Расследование инцидентов безопасности компьютерных систем

Город Ноябрь18 Дек.18 Январь19 Фев.19 Март19 Апрель19 Май19 Июнь19 Июль19 Август19 Сент.19 Октяб.19
Екатеринбург 20-23Купить


Код: БТ07
Длительность: 4 дня / 32 ак.ч.
Стоимость: 38 035 р.

Стоимость индивидуального обучения: 41 850 руб.


Аннотация:


В курсе рассматриваются вопросы деятельности подразделений информационной безопасности организации при реагировании на инциденты информационной безопасности в информационной системе предприятия. Рассматриваются меры предупреждения и противодействия инцидентам, минимизация или ликвидация ущерба, перекрытия каналов утечки информации и выявления виновных лиц. Даются рекомендации по снижению риска компьютерных инцидентов. Рассматриваются основные предпосылки возникновения инцидентов информационной безопасности в информационных системах. Изучается необходимые организационные, технические, юридические мероприятия, необходимые после выявления компьютерного инцидента. Слушатели ознакомятся с практикой расследования инцидентов в России и за рубежом.



Аудитория:


  • Руководители подразделений информационной безопасности, а также кандидаты, предполагающие работать на таких должностях.
  • Инженеры и аудиторы безопасности.
  • Аналитики информационной безопасности.
  • Специалисты по вопросам защиты информации.



Предварительный уровень подготовки:


Общие представления о правовых, организационных и технических аспектах обеспечения безопасности информации.


По окончании курса слушатели будут знать:


·         Классификацию компьютерных инцидентов;


·         Угрозы безопасности компьютерных систем;


·         Категории внутренних и внешних нарушителей;


·         Отечественные и зарубежные подходы к расследованию компьютерных инцидентов;


·         Нормативно-правовую базу защиты информации в организации;


·         Технические средства минимизации ущерба;


·         Средства и методы инструментального контроля;


·         Алгоритм действий при возникновении инцидентов;


·         Основы компьютерной криминалистики;


·         Средства защиты от утечки по техническим каналам.


По окончании курса слушатели будут уметь:


·         Разрабатывать план реагирования ни компьютерные инциденты;


·         Осуществлять резервное копирование данных;


·         Осуществлять контроль активности сотрудников;


·         Осуществлять контроль сетевого трафика;


·         Осуществлять атаки анализ файлов протоколов;


·         Осуществлять расследование инцидентов безопасности;


·         Осуществлять сбор улик.



Регистрация на курс:


1.   По электронной почте. Отправьте сообщение на адрес edu@unitgroup.ru, с указанием: названия предприятия, ФИО участников, их должностей, контактных телефонов и e-mail.


2.   По телефону +7(343) 344-25-60 Учебный центр Юнит.



Программа курса:



Раздел 1. Введение. Компьютерные инциденты. (2 часа)


  • Примеры инцидентов информационной безопасности в компьютерных системах. Возможные последствия инцидентов.
  • Понятие компьютерных инцидентов. Классификация компьютерных инцидентов. Основные стадии КИ (подготовка, развитие, скрытие следов).


Раздел 2. Угрозы безопасности компьютерных систем. (2часа)



  • Ненадлежащая политика руководства организации. Отсутствие подготовленного персонала. Отсутствие формально ответственных лиц. Использование "пиратского" программного обеспечения. Игнорирование рекомендаций службы безопасности, непринятие профилактических мер.
  • Недостатки подбора кадров службы безопасности. Несбалансированная организационно-штатная структура службы безопасности. Неверное формирование микроклимата в организации. Неверный подход к формированию позитивного образа сотрудника службы безопасности.
  • Проблемы в работе с персоналом. Низкая подготовленность персонала. Поручение работ по защите информации случайным лицам. Отсутствие единой политики информационной безопасности. Недопустимость использования IT-специалистов для обеспечения информационной безопасности.
  • Уязвимости в программном обеспечении (ПО). Наличие скрытых уязвимостей в используемых программных средствах, в том числе, вследствие использования пиратского ПО. Несоблюдение процедур инсталляции, обслуживания и обновления ПО.
  • Беспечность ответственных сотрудников. Игнорирование предупреждений со стороны компетентных государственных органов и персонала. Непринятие мер к своевременному расследованию КИ. Игнорирование сигналов от защитных программных и аппаратных средств.



Раздел 3. Виды нарушителей. (2 часа)



·         Внутренние нарушители. Категории внутренних нарушителей. Методы противодействия.


·         Деятельность хакеров. Социальный состав хакеров. Цели и методы их деятельности.


·         Кибертеррористы и возможные последствия их действий. Изменение некоторых концепций в сфере информационной безопасности в свете роста количества террористических актов.


·         Неправомерная деятельность отдельных представителей органов власти. Возможные причины интереса со стороны контролирующих органов. Методы минимизации возможного ущерба от подобной неправомерной деятельности.



Раздел 4. Отечественные и зарубежные подходы к расследованию компьютерных инцидентов. (4 часа)


·         Государственные органы, осуществляющие расследование КИ в РФ и США. Подразделения «К» МВД РФ. ФСБ РФ. Некоторые возможности организаций в расследовании компьютерных инцидентов.


·         Различия в юридической базе РФ и США. Влияние этих различий на расследование КИ. Ограничения в применении в РФ западных методик предотвращения и расследования КИ.


·         Международное взаимодействие в расследовании компьютерных инцидентов. Доказательственное значение материалов, полученных из-за границы. Типичные ошибки при сборе информации за рубежом.


·         Негосударственные организации, занимающиеся расследованием КИ на территории РФ, и их возможности.



Раздел 5. Минимизация ущерба, причинённого компьютерным инцидентом. (4 часа)



·         Организация комплексной системы безопасности на предприятии, как необходимое условие для минимизации нанесенного КИ ущерба.


·         Обеспечения непрерывности работы и восстановления работоспособности АС организации. Разработка плана реагирования ни компьютерные инциденты.


·         Доработка политики информационной безопасности в части минимизации рисков, превентивных действий, нейтрализующих угрозы инцидентов. Разъяснительная работа среди сотрудников организации по вопросам информационной безопасности.



Раздел 6. Нормативно-правовая база защиты информации в организации. (2 часа)



·         Законодательство РФ. Законы "Об информации, информатизации и защите информации", "О правовой охране программ для ЭВМ и баз данных", "О коммерческой тайне" и предъявляемые ими требования. Уголовный кодекс и Кодекс об административных правонарушениях РФ.


·         Правовое регулирование работ с криптографическими средствами защиты информации в РФ.


·         Реализация режима коммерческой тайны на предприятии в отношении информации ограниченного распространения.


·         Организация взаимодействия с правоохранительными органами. Предварительное установление и поддержка контакта с правоохранительными органами.



Раздел 7. Технические средства минимизации ущерба. (4 часа)



·         Логгирование и протоколирование событий в информационной системе. Мониторинг активности пользователей. Обеспечение юридической значимости файлов протоколов.


·         Технические каналы утечки информации. Перекрытие технических каналов утечки информации. Основные методы несанкционированного съема информации через технические каналы. Средства защиты от утечки по техническим каналам.


·         Обеспечение резервного копирования данных. Периодическое полное и дифференциальное копирование.



Раздел 8. Средства и методы инструментального контроля. (4 часа)



·         Контроль рабочих мест сотрудников. Использование кейлоггеров и шпионских программ. Внедрение контрольного ПО на рабочие места. Обеспечение скрытности контрольного ПО. Снятие файлов протоколов.


·         Контроль активности сотрудников. Honey net и honey pot. Отслеживание обращений к критичным файлам. Протоколирование действий сотрудников с помощью специальных программных средств.


·         Контроль сетевого трафика. Виды активности, которые требуется контролировать.


·         Комплексные решения контроля за сотрудниками. DLP системы.


·         Контроль телефонных переговоров сотрудников. Использование стандартного программного обеспечения мини-АТС.


·         Использование результатов контрольных мероприятий. Анализ файлов протоколов


·         Методика реагирования на недопустимые действия сотрудников. "Мягкое" и "жесткое" пресечение недозволенной активности.



Раздел 9. Реагирование на компьютерные инциденты. (2 часа)



·         Алгоритм действий при возникновении инцидентов. Рекомендации NIPC США и возможность их адаптации к российским условиям.


·         Взаимодействие с государственными и негосударственными органами. Решение вопроса об обращении в правоохранительные органы. Взаимодействие с негосударственными организациями и специалистами по информационной безопасности.


·         Выявление и устранение предпосылок, способствовавших возникновению инцидента.


·         Восстановление работоспособности системы.


·         Обеспечение правовой и физической защиты информации. Документирование неправомерных действий.



Раздел 10. Взаимодействие с государственными органами. (2 часа)



·         Взаимодействие с правоохранительными органами в ходе расследования. Официальное обращение в государственные органы. Возбуждение уголовного дела.


·         Выявление злоумышленника. Оценка нанесенного злоумышленником ущерба с учетом морального вреда и упущенной выгоды организации.


·         Сбор улик. Недопустимость применения незаконных методов сбора. Различие между служебным расследованием и оперативно-розыскной деятельностью. Участие правоохранительных органов.


·         Представительство интересов организации на предварительном следствии и в суде. Раскрытие возможных пособников злоумышленника внутри организации.


·         Устранение причин, способствовавших возникновению компьютерного инцидента.



Раздел 11. Основы компьютерной криминалистики. (4 часа)



·         Правовые основы для изъятия и исследования компьютерной техники. Правовой статус специалиста.


·         Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники.


·         Методика исследования компьютерной техники. Общие принципы исследования техники. Источники цифровых улик.


·         Методы криминалистического исследования. Объекты криминалистического исследования. Инструментарий компьютерного криминалиста


·         Выводы эксперта и экспертное заключение.


·         Практическая работа по сбору цифровых улик и расследованию компьютерных инцидентов.




Итоговый зачет (тест).