Расследование инцидентов безопасности в компьютерных системах

Практически все организации сталкиваются с инцидентами информационной безопасности. В данном курсе рассмотрены процессы организации грамотного, оперативного реагирования на инциденты. Разбираются признаки инцидентов различных типов. Возможные сценарии развития инцидентов и возможные меры противодействия. Рассматриваются вопросы организации и проведения служебных расследований, сбор уликовой информации. Даются основы компьютерной криминалистики. Обговариваются вопросы взаимодействия с государственными органами.
Аудитория
- Руководители подразделений информационной безопасности.
- Инженеры и аудиторы безопасности.
- Специалисты по вопросам защиты информации.
- Сотрудники подразделений ИБ
Предварительный уровень подготовки
Общие представления о правовых, организационных и технических аспектах обеспечения безопасности информации.
По окончании курса слушатели будут знать:
- Классификацию компьютерных инцидентов;
- Угрозы безопасности компьютерных систем;
- Категории внутренних и внешних нарушителей;
- Отечественные и зарубежные подходы к расследованию компьютерных инцидентов;
- Нормативно-правовую базу защиты информации в организации;
- Технические средства минимизации ущерба;
- Средства и методы инструментального контроля;
- Алгоритм действий при возникновении инцидентов;
- Основы компьютерной криминалистики;
По окончании курса слушатели будут уметь:
- Разрабатывать план реагирования ни компьютерные инциденты;
- Осуществлять резервное копирование данных;
- Осуществлять контроль активности сотрудников;
- Осуществлять контроль сетевого трафика;
- Осуществлять атаки анализ файлов протоколов;
- Осуществлять расследование инцидентов безопасности;
- Осуществлять сбор улик.
Программа курса
Раздел 1. Введение.
Общая ситуация с инцидентами ИБ. Разбор реальных инцидентов. Возможные последствия инцидентов. Понятие компьютерных инцидентов, их классификация. Основные стадии КИ. Методы, используемые злоумышленниками.
Раздел 2. Основные проблемы безопасности КС.
Типичные ошибки организации ИБ в организации. Грамотный подбор персонала. Работа с персоналом. Построение грамотной политики в области ИБ. Выбор и использование программного обеспечения (ПО). Проблема идентификации инцидентов ИБ.
Раздел 3. Нарушители ИБ.
Нарушители и их мотивация. Классификация нарушителей. Методы их работы и используемый инструментарий. Сценарий типичной компьютерной атаки.
Раздел 4. Расследование КИ органами власти. Отечественные и зарубежные подходы.
Расследование КИ в РФ и США. Подразделения «К» МВД РФ. ФСБ РФ. Некоторые возможности организаций в расследовании компьютерных инцидентов. Организация взаимодействия с правоохранительными органами. Негосударственные организации, занимающиеся расследованием КИ на территории РФ, и их возможности.
Раздел 5. Управление инцидентами ИБ. Внедрение расследований инцидентов в процессы безопасности компании.
Организация комплексной системы безопасности на предприятии. Обеспечения непрерывности работы и восстановления работоспособности АС организации. Разработка плана реагирования ни компьютерные инциденты. Разъяснительная работа среди сотрудников организации по вопросам информационной безопасности.
Раздел 6. Технические средства сбора информации.
Логгирование и протоколирование событий в информационной системе. Мониторинг активности пользователей. Обеспечение юридической значимости файлов протоколов. Средства защиты информации от утечки по техническим каналам. Средства резервного копирования данных.
Раздел 7. Средства и методы инструментального контроля.
Контроль рабочих мест сотрудников. Обеспечение скрытности контрольного ПО. Снятие файлов протоколов. Контроль активности сотрудников. Honey net и honey pot. Отслеживание обращений к критичным файлам. Контроль сетевого трафика. Инструменты контроля. Комплексные решения контроля за сотрудниками. DLP системы. Анализ файлов протоколов.
Раздел 8. Алгоритм действий при возникновении инцидентов.
Рекомендации NIPC США и возможность их адаптации к российским условиям. Взаимодействие с государственными и негосударственными органами. Решение вопроса об обращении в правоохранительные органы. Выявление и устранение предпосылок, способствовавших возникновению инцидента. Восстановление работоспособности системы. Обеспечение правовой и физической защиты информации. Документирование неправомерных действий. Разработка «дорожной карты» реагирования на инциденты.
Раздел 9. Основы компьютерной криминалистики.
Правовые основы расследования инцидентов ИБ. Изъятие и исследование компьютерной техники. Правовой статус специалиста. Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники. Методика исследования компьютерной техники. Общие принципы исследования техники. Источники цифровых улик. Методы криминалистического исследования. Объекты криминалистического исследования. Инструментарий компьютерного криминалиста. Выводы эксперта и экспертное заключение. Сбор цифровых улик и проведение расследования.
Итоговый зачет в виде теста.
По итогам обучения слушателям, успешно освоившим программу курса, выдаются удостоверения о повышении квалификации.