в интересах конкурентов. Методы минимизации возможного ущерба от этой неправомерной деятельности.
- Несчастные случаи и стихийные бедствия. Возможные последствия и методы минимизации ущерба.
- Основные предпосылки для возникновения КИ
- Неправильно составленная политика безопасности организации.
- Ненадлежаще неисполняемая службой безопасности (СБ) политика безопасности организации.
- Проблемы в работе с персоналом. Отсутствие подготовленного персонала. Поручение работ по защите информации случайным лицам. Отсутствие единой политики информационной безопасности. Недочеты в работе с персоналом, в том числе с уволившимися сотрудниками.
- Уязвимости в программном обеспечении (ПО). Наличие скрытых уязвимостей в используемых программных средствах, в том числе, вследствие использования нелицензионного ПО. Несоблюдение процедур инсталляции и обслуживания ПО. Консультации со случайными лицами и их последствия.
- Халатность ответственных сотрудников. Игнорирование предупреждений со стороны компетентных государственных органов и персонала. Непринятие мер к своевременному расследованию КИ. Игнорирование сигналов от защитных программных и аппаратных средств.
- Расследование КИ в РФ
- Компетентные государственные органы, осуществляющие расследование КИ в РФ: подразделения «К» БСТМ МВД РФ, ФСБ РФ. Интерпол. Некоторые возможности этих организаций в расследовании КИ.
- Негосударственные организации, занимающиеся расследованием КИ на территории РФ, и их возможности. Профессиональные ассоциации, охранно-детективные структуры, службы безопасности провайдерских компаний.
- Основные меры по минимизации нанесенного КИ ущерба
- Комплексная система безопасности на предприятии. Объединение в едином комплексе организационно-административных, программно-технических, физических и технических мер как необходимое условие для минимизации нанесенного КИ ущерба.
- План обеспечения непрерывности работы и восстановления работоспособности АС организации (ОНРВ). Необходимость предварительной подготовки плана действий в случае КИ с учетом различных видов КИ. Автоматизм в исполнении плана.
- Адекватная политика информационной безопасности. Повышение осведомленности сотрудников организации в вопросах информационной безопасности.
- Юридические предпосылки для минимизации нанесенного КИ ущерба
- Законы "Об информации, информатизации и защите информации", "О правовой охране программ для ЭВМ и баз данных", "О коммерческой тайне" и предъявляемые ими требования. Уголовный кодекс и Кодекс об административных правонарушениях РФ.
- Использование криптографических средств. Правовое регулирование работ с криптографическими средствами защиты информации в РФ.
- Правовая защита информации в организации. Реализация режима коммерческой тайны на предприятии в отношении существенной информации. Ознакомление с этим фактом всех заинтересованных лиц.
- Организация взаимодействия с правоохранительными органами. Предварительное установление и поддержка контакта с правоохранительными органами.
- Технические предпосылки для минимизации нанесенного КИ ущерба
- Использование средства протоколирования. Использование средств протоколирования всех подозрительных действий, мониторинга активности пользователей и использование систем обнаружения вторжений для выявления КИ на ранней стадии. Обеспечение доказательственного значения файлов протоколов.
- Перекрытие технических каналов снятия информации. Основные методы несанкционированного съема информации (активные и пассивные радиозакладки, отражатели, электронно-оптические преобразователи, направленные микрофоны, стетоскопы, средства внешнего контроля). Нестандартные приемы съема информации (волноводы, тайники, ВЧ-навязывание). Некоторые средства защиты. Непрофессиональный подход к технической защите информации и его последствия.
- Обеспечение резервного копирования данных. Периодическое полное и дифференциальное копирование. Обеспечение защищенных зон для хранения информации.
- Доказательственное значение файлов протоколов в случае официального и частного расследования.
- Практические методы контроля работы с информацией в организации
- Контроль рабочих мест сотрудников. Использование программ слежения за обрабатываемой информацией и сетевой активностью. Внедрение контрольного ПО на рабочие места. Обеспечение "невидимости" контрольного ПО для антивирусных программ. Снятие файлов протоколов, в том числе удалённо.
- Контроль активности сотрудников в отношении утечки конфиденциальной информации. Использование методики honey pot. Отслеживание обращений к критичным файлам. Протоколирование действий сотрудников с помощью специальных программных средств и средств аудита в ОС MS Windows.
- Контроль трафика электронной почты и обращения к Web-сайтам. Виды активности, которые требуется контролировать.
- Контроль телефонных переговоров сотрудников. Использование стандартного программного обеспечения мини-АТС.
- Использование результатов контрольных мероприятий. Анализ файлов протоколов. Построение профилей активности сотрудников. Методика реагирования на недопустимые действия сотрудников. "Мягкое" и "жесткое" пресечение недозволенной активности.
- Действия в случае возникновения КИ
- Неотложные действия. Алгоритм действий при возникновении инцидентов. Рекомендации NIPC США и возможность их адаптации к российским условиям.
- Взаимодействие с государственными и негосударственными органами. Решение вопроса об обращении в правоохранительные органы. Взаимодействие с негосударственными организациями и специалистами по информационной безопасности.
- Выявление и устранение предпосылок, способствовавших возникновению КИ
- Восстановление работоспособности системы после КИ согласно плану ОНРВ
- Специфика реагирования при возникновения КИ вследствие неправомерных действий отдельных представителей государственных органов. Обеспечение правовой и физической защиты информации. Документирование неправомерных действий.
- Действия после обращения в государственные органы
- Взаимодействие с правоохранительными органами в ходе расследования. Официальное обращение в государственные органы. Возбуждение уголовного дела.
- Выявление злоумышленника. Оценка нанесенного злоумышленником ущерба с учетом морального вреда и упущенной выгоды организации.
- Сбор доказательств преступной деятельности злоумышленника. Недопустимость применения незаконных методов сбора доказательств. Различие между служебным расследованием в рамках организации и оперативно-розыскной деятельностью. Участие правоохранительных органов.
- Представительство интересов организации на предварительном следствии и в суде. Некоторые сложности, которые могут при этом возникнуть.
- Использование статуса потерпевшего для получения информации об истинных мотивах и методах действий злоумышленника. Необходимость полного и окончательного расследования КИ. Раскрытие возможных пособников злоумышленника внутри организации.
- Устранение причин, способствовавших возникновению КИ. Обеспечение невозможности возникновения КИ в будущем.
- Изъятие и исследование компьютерной техники и носителей информации
- Правовые основы для изъятия и исследования компьютерной техники в административном порядке (осмотр). Правовой статус специалиста.
- Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники.
- Методика исследования компьютерной техники. Общие принципы исследования техники. Компьютерная модель расследования (оценка ситуации, накапливание данных, анализ данных, подготавливают отчета о проведенном расследовании). Программные средства для проведения расследования (DEFT, EnCase Forensic, NST, OSForensics, TSK, COFEE-Microsoft tools и др.). Выводы эксперта и экспертное заключение.
Отзывов по данному курсу пока нет