Расследование инцидентов безопасности компьютерных систем
БТ07
В курсе рассматриваются вопросы деятельности подразделений информационной безопасности организации при реагировании на инциденты информационной безопасности в информационной системе предприятия. Рассматриваются меры предупреждения и противодействия инцидентам, минимизация или ликвидация ущерба, перекрытия каналов утечки информации и выявления виновных лиц. Даются рекомендации по снижению риска компьютерных инцидентов. Рассматриваются основные предпосылки возникновения инцидентов информационной безопасности в информационных системах. Изучается необходимые организационные, технические, юридические мероприятия, необходимые после выявления компьютерного инцидента. Слушатели ознакомятся с практикой расследования инцидентов в России и за рубежом.
Документы об окончании обучения: Сертификат УЦ ЮНИТ, Удостоверение гос. образца о повышении квалификации (по требованию).
Аудитория
- Руководители подразделений информационной безопасности, а также кандидаты, предполагающие работать на таких должностях.
- Инженеры и аудиторы безопасности.
- Аналитики информационной безопасности.
- Специалисты по вопросам защиты информации.
Предварительный уровень подготовки
Общие представления о правовых, организационных и технических аспектах обеспечения безопасности информации.
Результат обучения
По окончании курса слушатели будут знать:
- Классификацию компьютерных инцидентов;
- Угрозы безопасности компьютерных систем;
- Категории внутренних и внешних нарушителей;
- Отечественные и зарубежные подходы к расследованию компьютерных инцидентов;
- Нормативно-правовую базу защиты информации в организации;
- Технические средства минимизации ущерба;
- Средства и методы инструментального контроля;
- Алгоритм действий при возникновении инцидентов;
- Основы компьютерной криминалистики;
- Средства защиты от утечки по техническим каналам.
По окончании курса слушатели будут уметь:
- Разрабатывать план реагирования ни компьютерные инциденты;
- Осуществлять резервное копирование данных;
- Осуществлять контроль активности сотрудников;
- Осуществлять контроль сетевого трафика;
- Осуществлять атаки анализ файлов протоколов;
- Осуществлять расследование инцидентов безопасности;
- Осуществлять сбор улик.
Программа курса
Раздел 1. Введение. Компьютерные инциденты. (2 часа)
- Примеры инцидентов информационной безопасности в компьютерных системах. Возможные последствия инцидентов.
- Понятие компьютерных инцидентов. Классификация компьютерных инцидентов. Основные стадии КИ (подготовка, развитие, скрытие следов).
Раздел 2. Угрозы безопасности компьютерных систем. (2часа)
- Ненадлежащая политика руководства организации. Отсутствие подготовленного персонала. Отсутствие формально ответственных лиц. Использование "пиратского" программного обеспечения. Игнорирование рекомендаций службы безопасности, непринятие профилактических мер.
- Недостатки подбора кадров службы безопасности. Несбалансированная организационно-штатная структура службы безопасности. Неверное формирование микроклимата в организации. Неверный подход к формированию позитивного образа сотрудника службы безопасности.
- Проблемы в работе с персоналом. Низкая подготовленность персонала. Поручение работ по защите информации случайным лицам. Отсутствие единой политики информационной безопасности. Недопустимость использования IT-специалистов для обеспечения информационной безопасности.
- Уязвимости в программном обеспечении (ПО). Наличие скрытых уязвимостей в используемых программных средствах, в том числе, вследствие использования пиратского ПО. Несоблюдение процедур инсталляции, обслуживания и обновления ПО.
- Беспечность ответственных сотрудников. Игнорирование предупреждений со стороны компетентных государственных органов и персонала. Непринятие мер к своевременному расследованию КИ. Игнорирование сигналов от защитных программных и аппаратных средств.
Раздел 3. Виды нарушителей. (2 часа)
- Внутренние нарушители. Категории внутренних нарушителей. Методы противодействия.
- Деятельность хакеров. Социальный состав хакеров. Цели и методы их деятельности.
- Кибертеррористы и возможные последствия их действий. Изменение некоторых концепций в сфере информационной безопасности в свете роста количества террористических актов.
- Неправомерная деятельность отдельных представителей органов власти. Возможные причины интереса со стороны контролирующих органов. Методы минимизации возможного ущерба от подобной неправомерной деятельности.
Раздел 4. Отечественные и зарубежные подходы к расследованию компьютерных инцидентов. (4 часа)
- Государственные органы, осуществляющие расследование КИ в РФ и США. Подразделения «К» МВД РФ. ФСБ РФ. Некоторые возможности организаций в расследовании компьютерных инцидентов.
- Различия в юридической базе РФ и США. Влияние этих различий на расследование КИ. Ограничения в применении в РФ западных методик предотвращения и расследования КИ.
- Международное взаимодействие в расследовании компьютерных инцидентов. Доказательственное значение материалов, полученных из-за границы. Типичные ошибки при сборе информации за рубежом.
- Негосударственные организации, занимающиеся расследованием КИ на территории РФ, и их возможности.
Раздел 5. Минимизация ущерба, причинённого компьютерным инцидентом. (4 часа)
- Организация комплексной системы безопасности на предприятии, как необходимое условие для минимизации нанесенного КИ ущерба.
- Обеспечения непрерывности работы и восстановления работоспособности АС организации. Разработка плана реагирования ни компьютерные инциденты.
- Доработка политики информационной безопасности в части минимизации рисков, превентивных действий, нейтрализующих угрозы инцидентов. Разъяснительная работа среди сотрудников организации по вопросам информационной безопасности.
Раздел 6. Нормативно-правовая база защиты информации в организации. (2 часа)
- Законодательство РФ. Законы "Об информации, информатизации и защите информации", "О правовой охране программ для ЭВМ и баз данных", "О коммерческой тайне" и предъявляемые ими требования. Уголовный кодекс и Кодекс об административных правонарушениях РФ.
- Правовое регулирование работ с криптографическими средствами защиты информации в РФ.
- Реализация режима коммерческой тайны на предприятии в отношении информации ограниченного распространения.
- Организация взаимодействия с правоохранительными органами. Предварительное установление и поддержка контакта с правоохранительными органами.
Раздел 7. Технические средства минимизации ущерба. (4 часа)
- Логгирование и протоколирование событий в информационной системе. Мониторинг активности пользователей. Обеспечение юридической значимости файлов протоколов.
- Технические каналы утечки информации. Перекрытие технических каналов утечки информации. Основные методы несанкционированного съема информации через технические каналы. Средства защиты от утечки по техническим каналам.
- Обеспечение резервного копирования данных. Периодическое полное и дифференциальное копирование.
Раздел 8. Средства и методы инструментального контроля. (4 часа)
- Контроль рабочих мест сотрудников. Использование кейлоггеров и шпионских программ. Внедрение контрольного ПО на рабочие места. Обеспечение скрытности контрольного ПО. Снятие файлов протоколов.
- Контроль активности сотрудников. Honey net и honey pot. Отслеживание обращений к критичным файлам. Протоколирование действий сотрудников с помощью специальных программных средств.
- Контроль сетевого трафика. Виды активности, которые требуется контролировать.
- Комплексные решения контроля за сотрудниками. DLP системы.
- Контроль телефонных переговоров сотрудников. Использование стандартного программного обеспечения мини-АТС.
- Использование результатов контрольных мероприятий. Анализ файлов протоколов
- Методика реагирования на недопустимые действия сотрудников. "Мягкое" и "жесткое" пресечение недозволенной активности.
Раздел 9. Реагирование на компьютерные инциденты. (2 часа)
- Алгоритм действий при возникновении инцидентов. Рекомендации NIPC США и возможность их адаптации к российским условиям.
- Взаимодействие с государственными и негосударственными органами. Решение вопроса об обращении в правоохранительные органы. Взаимодействие с негосударственными организациями и специалистами по информационной безопасности.
- Выявление и устранение предпосылок, способствовавших возникновению инцидента.
- Восстановление работоспособности системы.
- Обеспечение правовой и физической защиты информации. Документирование неправомерных действий.
Раздел 10. Взаимодействие с государственными органами. (2 часа)
- Взаимодействие с правоохранительными органами в ходе расследования. Официальное обращение в государственные органы. Возбуждение уголовного дела.
- Выявление злоумышленника. Оценка нанесенного злоумышленником ущерба с учетом морального вреда и упущенной выгоды организации.
- Сбор улик. Недопустимость применения незаконных методов сбора. Различие между служебным расследованием и оперативно-розыскной деятельностью. Участие правоохранительных органов.
- Представительство интересов организации на предварительном следствии и в суде. Раскрытие возможных пособников злоумышленника внутри организации.
- Устранение причин, способствовавших возникновению компьютерного инцидента.
Раздел 11. Основы компьютерной криминалистики. (4 часа)
- Правовые основы для изъятия и исследования компьютерной техники. Правовой статус специалиста.
- Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники.
- Методика исследования компьютерной техники. Общие принципы исследования техники. Источники цифровых улик.
- Методы криминалистического исследования. Объекты криминалистического исследования. Инструментарий компьютерного криминалиста
- Выводы эксперта и экспертное заключение.
- Практическая работа по сбору цифровых улик и расследованию компьютерных инцидентов.
Итоговый зачет (тест).
Рекомендуемые курсы
Дополнительно
Курс читают тренер-практик с опытом проведения курсов и практическими знаниями в работе программы.
Для получения более подробной информации о наших преподавателях свяжитесь с нами по тел. (343) 227-30-37, по эл.почте edu@unit-edu.ru или в нашем Online-чате.