Учебный центр "Информзащита" -> Расследование компьютерных инцидентов
Расследование компьютерных инцидентов
Код курса КП05, 4 дня (32 часа)
Аннотация
Комплексное обучение руководителей и специалистов правовым, организационным и практическим вопросам расследования инцидентов в сфере обращения компьютерной информации. В курсе подробно разбираются все аспекты деятельности службы безопасности (отдела информационной безопасности) организации при реагировании на инциденты в информационной системе, в том числе методика предупреждения таких инцидентов, ликвидации нанесенного ими ущерба, пресечения хакерской активности, перекрытия каналов незаконного съема информации и выявления виновных лиц.
Слушатели изучают факторы риска, представляющие наибольшую опасность для информационных систем организации. На основе обобщения большого числа компьютерных инцидентов (КИ) даются рекомендации по снижению их вероятности. На конкретных примерах рассматриваются недочеты деятельности службы безопасности, создающие предпосылки для появления уязвимостей в информационной инфраструктуре организации, разбираются основные способы обеспечения непрерывности функционирования информационной системы в случае возникновения КИ и скорейшего устранения их последствий, рассматриваются основные аспекты технической политики организации, направленные на минимизацию, нанесенного КИ ущерба. Подробно изучается весь комплекс неотложных юридических, технических и организационных мероприятий, проводимых немедленно после выявления КИ. В ходе практической работы слушателям предлагается самостоятельно выстроить оптимальную последовательность действий в ходе решения ситуационных задач, провести полный цикл расследования с составлением необходимых документов.
Особое внимание уделяется юридическим основам расследования КИ, обсуждению проблемы доказательной значимости материалов, полученных в ходе расследования КИ, вопросам взаимодействия с правоохранительными органами и специализированными организациями. Слушатели знакомятся с различиями в юридической практике РФ и других государств, а также связанными с этим сложностями применения западных методик расследования КИ в России.
Аудитория
Руководители и ответственные сотрудники служб безопасности, руководители подразделений автоматизации и технической защиты информации организаций, в обязанности которых входит выявление и перекрытие каналов утечки информации, расследование попыток несанкционированного доступа к информации, составляющей коммерческую тайну, разработка необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации.
Предварительная подготовка
Базовые знания о современных информационных технологиях и распределенных автоматизированных системах.
По окончании обучения
Вы приобретете знания по:
классификации и видам компьютерных инцидентов (КИ)
наиболее существенным угрозам для компьютерной информации организации и методам защиты от них
основным предпосылкам возникновения КИ в организации и методам их предупреждения
методам расследования КИ в РФ и за рубежом, основным государственным и частным организациям, осуществляющим такое расследование, и о конструктивном взаимодействии с ними
юридическим основам успешного расследования КИ и привлечения виновных к ответственности в соответствии с действующим законодательством
основным способам обеспечения непрерывности функционирования информационной системы организации в случае возникновения КИ и скорейшего устранения их последствий
Вы сможете:
Комплексно подходить к проблеме защиты информации и увязывать вопросы защиты компьютерной информации с другими аспектами деятельности службы безопасности предприятия
Планировать действия по поддержанию и восстановлению работоспособности автоматизированных систем организации при возникновении КИ
В случае возникновения КИ эффективно взаимодействовать с правоохранительными органами и специализированными организациями в процессе расследования КИ и выявления виновных.
Пакет слушателя
Фирменное учебное пособие
Компакт-диск, содержащий подборку юридических и технических документов, справочную информацию, а также образцы основных документов, составляемых в ходе расследования КИ.
Дополнительно
После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра "Информзащита".
Обучение на данном курсе учитывается при получении государственных документов в области информационной безопасности в Учебном центре "Информзащита" в соответствии с ПОЛОЖЕНИЕМ об условиях получения специалистами государственных документов о повышении квалификации в области защиты информации.
Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.
Программа учебного курса
Раздел 1. Информация и ее роль в бизнесе. Понятие компьютерного инцидента
Основные понятия в сфере оборота информации. Возможные последствия несанкционированного доступа к критически важной информации. Некоторые примеры инцидентов.
Понятие и классификация КИ. Узкое и расширенное толкование КИ. Неизбежность КИ как следствие невозможности создания абсолютной защиты. Основные стадии КИ (подготовка, развитие, скрытие следов).
Раздел 2. Факторы угроз для информации в организации и их классификация
Ненадлежащая политика руководства организации. Отсутствие подготовленного персонала. Отсутствие формально ответственных лиц. Использование "пиратского" программного обеспечения. Игнорирование рекомендаций службы безопасности, непринятие профилактических мер. Возможные последствия такой политики на примере некоторых организаций.
Нарушители правил из числа персонала организации. Различные категории нарушителей требований политики безопасности. Методы предотвращения вредных последствий от их деятельности.
Деятельность хакеров. Социальный состав хакеров. Цели и методы их деятельности. Возможные последствия. Некоторые мифы и суеверия о хакерах.
"Традиционные" злоумышленники. Воры, рэкетиры, террористы и возможные последствия их действий. Изменение некоторых концепций в сфере информационной безопасности в свете увеличения террористических прецедентов.
Неправомерная деятельность отдельных представителей государственных органов. Возможные причины интереса со стороны контролирующих органов. Налоговые проверки, "крышевание", действия в интересах конкурентов. Методы минимизации возможного ущерба от неправомерной деятельности.
Несчастные случаи и стихийные бедствия. Возможные последствия. Методы минимизации ущерба.
Раздел 3. Основные предпосылки для возникновения КИ
"Однобокая" или неправильно сбалансированная служба безопасности (СБ). Некоторые типичные недочеты при комплектовании СБ организаций и последствия этих недочетов. Нарушение взаимодействия трех компонентов СБ. Неверный выбор имиджа СБ в организации.
Проблемы в работе с персоналом. Отсутствие подготовленного персонала. Поручение работ по защите информации случайным лицам. Отсутствие единой политики информационной безопасности. Недопустимость использования IT-специалистов для обеспечения информационной безопасности. Недочеты в работе с персоналом, в том числе с уволившимися сотрудниками.
Уязвимости в программном обеспечении (ПО). Наличие скрытых уязвимостей в используемых программных средствах, в том числе, вследствие использования пиратского ПО. Несоблюдение процедур инсталляции и обслуживания ПО. Консультации со случайными лицами и их последствия.
Беспечность ответственных сотрудников. Игнорирование предупреждений со стороны компетентных государственных органов и персонала. Непринятие мер к своевременному расследованию КИ. Игнорирование сигналов от защитных программных и аппаратных средств.
Раздел 4. Расследование КИ в РФ и за рубежом
Компетентные государственные органы, осуществляющие расследование КИ в РФ и США. Управление "К" МВД РФ. ФСБ РФ. Секретная служба Министерства финансов США. ФБР США. Интерпол. Некоторые возможности этих организаций в расследовании КИ.
Некоторые различия в юридической системе РФ и США. Влияние этих различий на расследование КИ. Ограничения в применении в РФ западных методик предотвращения и расследования КИ.
Международное взаимодействие в расследовании КИ. Доказательственное значение материалов, полученных из-за границы. Типичные ошибки при сборе информации за рубежом.
Негосударственные организации, занимающиеся расследованием КИ на территории РФ, и их возможности. Профессиональные ассоциации, охранно-детективные структуры, службы безопасности провайдерских компаний.
Раздел 5. Основные меры по минимизации нанесенного КИ ущерба
Комплексная система безопасности на предприятии. Увязка в едином комплексе организационно-административных, программно-технических, физических и технических мер как необходимое условие для минимизации нанесенного КИ ущерба. Невозможность решения проблем безопасности каким-либо одним способом. Примеры таких попыток и их последствия.
План обеспечения непрерывности работы и восстановления работоспособности АС организации (ОНРВ). Необходимость предварительной подготовки плана действий в случае КИ с учетом различных видов КИ. Автоматизм в исполнении плана.
Адекватная политика информационной безопасности. Недопустимость политики реагирования "по факту" КИ. Повышение осведомленности сотрудников организации в вопросах информационной безопасности.
Раздел 6. Юридические предпосылки для минимизации нанесенного КИ ущерба
Законодательство РФ. Законы "Об информации, информатизации и защите информации", "О правовой охране программ для ЭВМ и баз данных", "О коммерческой тайне" и предъявляемые ими требования. Уголовный кодекс и Кодекс об административных правонарушениях РФ.
Криптографические средства. Правовое регулирование работ с криптографическими средствами защиты информации в РФ.
Правовая защита информации в организации. Реализация режима коммерческой тайны на предприятии в отношении существенной информации. Ознакомление с этим фактом всех заинтересованных лиц. Размещение предупреждений на сервере организации.
Обеспечение представительства интересов организации. Выдача постоянно действующей доверенности на право представления интересов предприятия и заверенных копий всех правоустанавливающих документов лицам, ответственным за информационную безопасность. Возможность внесения соответствующих изменений в устав организации.
Организация взаимодействия с правоохранительными органами. Предварительное установление и поддержка контакта с правоохранительными органами.
Раздел 7. Технические предпосылки для минимизации нанесенного КИ ущерба
Средства защиты от несанкционированного доступа. Защита от неправомерных действий изнутри организации. Аутентификация пользователей ("паролирование", аппаратные ключи, биометрия). Защита от атак извне (системы предотвращения и обнаружения атак). Защита от вирусной активности и антивирусные средства.
Средства протоколирования. Использование средств протоколирования всех подозрительных действий, мониторинга активности пользователей для выявления КИ на ранней стадии. Обеспечение доказательственного значения файлов протоколов.
Перекрытие технических каналов снятия информации. Основные методы несанкционированного съема информации (активные и пассивные радиозакладки, отражатели, электронно-оптические преобразователи, направленные микрофоны, стетоскопы, средства внешнего контроля). Нестандартные приемы съема информации (волноводы, тайники, ВЧ-навязывание). Некоторые средства защиты. Непрофессиональный подход к технической защите информации и его последствия.
Обеспечение резервного копирования данных. Периодическое полное и дифференциальное копирование. Обеспечение защищенных зон для хранения информации.
Дистанционная работа сотрудников как средство обеспечения безопасности информации. Диверсификация информационных ресурсов предприятия.
Раздел 8. Практические методы контроля коммуникаций в организации
Контроль рабочих мест сотрудников. Использование кейлоггеров и "троянских" программ. Внедрение контрольного ПО на рабочие места. Обеспечение "невидимости" контрольного ПО для антивирусных программ. Снятие файлов протоколов.
Контроль активности сотрудников. Использование методики honey pot. Отслеживание обращений к критичным файлам. Протоколирование действий сотрудников с помощью специальных программных средств.
Контроль трафика электронной почты и обращения к Web-сайтам. Виды активности, которые требуется контролировать.
Контроль телефонных переговоров сотрудников. Использование стандартного программного обеспечения мини-АТС.
Использование результатов контрольных мероприятий. Анализ файлов протоколов. Построение профилей активности сотрудников. Методика реагирования на недопустимые действия сотрудников. "Мягкое" и "жесткое" пресечение недозволенной активности.
Раздел 9. Действия в случае возникновения КИ
Неотложные действия. Алгоритм действий при возникновении инцидентов. Рекомендации NIPC США и возможность их адаптации к российским условиям.
Взаимодействие с государственными и негосударственными органами. Решение вопроса об обращении в правоохранительные органы. Взаимодействие с негосударственными организациями и специалистами по информационной безопасности.
Выявление и устранение предпосылок, способствовавших возникновению КИ
Восстановление работоспособности системы после КИ согласно плану ОНРВ
Специфика реагирования при возникновения КИ вследствие неправомерных действий отдельных представителей государственных органов. Обеспечение правовой и физической защиты информации. Документирование неправомерных действий.
Раздел 10. Действия после обращения в государственные органы
Взаимодействие с правоохранительными органами в ходе расследования. Официальное обращение в государственные органы. Возбуждение уголовного дела.
Выявление злоумышленника. Оценка нанесенного злоумышленником ущерба с учетом морального вреда и упущенной выгоды организации.
Сбор доказательств преступной деятельности злоумышленника. Недопустимость применения незаконных методов сбора доказательств. Различие между служебным расследованием в рамках организации и оперативно-розыскной деятельностью. Участие правоохранительных органов.
Представительство интересов организации на предварительном следствии и в суде. Некоторые сложности, которые могут при этом возникнуть.
Использование статуса потерпевшего для получения информации об истинных мотивах и методах действий злоумышленника. Необходимость полного и окончательного расследования КИ. Раскрытие возможных пособников злоумышленника внутри организации.
Устранение причин, способствовавших возникновению КИ. Обеспечение невозможности возникновения КИ в будущем.
Раздел 11. Изъятие и исследование компьютерной техники и носителей информации
Правовые основы для изъятия и исследования компьютерной техники. Основные принципы изъятия имущества в ходе расследования уголовного дела (обыск, выемка, осмотр, добровольная выдача) и в административном порядке (осмотр). Правовой статус специалиста.
Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники.
Методика исследования компьютерной техники. Общие принципы исследования техники. Программное средство EnCase. Выводы эксперта и экспертное заключение.
Раздел 12. Практическая работа - расследование реального инцидента
Постановка задачи. Вводная информация о выявлении инцидента в сфере информационной безопасности.
Пошаговое расследование инцидента. Самостоятельное поэтапное проведение полного цикла расследования с использованием информации, добытой на каждом этапе. Исследование зараженного компьютера. Составление всех необходимых документов. Использование технических средств и организация поисковых мероприятий в сети Интернет.