Расследование инцидентов безопасности в компьютерных системах

Расследование инцидентов безопасности в компьютерных системах
Даты проведения
30/11
-
03/12
Стоимость обучения
38 600 руб.
Длительность
32 часа

Практически все организации сталкиваются с инцидентами информационной безопасности. В данном курсе рассмотрены процессы организации грамотного, оперативного реагирования на инциденты. Разбираются признаки инцидентов различных типов. Возможные сценарии развития инцидентов и возможные меры противодействия. Рассматриваются вопросы организации и проведения служебных расследований, сбор уликовой информации. Даются основы компьютерной криминалистики. Обговариваются вопросы взаимодействия с государственными органами.

 Аудитория

  • Руководители подразделений информационной безопасности.
  • Инженеры и аудиторы безопасности.
  • Специалисты по вопросам защиты информации.
  • Сотрудники подразделений ИБ

 Предварительный уровень подготовки

Общие представления о правовых, организационных и технических аспектах обеспечения безопасности информации.

По окончании курса слушатели будут знать:

  • Классификацию компьютерных инцидентов;
  • Угрозы безопасности компьютерных систем;
  • Категории внутренних и внешних нарушителей;
  • Отечественные и зарубежные подходы к расследованию компьютерных инцидентов;
  • Нормативно-правовую базу защиты информации в организации;
  • Технические средства минимизации ущерба;
  • Средства и методы инструментального контроля;
  • Алгоритм действий при возникновении инцидентов;
  • Основы компьютерной криминалистики;

 По окончании курса слушатели будут уметь:

  • Разрабатывать план реагирования ни компьютерные инциденты;
  • Осуществлять резервное копирование данных;
  • Осуществлять контроль активности сотрудников;
  • Осуществлять контроль сетевого трафика;
  • Осуществлять атаки анализ файлов протоколов;
  • Осуществлять расследование инцидентов безопасности;
  • Осуществлять сбор улик.

 

Программа курса

 Раздел 1. Введение.

Общая ситуация с инцидентами ИБ. Разбор реальных инцидентов. Возможные последствия инцидентов. Понятие компьютерных инцидентов, их классификация. Основные стадии КИ. Методы, используемые злоумышленниками.

 Раздел 2. Основные проблемы безопасности КС.

 Типичные ошибки организации ИБ в организации. Грамотный подбор персонала. Работа с персоналом. Построение грамотной политики в области ИБ. Выбор и использование программного обеспечения (ПО). Проблема идентификации инцидентов ИБ.

 Раздел 3. Нарушители ИБ.

 Нарушители и их мотивация. Классификация нарушителей. Методы их работы и используемый инструментарий. Сценарий типичной компьютерной атаки.

 Раздел 4. Расследование КИ органами власти. Отечественные и зарубежные подходы.

Расследование КИ в РФ и США. Подразделения «К» МВД РФ. ФСБ РФ. Некоторые возможности организаций в расследовании компьютерных инцидентов.  Организация взаимодействия с правоохранительными органами. Негосударственные организации, занимающиеся расследованием КИ на территории РФ, и их возможности.

 Раздел 5. Управление инцидентами ИБ. Внедрение расследований инцидентов в процессы безопасности компании.

 Организация комплексной системы безопасности на предприятии. Обеспечения непрерывности работы и восстановления работоспособности АС организации. Разработка плана реагирования ни компьютерные инциденты. Разъяснительная работа среди сотрудников организации по вопросам информационной безопасности.

 Раздел 6. Технические средства сбора информации.

 Логгирование и протоколирование событий в информационной системе. Мониторинг активности пользователей. Обеспечение юридической значимости файлов протоколов. Средства защиты информации от утечки по техническим каналам. Средства резервного копирования данных.

 Раздел 7. Средства и методы инструментального контроля.

 Контроль рабочих мест сотрудников. Обеспечение скрытности контрольного ПО. Снятие файлов протоколов. Контроль активности сотрудников. Honey net и honey pot. Отслеживание обращений к критичным файлам. Контроль сетевого трафика. Инструменты контроля. Комплексные решения контроля за сотрудниками. DLP системы. Анализ файлов протоколов.

 Раздел 8. Алгоритм действий при возникновении инцидентов.

 Рекомендации NIPC США и возможность их адаптации к российским условиям. Взаимодействие с государственными и негосударственными органами. Решение вопроса об обращении в правоохранительные органы.  Выявление и устранение предпосылок, способствовавших возникновению инцидента. Восстановление работоспособности системы. Обеспечение правовой и физической защиты информации. Документирование неправомерных действий. Разработка «дорожной карты» реагирования на инциденты.

 Раздел 9. Основы компьютерной криминалистики.

 Правовые основы расследования инцидентов ИБ. Изъятие и исследование компьютерной техники. Правовой статус специалиста. Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники. Методика исследования компьютерной техники. Общие принципы исследования техники.  Источники цифровых улик. Методы криминалистического исследования. Объекты криминалистического исследования.  Инструментарий компьютерного криминалиста. Выводы эксперта и экспертное заключение. Сбор цифровых улик и проведение расследования.

 Итоговый зачет в виде теста.

 По итогам обучения слушателям, успешно освоившим программу курса, выдаются удостоверения о повышении квалификации.