Ваш город: Москва Казань
+7 (495) 967-66-70
academy@academy.ru
Главная страница | Каталог | Информационная безопасность | Курсы | Расследование компьютерных инцидентов
КП05

Расследование компьютерных инцидентов


ОЦЕНКА КУРСА
общая оценка курса:


оценка преподавателя:



Мониторинг цены
  • ОЧНОЕ
    ОБУЧЕНИЕ


Продолжительность курса: 4 дня / 32 ак.ч.

Цена курса:
29 200 руб.

В корзину

Место проведения курса:

  • ул. Доброслободская, д.5
  • Бауманская
  • Комсомольская
  • Красные ворота

Ближайшая дата проведения: 06.02.2017
РАСПИСАНИЕ ЗАНЯТИЙ
КП05 Расследование компьютерных инцидентов 06.02.2017
КП05 Расследование компьютерных инцидентов 20.03.2017
КП05 Расследование компьютерных инцидентов 17.04.2017
Уточните дату у менеджера
Уточните дату у менеджера
Уточните дату у менеджера
После изучения курса вы сможете
  • комплексно подходить к проблеме защиты информации и увязывать вопросы защиты компьютерной информации с другими аспектами деятельности службы безопасности предприятия;
  • планировать действия по поддержанию и восстановлению работоспособности автоматизированных систем организации при возникновении КИ;
  • в случае возникновения КИ эффективно взаимодействовать с правоохранительными органами и специализированными организациями в процессе расследования КИ и выявления виновных.
Содержание курса
Раздел 1. Информация и ее роль в бизнесе. Понятие компьютерного инцидента
  • Основные понятия в сфере оборота информации. Возможные последствия несанкционированного доступа к критически важной информации. Некоторые примеры инцидентов.
  • Понятие и классификация КИ. Узкое и расширенное толкование КИ. Неизбежность КИ как следствие невозможности создания абсолютной защиты. Основные стадии КИ (подготовка, развитие, скрытие следов).

Раздел 2. Факторы угроз для информации в организации и их классификация
  • Ненадлежащая политика руководства организации. Отсутствие подготовленного персонала. Отсутствие формально ответственных лиц. Использование «пиратского» программного обеспечения. Игнорирование рекомендаций службы безопасности, непринятие профилактических мер. Возможные последствия такой политики на примере некоторых организаций.
  • Нарушители правил из числа персонала организации. Различные категории нарушителей требований политики безопасности. Методы предотвращения вредных последствий от их деятельности.
  • Деятельность хакеров. Социальный состав хакеров. Цели и методы их деятельности. Возможные последствия. Некоторые мифы и суеверия о хакерах.
  • «Традиционные» злоумышленники. Воры, рэкетиры, террористы и возможные последствия их действий. Изменение некоторых концепций в сфере информационной безопасности в свете роста количества террористических актов.
  • Неправомерная деятельность отдельных представителей государственных органов. Возможные причины интереса со стороны контролирующих органов. Налоговые проверки, «крышевание», действия в интересах конкурентов. Методы минимизации возможного ущерба от неправомерной деятельности.
  • Несчастные случаи и стихийные бедствия. Возможные последствия. Методы минимизации ущерба.

Раздел 3. Основные предпосылки для возникновения КИ
  • «Однобокая» или неправильно сбалансированная служба безопасности (СБ). Некоторые типичные недочеты при комплектовании СБ организаций и последствия этих недочетов. Нарушение взаимодействия трех компонентов СБ. Неверный выбор имиджа СБ в организации.
  • Проблемы в работе с персоналом. Отсутствие подготовленного персонала. Поручение работ по защите информации случайным лицам. Отсутствие единой политики информационной безопасности. Недопустимость использования IT-специалистов для обеспечения информационной безопасности. Недочеты в работе с персоналом, в том числе с уволившимися сотрудниками.
  • Уязвимости в программном обеспечении (ПО). Наличие скрытых уязвимостей в используемых программных средствах, в том числе, вследствие использования пиратского ПО. Несоблюдение процедур инсталляции и обслуживания ПО. Консультации со случайными лицами и их последствия.
  • Беспечность ответственных сотрудников. Игнорирование предупреждений со стороны компетентных государственных органов и персонала. Непринятие мер к своевременному расследованию КИ. Игнорирование сигналов от защитных программных и аппаратных средств.

Раздел 4. Расследование КИ в РФ и за рубежом
  • Компетентные государственные органы, осуществляющие расследование КИ в РФ и США. Подразделения «К» БСТМ МВД РФ. ФСБ РФ. Секретная служба Министерства финансов США. ФБР США. Интерпол. Некоторые возможности этих организаций в расследовании КИ.
  • Существенные различия в юридической системе РФ и США. Влияние этих различий на расследование КИ. Ограничения в применении в РФ западных методик предотвращения и расследования КИ.
  • Международное взаимодействие в расследовании КИ. Доказательственное значение материалов, полученных из-за границы. Типичные ошибки при сборе информации за рубежом.
  • Негосударственные организации, занимающиеся расследованием КИ на территории РФ, и их возможности. Профессиональные ассоциации, охранно-детективные структуры, службы безопасности провайдерских компаний.

Раздел 5. Основные меры по минимизации нанесенного КИ ущерба
  • Комплексная система безопасности на предприятии. Увязка в едином комплексе организационно-административных, программно-технических, физических и технических мер как необходимое условие для минимизации нанесенного КИ ущерба. Невозможность решения проблем безопасности каким-либо одним способом. Примеры таких попыток и их последствия.
  • План обеспечения непрерывности работы и восстановления работоспособности АС организации (ОНРВ). Необходимость предварительной подготовки плана действий в случае КИ с учетом различных видов КИ. Автоматизм в исполнении плана.
  • Адекватная политика информационной безопасности. Недопустимость политики реагирования «по факту» КИ. Повышение осведомленности сотрудников организации в вопросах информационной безопасности.

Раздел 6. Юридические предпосылки для минимизации нанесенного КИ ущерба
  • Законодательство РФ. Законы «Об информации, информатизации и защите информации», «О правовой охране программ для ЭВМ и баз данных», «О коммерческой тайне» и предъявляемые ими требования. Уголовный кодекс и Кодекс об административных правонарушениях РФ.
  • Криптографические средства. Правовое регулирование работ с криптографическими средствами защиты информации в РФ.
  • Правовая защита информации в организации. Реализация режима коммерческой тайны на предприятии в отношении существенной информации. Ознакомление с этим фактом всех заинтересованных лиц. Размещение предупреждений на сервере организации.
  • Обеспечение представительства интересов организации. Выдача постоянно действующей доверенности на право представления интересов предприятия и заверенных копий всех правоустанавливающих документов лицам, ответственным за информационную безопасность. Возможность внесения соответствующих изменений в устав организации.
  • Организация взаимодействия с правоохранительными органами. Предварительное установление и поддержка контакта с правоохранительными органами.

Раздел 7. Технические предпосылки для минимизации нанесенного КИ ущерба
  • Средства протоколирования. Использование средств протоколирования всех подозрительных действий, мониторинга активности пользователей для выявления КИ на ранней стадии. Обеспечение доказательственного значения файлов протоколов.
  • Перекрытие технических каналов снятия информации. Основные методы несанкционированного съема информации (активные и пассивные радиозакладки, отражатели, электронно-оптические преобразователи, направленные микрофоны, стетоскопы, средства внешнего контроля). Нестандартные приемы съема информации (волноводы, тайники, ВЧ-навязывание). Некоторые средства защиты. Непрофессиональный подход к технической защите информации и его последствия.
  • Обеспечение резервного копирования данных. Периодическое полное и дифференциальное копирование. Обеспечение защищенных зон для хранения информации.
  • Доказательственное значение файлов протоколов в случае официального и частного расследования.
  • Дистанционная работа сотрудников как средство обеспечения безопасности информации. Диверсификация информационных ресурсов предприятия.

Раздел 8. Практические методы контроля коммуникаций в организации
  • Контроль рабочих мест сотрудников. Использование кейлоггеров и «троянских» программ. Внедрение контрольного ПО на рабочие места. Обеспечение «невидимости» контрольного ПО для антивирусных программ. Снятие файлов протоколов.
  • Контроль активности сотрудников. Использование методики honey pot. Отслеживание обращений к критичным файлам. Протоколирование действий сотрудников с помощью специальных программных средств.
  • Контроль трафика электронной почты и обращения к Web-сайтам. Виды активности, которые требуется контролировать.
  • Контроль телефонных переговоров сотрудников. Использование стандартного программного обеспечения мини-АТС.
  • Использование результатов контрольных мероприятий. Анализ файлов протоколов. Построение профилей активности сотрудников. Методика реагирования на недопустимые действия сотрудников. «Мягкое» и «жесткое» пресечение недозволенной активности.

Раздел 9. Действия в случае возникновения КИ
  • Неотложные действия. Алгоритм действий при возникновении инцидентов. Рекомендации NIPC США и возможность их адаптации к российским условиям.
  • Взаимодействие с государственными и негосударственными органами. Решение вопроса об обращении в правоохранительные органы. Взаимодействие с негосударственными организациями и специалистами по информационной безопасности.
  • Выявление и устранение предпосылок, способствовавших возникновению КИ
  • Восстановление работоспособности системы после КИ согласно плану ОНРВ
  • Специфика реагирования при возникновения КИ вследствие неправомерных действий отдельных представителей государственных органов. Обеспечение правовой и физической защиты информации. Документирование неправомерных действий.

Раздел 10. Действия после обращения в государственные органы
  • Взаимодействие с правоохранительными органами в ходе расследования. Официальное обращение в государственные органы. Возбуждение уголовного дела.
  • Выявление злоумышленника. Оценка нанесенного злоумышленником ущерба с учетом морального вреда и упущенной выгоды организации.
  • Сбор доказательств преступной деятельности злоумышленника. Недопустимость применения незаконных методов сбора доказательств. Различие между служебным расследованием в рамках организации и оперативно-розыскной деятельностью. Участие правоохранительных органов.
  • Представительство интересов организации на предварительном следствии и в суде. Некоторые сложности, которые могут при этом возникнуть.
  • Использование статуса потерпевшего для получения информации об истинных мотивах и методах действий злоумышленника. Необходимость полного и окончательного расследования КИ. Раскрытие возможных пособников злоумышленника внутри организации.
  • Устранение причин, способствовавших возникновению КИ. Обеспечение невозможности возникновения КИ в будущем.

Раздел 11. Изъятие и исследование компьютерной техники и носителей информации
  • Правовые основы для изъятия и исследования компьютерной техники. Основные принципы изъятия имущества в ходе расследования уголовного дела (обыск, выемка, осмотр, добровольная выдача) и в административном порядке (осмотр). Правовой статус специалиста.
  • Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники.
  • Методика исследования компьютерной техники. Общие принципы исследования техники. Программное средство EnCase. Выводы эксперта и экспертное заключение.

Раздел 12. Практическая работа – расследование реального инцидента
  • Постановка задачи. Вводная информация о выявлении инцидента в сфере информационной безопасности.
  • Планирование расследования. Самостоятельное планирование хода расследования слушателями. Групповое обсуждение и корректировка плана.
  • Пошаговое расследование инцидента. Самостоятельное поэтапное проведение полного цикла расследования с использованием информации, добытой на каждом этапе. Исследование зараженного компьютера. Составление всех необходимых документов. Использование технических средств и организация поисковых мероприятий в сети Интернет.
Итоговый зачет
Слушатели
Руководители и ответственные сотрудники служб безопасности, руководители подразделений автоматизации и технической защиты информации организаций, в обязанности которых входит выявление и перекрытие каналов утечки информации, расследование попыток несанкционированного доступа к информации, составляющей коммерческую тайну, разработка необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации
Предварительная подготовка
Базовые знания о современных информационных технологиях и распределенных автоматизированных системах.
ПОИСК
 

Быстрый заказ