Расследование инцидентов безопасности компьютерных систем
БТ07

• Руководители подразделений информационной безопасности, а также кандидаты, предполагающие работать на таких должностях.
• Инженеры и аудиторы безопасности.
• Аналитики информационной безопасности.
• Специалисты по вопросам защиты информации.

Общие представления о правовых, организационных и технических аспектах обеспечения безопасности информации.

По окончании курса слушатели будут знать: 

• Классификацию компьютерных инцидентов;
• Угрозы безопасности компьютерных систем;
• Категории внутренних и внешних нарушителей;
• Отечественные и зарубежные подходы к расследованию компьютерных инцидентов;
• Нормативно-правовую базу защиты информации в организации;
• Технические средства минимизации ущерба;
• Средства и методы инструментального контроля;
• Алгоритм действий при возникновении инцидентов;
• Основы компьютерной криминалистики;
• Средства защиты от утечки по техническим каналам.

По окончании курса слушатели будут уметь:

• Разрабатывать план реагирования ни компьютерные инциденты;
• Осуществлять резервное копирование данных;
• Осуществлять контроль активности сотрудников;
• Осуществлять контроль сетевого трафика;
• Осуществлять атаки анализ файлов протоколов;
• Осуществлять расследование инцидентов безопасности;
• Осуществлять сбор улик.

Раздел 1. Введение. Компьютерные инциденты. (2 часа)

• Примеры инцидентов информационной безопасности в компьютерных системах. Возможные последствия инцидентов.
• Понятие компьютерных инцидентов. Классификация компьютерных инцидентов. Основные стадии КИ (подготовка, развитие, скрытие следов).

Раздел 2. Угрозы безопасности компьютерных систем. (2часа)

• Ненадлежащая политика руководства организации. Отсутствие подготовленного персонала. Отсутствие формально ответственных лиц. Использование "пиратского" программного обеспечения. Игнорирование рекомендаций службы безопасности, непринятие профилактических мер.
• Недостатки подбора кадров службы безопасности. Несбалансированная организационно-штатная структура службы безопасности. Неверное формирование микроклимата в организации. Неверный подход к формированию позитивного образа сотрудника службы безопасности.
• Проблемы в работе с персоналом. Низкая подготовленность персонала. Поручение работ по защите информации случайным лицам. Отсутствие единой политики информационной безопасности. Недопустимость использования IT-специалистов для обеспечения информационной безопасности.
• Уязвимости в программном обеспечении (ПО). Наличие скрытых уязвимостей в используемых программных средствах, в том числе, вследствие использования пиратского ПО. Несоблюдение процедур инсталляции, обслуживания и обновления ПО.
• Беспечность ответственных сотрудников. Игнорирование предупреждений со стороны компетентных государственных органов и персонала. Непринятие мер к своевременному расследованию КИ. Игнорирование сигналов от защитных программных и аппаратных средств.

Раздел 3. Виды нарушителей. (2 часа)

• Внутренние нарушители. Категории внутренних нарушителей. Методы противодействия.
• Деятельность хакеров. Социальный состав хакеров. Цели и методы их деятельности.
• Кибертеррористы и возможные последствия их действий. Изменение некоторых концепций в сфере информационной безопасности в свете роста количества террористических актов.
• Неправомерная деятельность отдельных представителей органов власти. Возможные причины интереса со стороны контролирующих органов. Методы минимизации возможного ущерба от подобной неправомерной деятельности.

Раздел 4. Отечественные и зарубежные подходы к расследованию компьютерных инцидентов. (4 часа)

• Государственные органы, осуществляющие расследование КИ в РФ и США. Подразделения «К» МВД РФ. ФСБ РФ. Некоторые возможности организаций в расследовании компьютерных инцидентов.
• Различия в юридической базе РФ и США. Влияние этих различий на расследование КИ. Ограничения в применении в РФ западных методик предотвращения и расследования КИ.
• Международное взаимодействие в расследовании компьютерных инцидентов. Доказательственное значение материалов, полученных из-за границы. Типичные ошибки при сборе информации за рубежом.
• Негосударственные организации, занимающиеся расследованием КИ на территории РФ, и их возможности.

Раздел 5. Минимизация ущерба, причинённого компьютерным инцидентом. (4 часа)

• Организация комплексной системы безопасности на предприятии, как необходимое условие для минимизации нанесенного КИ ущерба.
• Обеспечения непрерывности работы и восстановления работоспособности АС организации. Разработка плана реагирования ни компьютерные инциденты.
• Доработка политики информационной безопасности в части минимизации рисков, превентивных действий, нейтрализующих угрозы инцидентов. Разъяснительная работа среди сотрудников организации по вопросам информационной безопасности.

Раздел 6. Нормативно-правовая база защиты информации в организации. (2 часа)

• Законодательство РФ. Законы "Об информации, информатизации и защите информации", "О правовой охране программ для ЭВМ и баз данных", "О коммерческой тайне" и предъявляемые ими требования. Уголовный кодекс и Кодекс об административных правонарушениях РФ.
• Правовое регулирование работ с криптографическими средствами защиты информации в РФ.
• Реализация режима коммерческой тайны на предприятии в отношении информации ограниченного распространения.
• Организация взаимодействия с правоохранительными органами. Предварительное установление и поддержка контакта с правоохранительными органами.

Раздел 7. Технические средства минимизации ущерба. (4 часа)

• Логгирование и протоколирование событий в информационной системе. Мониторинг активности пользователей. Обеспечение юридической значимости файлов протоколов.
• Технические каналы утечки информации. Перекрытие технических каналов утечки информации. Основные методы несанкционированного съема информации через технические каналы. Средства защиты от утечки по техническим каналам.
• Обеспечение резервного копирования данных. Периодическое полное и дифференциальное копирование.

Раздел 8. Средства и методы инструментального контроля. (4 часа)

• Контроль рабочих мест сотрудников. Использование кейлоггеров и шпионских программ. Внедрение контрольного ПО на рабочие места. Обеспечение скрытности контрольного ПО. Снятие файлов протоколов.
• Контроль активности сотрудников. Honey net и honey pot. Отслеживание обращений к критичным файлам. Протоколирование действий сотрудников с помощью специальных программных средств.
• Контроль сетевого трафика. Виды активности, которые требуется контролировать.
• Комплексные решения контроля за сотрудниками. DLP системы.
• Контроль телефонных переговоров сотрудников. Использование стандартного программного обеспечения мини-АТС.
• Использование результатов контрольных мероприятий. Анализ файлов протоколов
• Методика реагирования на недопустимые действия сотрудников. "Мягкое" и "жесткое" пресечение недозволенной активности.

Раздел 9. Реагирование на компьютерные инциденты. (2 часа)

• Алгоритм действий при возникновении инцидентов. Рекомендации NIPC США и возможность их адаптации к российским условиям.
• Взаимодействие с государственными и негосударственными органами. Решение вопроса об обращении в правоохранительные органы. Взаимодействие с негосударственными организациями и специалистами по информационной безопасности.
• Выявление и устранение предпосылок, способствовавших возникновению инцидента.
• Восстановление работоспособности системы.
• Обеспечение правовой и физической защиты информации. Документирование неправомерных действий.

Раздел 10. Взаимодействие с государственными органами. (2 часа)

• Взаимодействие с правоохранительными органами в ходе расследования. Официальное обращение в государственные органы. Возбуждение уголовного дела.
• Выявление злоумышленника. Оценка нанесенного злоумышленником ущерба с учетом морального вреда и упущенной выгоды организации.
• Сбор улик. Недопустимость применения незаконных методов сбора. Различие между служебным расследованием и оперативно-розыскной деятельностью. Участие правоохранительных органов.
• Представительство интересов организации на предварительном следствии и в суде. Раскрытие возможных пособников злоумышленника внутри организации.
• Устранение причин, способствовавших возникновению компьютерного инцидента.

Раздел 11. Основы компьютерной криминалистики. (4 часа)

• Правовые основы для изъятия и исследования компьютерной техники. Правовой статус специалиста.
• Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники.
• Методика исследования компьютерной техники. Общие принципы исследования техники. Источники цифровых улик.
• Методы криминалистического исследования. Объекты криминалистического исследования. Инструментарий компьютерного криминалиста
• Выводы эксперта и экспертное заключение.
• Практическая работа по сбору цифровых улик и расследованию компьютерных инцидентов.

Итоговый зачет (тест).