Расследование инцидентов безопасности в компьютерных системах

Практически все организации сталкиваются с инцидентами информационной безопасности. В данном курсе рассмотрены процессы организации грамотного, оперативного реагирования на инциденты. Разбираются признаки инцидентов различных типов. Возможные сценарии развития инцидентов и возможные меры противодействия. Рассматриваются вопросы организации и проведения служебных расследований, сбор уликовой информации. Даются основы компьютерной криминалистики. Обговариваются вопросы взаимодействия с государственными органами.

 Аудитория

• Руководители подразделений информационной безопасности.
• Инженеры и аудиторы безопасности.
• Специалисты по вопросам защиты информации.
• Сотрудники подразделений ИБ

 Предварительный уровень подготовки

Общие представления о правовых, организационных и технических аспектах обеспечения безопасности информации.

По окончании курса слушатели будут знать:

• Классификацию компьютерных инцидентов;
• Угрозы безопасности компьютерных систем;
• Категории внутренних и внешних нарушителей;
• Отечественные и зарубежные подходы к расследованию компьютерных инцидентов;
• Нормативно-правовую базу защиты информации в организации;
• Технические средства минимизации ущерба;
• Средства и методы инструментального контроля;
• Алгоритм действий при возникновении инцидентов;
• Основы компьютерной криминалистики;

 По окончании курса слушатели будут уметь:

• Разрабатывать план реагирования ни компьютерные инциденты;
• Осуществлять резервное копирование данных;
• Осуществлять контроль активности сотрудников;
• Осуществлять контроль сетевого трафика;
• Осуществлять атаки анализ файлов протоколов;
• Осуществлять расследование инцидентов безопасности;
• Осуществлять сбор улик.

Программа курса

 Раздел 1. Введение.

Общая ситуация с инцидентами ИБ. Разбор реальных инцидентов. Возможные последствия инцидентов. Понятие компьютерных инцидентов, их классификация. Основные стадии КИ. Методы, используемые злоумышленниками.

 Раздел 2. Основные проблемы безопасности КС.

 Типичные ошибки организации ИБ в организации. Грамотный подбор персонала. Работа с персоналом. Построение грамотной политики в области ИБ. Выбор и использование программного обеспечения (ПО). Проблема идентификации инцидентов ИБ.

 Раздел 3. Нарушители ИБ.

 Нарушители и их мотивация. Классификация нарушителей. Методы их работы и используемый инструментарий. Сценарий типичной компьютерной атаки.

 Раздел 4. Расследование КИ органами власти. Отечественные и зарубежные подходы.

Расследование КИ в РФ и США. Подразделения «К» МВД РФ. ФСБ РФ. Некоторые возможности организаций в расследовании компьютерных инцидентов.  Организация взаимодействия с правоохранительными органами. Негосударственные организации, занимающиеся расследованием КИ на территории РФ, и их возможности.

 Раздел 5. Управление инцидентами ИБ. Внедрение расследований инцидентов в процессы безопасности компании.

 Организация комплексной системы безопасности на предприятии. Обеспечения непрерывности работы и восстановления работоспособности АС организации. Разработка плана реагирования ни компьютерные инциденты. Разъяснительная работа среди сотрудников организации по вопросам информационной безопасности.

 Раздел 6. Технические средства сбора информации.

 Логгирование и протоколирование событий в информационной системе. Мониторинг активности пользователей. Обеспечение юридической значимости файлов протоколов. Средства защиты информации от утечки по техническим каналам. Средства резервного копирования данных.

 Раздел 7. Средства и методы инструментального контроля.

 Контроль рабочих мест сотрудников. Обеспечение скрытности контрольного ПО. Снятие файлов протоколов. Контроль активности сотрудников. Honey net и honey pot. Отслеживание обращений к критичным файлам. Контроль сетевого трафика. Инструменты контроля. Комплексные решения контроля за сотрудниками. DLP системы. Анализ файлов протоколов.

 Раздел 8. Алгоритм действий при возникновении инцидентов.

 Рекомендации NIPC США и возможность их адаптации к российским условиям. Взаимодействие с государственными и негосударственными органами. Решение вопроса об обращении в правоохранительные органы.  Выявление и устранение предпосылок, способствовавших возникновению инцидента. Восстановление работоспособности системы. Обеспечение правовой и физической защиты информации. Документирование неправомерных действий. Разработка «дорожной карты» реагирования на инциденты.

 Раздел 9. Основы компьютерной криминалистики.

 Правовые основы расследования инцидентов ИБ. Изъятие и исследование компьютерной техники. Правовой статус специалиста. Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники. Методика исследования компьютерной техники. Общие принципы исследования техники.  Источники цифровых улик. Методы криминалистического исследования. Объекты криминалистического исследования.  Инструментарий компьютерного криминалиста. Выводы эксперта и экспертное заключение. Сбор цифровых улик и проведение расследования.

 Итоговый зачет в виде теста.

 По итогам обучения слушателям, успешно освоившим программу курса, выдаются удостоверения о повышении квалификации.