Главная-Оплата услуг-Расследование компьютерных инцидентов. Курс расследование компьютерных инцидентов

Расследование компьютерных инцидентов. Курс расследование компьютерных инцидентов

Слушатели изучают факторы риска, представляющие наибольшую опасность для информационных систем организации. На основе обобщения большого числа компьютерных инцидентов (КИ) даются рекомендации по снижению их вероятности. На конкретных примерах рассматриваются недочеты деятельности службы безопасности, создающие предпосылки для появления уязвимостей в информационной инфраструктуре организации, разбираются основные способы обеспечения непрерывности функционирования информационной системы в случае возникновения КИ и скорейшего устранения их последствий, рассматриваются основные аспекты технической политики организации, направленные на минимизацию, нанесенного КИ ущерба. Подробно изучается весь комплекс неотложных юридических, технических и организационных мероприятий, проводимых немедленно после выявления КИ. В ходе практической работы слушателям предлагается самостоятельно выстроить оптимальную последовательность действий в ходе решения ситуационных задач, провести полный цикл расследования с составлением необходимых документов.

Особое внимание уделяется юридическим основам расследования КИ, обсуждению проблемы доказательной значимости материалов, полученных в ходе расследования КИ, вопросам взаимодействия с правоохранительными органами и специализированными организациями. Слушатели знакомятся с различиями в юридической практике РФ и других государств, а также связанными с этим сложностями применения западных методик расследования КИ в России.

По окончании курса вы приобретете знания по:

  • классификации и видам компьютерных инцидентов (КИ)
  • наиболее существенным угрозам для компьютерной информации организации и методам защиты от них
  • основным предпосылкам возникновения КИ в организации и методам их предупреждения
  • методам расследования КИ в РФ и за рубежом, основным государственным и частным организациям, осуществляющим такое расследование, и о конструктивном взаимодействии с ними
  • юридическим основам успешного расследования КИ и привлечения виновных к ответственности в соответствии с действующим законодательством
  • основным способам обеспечения непрерывности функционирования информационной системы организации в случае возникновения КИ и скорейшего устранения их последствий

Вы сможете:

  • Комплексно подходить к проблеме защиты информации и увязывать вопросы защиты компьютерной информации с другими аспектами деятельности службы безопасности предприятия
  • Планировать действия по поддержанию и восстановлению работоспособности автоматизированных систем организации при возникновении КИ
  • В случае возникновения КИ эффективно взаимодействовать с правоохранительными органами и специализированными организациями в процессе расследования КИ и выявления виновных.

Целевая аудитория

Руководители и ответственные сотрудники служб безопасности, руководители подразделений автоматизации и технической защиты информации организаций, в обязанности которых входит выявление и перекрытие каналов утечки информации, расследование попыток несанкционированного доступа к информации, составляющей коммерческую тайну, разработка необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации.

Необходимая подготовка

  • Базовые знания о современных информационных технологиях и распределенных автоматизированных системах.

Раздел 1. Информация и ее роль в бизнесе. Понятие компьютерного инцидента

  • Основные понятия в сфере оборота информации. Возможные последствия несанкционированного доступа к критически важной информации. Некоторые примеры инцидентов.
  • Понятие и классификация КИ. Узкое и расширенное толкование КИ. Неизбежность КИ как следствие невозможности создания абсолютной защиты. Основные стадии КИ (подготовка, развитие, скрытие следов).
Раздел 2. Факторы угроз для информации в организации и их классификация
  • Ненадлежащая политика руководства организации. Отсутствие подготовленного персонала. Отсутствие формально ответственных лиц. Использование «пиратского» программного обеспечения. Игнорирование рекомендаций службы безопасности, непринятие профилактических мер. Возможные последствия такой политики на примере некоторых организаций.
  • Нарушители правил из числа персонала организации. Различные категории нарушителей требований политики безопасности. Методы предотвращения вредных последствий от их деятельности.
  • Деятельность хакеров. Социальный состав хакеров. Цели и методы их деятельности. Возможные последствия. Некоторые мифы и суеверия о хакерах.
  • «Традиционные» злоумышленники. Воры, рэкетиры, террористы и возможные последствия их действий. Изменение некоторых концепций в сфере информационной безопасности в свете роста количества террористических актов.
  • Неправомерная деятельность отдельных представителей государственных органов. Возможные причины интереса со стороны контролирующих органов. Налоговые проверки, «крышевание», действия в интересах конкурентов. Методы минимизации возможного ущерба от неправомерной деятельности.
  • Несчастные случаи и стихийные бедствия. Возможные последствия. Методы минимизации ущерба.
Раздел 3. Основные предпосылки для возникновения КИ
  • «Однобокая» или неправильно сбалансированная служба безопасности (СБ). Некоторые типичные недочеты при комплектовании СБ организаций и последствия этих недочетов. Нарушение взаимодействия трех компонентов СБ. Неверный выбор имиджа СБ в организации.
  • Проблемы в работе с персоналом. Отсутствие подготовленного персонала. Поручение работ по защите информации случайным лицам. Отсутствие единой политики информационной безопасности. Недопустимость использования IT-специалистов для обеспечения информационной безопасности. Недочеты в работе с персоналом, в том числе с уволившимися сотрудниками.
  • Уязвимости в программном обеспечении (ПО). Наличие скрытых уязвимостей в используемых программных средствах, в том числе, вследствие использования пиратского ПО. Несоблюдение процедур инсталляции и обслуживания ПО. Консультации со случайными лицами и их последствия.
  • Беспечность ответственных сотрудников. Игнорирование предупреждений со стороны компетентных государственных органов и персонала. Непринятие мер к своевременному расследованию КИ. Игнорирование сигналов от защитных программных и аппаратных средств.
Раздел 4. Расследование КИ в РФ и за рубежом
  • Компетентные государственные органы, осуществляющие расследование КИ в РФ и США. Подразделения «К» БСТМ МВД РФ. ФСБ РФ. Секретная служба Министерства финансов США. ФБР США. Интерпол. Некоторые возможности этих организаций в расследовании КИ.
  • Существенные различия в юридической системе РФ и США. Влияние этих различий на расследование КИ. Ограничения в применении в РФ западных методик предотвращения и расследования КИ.
  • Международное взаимодействие в расследовании КИ. Доказательственное значение материалов, полученных из-за границы. Типичные ошибки при сборе информации за рубежом.
  • Негосударственные организации, занимающиеся расследованием КИ на территории РФ, и их возможности. Профессиональные ассоциации, охранно-детективные структуры, службы безопасности провайдерских компаний.
Раздел 5. Основные меры по минимизации нанесенного КИ ущерба
  • Комплексная система безопасности на предприятии. Увязка в едином комплексе организационно-административных, программно-технических, физических и технических мер как необходимое условие для минимизации нанесенного КИ ущерба. Невозможность решения проблем безопасности каким-либо одним способом. Примеры таких попыток и их последствия.
  • План обеспечения непрерывности работы и восстановления работоспособности АС организации (ОНРВ). Необходимость предварительной подготовки плана действий в случае КИ с учетом различных видов КИ. Автоматизм в исполнении плана.
  • Адекватная политика информационной безопасности. Недопустимость политики реагирования «по факту» КИ. Повышение осведомленности сотрудников организации в вопросах информационной безопасности.
Раздел 6. Юридические предпосылки для минимизации нанесенного КИ ущерба
  • Законодательство РФ. Законы «Об информации, информатизации и защите информации», «О правовой охране программ для ЭВМ и баз данных», «О коммерческой тайне» и предъявляемые ими требования. Уголовный кодекс и Кодекс об административных правонарушениях РФ.
  • Криптографические средства. Правовое регулирование работ с криптографическими средствами защиты информации в РФ.
  • Правовая защита информации в организации. Реализация режима коммерческой тайны на предприятии в отношении существенной информации. Ознакомление с этим фактом всех заинтересованных лиц. Размещение предупреждений на сервере организации.
  • Обеспечение представительства интересов организации. Выдача постоянно действующей доверенности на право представления интересов предприятия и заверенных копий всех правоустанавливающих документов лицам, ответственным за информационную безопасность. Возможность внесения соответствующих изменений в устав организации.
  • Организация взаимодействия с правоохранительными органами. Предварительное установление и поддержка контакта с правоохранительными органами.
Раздел 7. Технические предпосылки для минимизации нанесенного КИ ущерба
  • Средства протоколирования. Использование средств протоколирования всех подозрительных действий, мониторинга активности пользователей для выявления КИ на ранней стадии. Обеспечение доказательственного значения файлов протоколов.
  • Перекрытие технических каналов снятия информации. Основные методы несанкционированного съема информации (активные и пассивные радиозакладки, отражатели, электронно-оптические преобразователи, направленные микрофоны, стетоскопы, средства внешнего контроля). Нестандартные приемы съема информации (волноводы, тайники, ВЧ-навязывание). Некоторые средства защиты. Непрофессиональный подход к технической защите информации и его последствия.
  • Обеспечение резервного копирования данных. Периодическое полное и дифференциальное копирование. Обеспечение защищенных зон для хранения информации.
  • Доказательственное значение файлов протоколов в случае официального и частного расследования.
  • Дистанционная работа сотрудников как средство обеспечения безопасности информации. Диверсификация информационных ресурсов предприятия.
Раздел 8. Практические методы контроля коммуникаций в организации
  • Контроль рабочих мест сотрудников. Использование кейлоггеров и «троянских» программ. Внедрение контрольного ПО на рабочие места. Обеспечение «невидимости» контрольного ПО для антивирусных программ. Снятие файлов протоколов.
  • Контроль активности сотрудников. Использование методики honey pot. Отслеживание обращений к критичным файлам. Протоколирование действий сотрудников с помощью специальных программных средств.
  • Контроль трафика электронной почты и обращения к Web-сайтам. Виды активности, которые требуется контролировать.
  • Контроль телефонных переговоров сотрудников. Использование стандартного программного обеспечения мини-АТС.
  • Использование результатов контрольных мероприятий. Анализ файлов протоколов. Построение профилей активности сотрудников. Методика реагирования на недопустимые действия сотрудников. «Мягкое» и «жесткое» пресечение недозволенной активности.
Раздел 9. Действия в случае возникновения КИ
  • Неотложные действия. Алгоритм действий при возникновении инцидентов. Рекомендации NIPC США и возможность их адаптации к российским условиям.
  • Взаимодействие с государственными и негосударственными органами. Решение вопроса об обращении в правоохранительные органы. Взаимодействие с негосударственными организациями и специалистами по информационной безопасности.
  • Выявление и устранение предпосылок, способствовавших возникновению КИ
  • Восстановление работоспособности системы после КИ согласно плану ОНРВ
  • Специфика реагирования при возникновения КИ вследствие неправомерных действий отдельных представителей государственных органов. Обеспечение правовой и физической защиты информации. Документирование неправомерных действий.
Раздел 10. Действия после обращения в государственные органы
  • Взаимодействие с правоохранительными органами в ходе расследования. Официальное обращение в государственные органы. Возбуждение уголовного дела.
  • Выявление злоумышленника. Оценка нанесенного злоумышленником ущерба с учетом морального вреда и упущенной выгоды организации.
  • Сбор доказательств преступной деятельности злоумышленника. Недопустимость применения незаконных методов сбора доказательств. Различие между служебным расследованием в рамках организации и оперативно-розыскной деятельностью. Участие правоохранительных органов.
  • Представительство интересов организации на предварительном следствии и в суде. Некоторые сложности, которые могут при этом возникнуть.
  • Использование статуса потерпевшего для получения информации об истинных мотивах и методах действий злоумышленника. Необходимость полного и окончательного расследования КИ. Раскрытие возможных пособников злоумышленника внутри организации.
  • Устранение причин, способствовавших возникновению КИ. Обеспечение невозможности возникновения КИ в будущем.
Раздел 11. Изъятие и исследование компьютерной техники и носителей информации
  • Правовые основы для изъятия и исследования компьютерной техники. Основные принципы изъятия имущества в ходе расследования уголовного дела (обыск, выемка, осмотр, добровольная выдача) и в административном порядке (осмотр). Правовой статус специалиста.
  • Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники.
  • Методика исследования компьютерной техники. Общие принципы исследования техники. Программное средство EnCase. Выводы эксперта и экспертное заключение.
Раздел 12. Практическая работа – расследование реального инцидента
  • Постановка задачи. Вводная информация о выявлении инцидента в сфере информационной безопасности.
  • Планирование расследования. Самостоятельное планирование хода расследования слушателями. Групповое обсуждение и корректировка плана.
  • Пошаговое расследование инцидента. Самостоятельное поэтапное проведение полного цикла расследования с использованием информации, добытой на каждом этапе. Исследование зараженного компьютера. Составление всех необходимых документов. Использование технических средств и организация поисковых мероприятий в сети Интернет.
Итоговый зачет

В последнее время значительно повысилась активность хакеров и, соответственно, число инцидентов компьютерной безопасности. Можно по-разному считать число инцидентов, но как бы ни считали инциденты, тенденция очевидна: их число растет.

Живые и реальные примеры инцидентов информационной безопасности легко находятся на новостных сайтах. Например, на сайте eSecurityPlanet мы видим, что в день происходит примерно по 5 серьезных инцидентов. А посмотреть на дефейсы веб-сайтов можно на Zone-H . Как мы видим, в день подвергается дефейсу несколько десятков сайтов.

Предприятия, имеющие ИТ инфраструктуру, естественно, реагируют на тенденцию роста компьютерных инцидентов. Прежде всего, усиливая безопасность своей информационной системы, посредством применений технологий защиты и проведением внутренних проверок . Но те организации, которые участвуют в росте числа инцидентов, тоже усиливали безопасность своей информационной системы, и это не предотвратило возникновения у них инцидентов. Отсюда вытекает необходимость еще одного направления реакции на растущее число инцидентов: предварительная подготовка к такому инциденту.

Это направление вызывает вопросы о том, как именно проводить расследование инцидентов.

Можно обратиться в тот же Google, откуда поступила информация о росте числа инцидентов ИТ безопасности и найти там рекомендации о проведении расследования компьютерных инцидентов.

Но процесс расследования слишком важен, чтобы не иметь основы, некой методики, одобренной какой-нибудь уважаемой организацией. А процесс изучения вопроса слишком важен, чтобы быть неформализованным и отданным на выбор самого администратора безопасности. При этом время ограничено, инцидент может случиться прямо сейчас!

Так мы логично подошли к необходимости курса по расследованию компьютерных инцидентов, который предложил бы надежную методологию расследования инцидентов безопасности на предприятии, включая как организационные, так и технические вопросы анализа данных.

Такой курс есть. Он предложен организацией EC-Council , чьи курсы этичного хакинга получили одобрение по стандарту ANSI/ISO/IEC 17024 .

И этот курс предлагается в авторизованном EC-Council центре компьютерного обучения «Специалист » как продолжение курса по этичному хакингу и тестированию на проникновение.

В этой статье я расскажу о том, что будет изучаться на курсе по расследованию компьютерных инцидентов, в какой последовательности и зачем. Кстати, зачем об этом рассказывать, есть ведь программа курса? Дело в том, что программа курса состоит из 22-х модулей, а любая классификация, не содержащая от трех до шести категорий, согласно известному афоризму, бесполезна. И здесь я приведу 5 элементов расследования компьютерных инцидентов, изучаемых на курсе.

1 Элемент. Что взломано?

Важно определить,

  • какая именно система пострадала в результате инцидента;
  • какой именно сервис был скомпрометирован;
  • какие именно данные были скомпрометированы.

Оказывается, для этой цели можно использовать заранее подготовленный пакет утилит оперативного реагирования, который поможет определить, что именно взломано в результате инцидента. Какие именно утилиты будут входить в этот пакет и как именно будут использоваться, изучается на протяжении всего курса.

Это большая тема, аспектов и утилит множество, но если разделить снова на 5 элементов, то будет выглядеть так:

Во-первых, нужно уметь идентифицировать и собрать данные, которые могут исчезнуть в короткий промежуток времени, это могут быть временные файлы, cookies, но не только;

Во-вторых, нужно научиться анализировать сетевые подключения и активность системы на предмет наличия отклонений от обычного состояния;

В-третьих, нужно научиться анализировать процессы , в них выполняется код, а так как процессы выполняют код, расположенный в исполняемых файлах и библиотеках, здесь же обратим внимание на целостность этих файлов;

В-четвертых, процессы используют хранилище параметров, реестр , его анализ может открыть больше информации, и нам помогут различные утилиты просмотра реестра;

В-пятых, все процессы выполняются в памяти , поэтому анализ памяти также важен для расследования. Сложностью является то, что память большая, а вредоносные данные небольшие и легко теряются в шестнадцатеричном дампе.

Компрометация или нарушение целостности данных может быть замечена также системой аудита и системой мониторинга сетевого трафика.

2 Элемент. Посредством чего взломано?

Важно определить,

  • была ли ошибка в конфигурации;
  • была ли ошибка в приложении;
  • была ли ошибка в системе;
  • была ли ошибка в протоколе.

Под каждую тему отведем модуль, чтобы детально изучить, чем могут помочь информация о процессах, ключах реестра, файлах, всевозможные дампы и журналы.

Здесь нужно научиться одной важной вещи: соотношению событий, записей журналов и конфигурации системы. Для этого нужно понимать, что журналы могут быть у каждого сервиса свои, храниться могут как локально, так и на удаленном сервере, а также разные платформы могут использовать разные форматы журналов.

3 Элемент. Кто взломал?

Важно определить,

  • через какую систему произошло вторжение;
  • какова была конечная цель атаки;
  • с какого компьютера началась атака.

Снова пригодится умение соотносить информацию разных журналов с событиями, сопровождающими инцидент безопасности. Но на этом этапе нужно уметь из собранной на предыдущих шагах информации выделить идентификаторы злоумышленника. Это не обязательно должен быть IP, это может быть адрес электронной почты, учетная запись в приложении, медиа-файл.

4 Элемент. На компьютере подозреваемого

Важно определить,

  • какое программное обеспечение использовалось;
  • какие файлы использовались;
  • в какой последовательности совершалась атака.

Действия зависят от того, включен компьютер подозреваемого, или нет. Если выключен, то, согласно методологии, больше не включаем, а дублируем образ диска и затем с помощью таких инструментов, как AccessData FTK и EnCase обнаруживаем улики и составляем отчет.

Возможен и вариант нахождения улик не на компьютере, а на любом другом оборудовании, ксероксе, принтере, мобильном устройстве.

5 Элемент. Обоснование предыдущих элементов

Важно определить,

  • что является уликой;
  • как собирать улики;
  • как анализировать улики;
  • как оформить отчет о расследовании.

Слово улика (evidence) проходит красной нитью через весь курс. Дампы, журналы, файлы – компьютерные термины. Чтобы их можно было приобщить к формализованному процессу расследования, они должны быть оформлены как улики, и обрабатываться в соответствии с процедурами, сохраняющими юридическую значимость улик. Здесь придется немного распараллелиться, поскольку правовое поле России имеет свои особенности.

Суть расследования такова: специалисты организации обнаруживают инцидент, и, либо своими силами оперативно реагируют на инцидент, анализируют данные и передают результаты анализа руководству, либо нанимают аутсорсера по расследованию компьютерных инцидентов, который обеспечит техническое и юридическое сопровождение расследования до передачи дела правоохранительным органам и в суд.

Даже если организация не имеет намерения проводить юридически значимые расследования инцидентов, знание и умение применить методологию расследования хакерских инцидентов повысит общую защищенность информационной системы предприятия.

Курс по расследованию хакерских инцидентов сопровождается живыми кейсами , шестнадцатью учебными примерами по расследованию, показывающими применение техник расследования. Эти кейсы отрабатываются как в теории, так и на практике, в рамках лабораторных работ на виртуальных серверах.

Методология расследования сопровождается контрольными списками (чек-листами), по которым можно сверять правильную последовательность проведения расследования. Теперь мы точно не запутаемся в расследовании деятельности хакера. Ведь осталось только следовать разработанной самими хакерами методике.

Будем учиться расследованию компьютерных инцидентов!

Обучение руководителей и специалистов правовым, организационным и практическим вопросам расследования компьютерных инцидентов.

Прослушайте бесплатный вебинар про этот курс. Вебинар доступен в записи в любое удобное время.
Для просмотра перейдите по ссылке и запустите кнопку Play в левом нижнем углу.
http://m.mirapolis.ru/m/miravr/0074524156

Описание образовательной программы

В курсе подробно разбираются все аспекты деятельности уполномоченных органов (подразделений, лиц) организации при реагировании на инциденты в информационной системе.

Слушатели изучают и анализируют факторы и предпосылки, приводящие к компьютерным инцидентам, и представляющие наибольшую опасность для информационных систем организации. На конкретных примерах разбираются основные способы обеспечения непрерывности функционирования информационной системы в случае возникновения КИ и скорейшего устранения их последствий, рассматриваются основные аспекты технической политики организации, направленные на минимизацию, нанесенного КИ ущерба.

Подробно изучается весь комплекс юридических, технических и организационных мероприятий, проводимых немедленно после выявления КИ. В ходе практической работы слушателям предлагается самостоятельно разработать ряд организационно-распорядительных документов и выстроить оптимальную последовательность действий в ходе решения ситуационных задач, провести полный цикл расследования с составлением необходимых документов.

Рассматриваются современные технологии и средства, применяемые для расследования КИ. В ходе практических занятий слушатели знакомятся с рядом инструментальных средств (продуктов).

Особое внимание уделяется юридическим основам расследования КИ, обсуждению проблемы доказательной значимости материалов, полученных в ходе расследования КИ, вопросам взаимодействия с правоохранительными органами, специализированными организациями и судами. Слушатели знакомятся с различиями в юридической практике РФ и других государств, а также связанной с ними сложностью применения западных методик расследования КИ в России.
Практические занятия проводятся с использованием технологии виртуальных машин на специально сконфигурированных стендах.

После изучения курса слушатель будет

Знать:

  • основные положения правовой, нормативной и методической базы, регламентирующей деятельность по расследованию компьютерных инцидентов;
  • юридические основы успешного расследования КИ и привлечения виновных к ответственности в соответствии с действующим законодательством;
  • порядок, содержание и правила разработки необходимой организационно-распорядительной документации;
  • основные методы и средства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме;
  • основные правила выбора и последующей эксплуатации необходимых средств, применяемых в ходе расследования компьютерных инцидентов;
  • методы расследования КИ в РФ и за рубежом, государственных и частных организациях, осуществляющих такие расследования, и конструктивном взаимодействии с ними
Уметь:
  • разрабатывать внутренние организационно-распорядительные документы, необходимые для проведения мероприятий по расследованию компьютерных инцидентов;
  • использовать методы и средства (программные) в интересах идентификации, сбора, получения и хранения свидетельств, представленных в цифровой форме с приданием им юридической значимости
Владеть:
  • навыками разработки необходимых документов в интересах организации и проведения расследований компьютерных инцидентов;
  • навыками применения инструментальных средств, используемых для идентификации, сбора, получения и хранения свидетельств, представленных в цифровом виде.
Успешное обучение по программе позволит специалистам:
  • комплексно подходить к проблеме защиты информации и увязывать вопросы защиты компьютерной информации с другими аспектами деятельности различных обеспечивающих и бизнес-подразделений организации;
  • самостоятельно разрабатывать требуемую организационно-распорядительную документацию;
  • планировать действия по поддержанию и восстановлению работоспособности информационных (автоматизированных) систем организации при возникновении КИ
  • в случае возникновения КИ эффективно взаимодействовать с правоохранительными органами и специализированными организациями в процессе расследования КИ и выявления виновных.

Цель курса

Формирование знаний и навыков, необходимых для организации и проведения внутренних (внутрикорпоративных) расследований компьютерных инцидентов.

Целевая аудитория

  • руководители организаций и предприятий (независимо от организационно-правовой формы и формы собственности)
  • руководители подразделений и уполномоченные сотрудники организаций (предприятий), в обязанности которых входит выявление и перекрытие каналов утечки информации, расследование попыток несанкционированного доступа к информации ограниченного доступа, разработка необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации;
  • сотрудники, отвечающие за администрирование информационных систем и сетей (системные администраторы);
  • администраторы информационной безопасности;
  • специалисты по защите информации;
  • аналитики по вопросам компьютерной безопасности.

Необходимая подготовка

  • базовые знания о современных информационных технологиях и распределенных информационных (автоматизированных) системах;
  • навыки работы на персональном компьютере в ОС MS Windows 7 (Windows Server 2008) и выше;
  • навыки работы в пакете MS Office 2010 и выше.

1. Правовая и нормативно-методическая база расследования компьютерных инцидентов

  • Актуальность проблемы обеспечения информационной безопасности. Понятие компьютерного инцидента. Термины и определения.
  • Управление инцидентами информационной безопасности
  • Правовые и нормативно-методические основы расследования компьютерных инцидентов.
  • Компьютерная криминалистика и международная практика.
  • Ответственность за нарушения требований действующего законодательства
2. Источники компьютерных инцидентов
  • Внутренние факторы и предпосылки
  • Внешние факторы и предпосылки
3. Технологии и средства, используемые для расследования компьютерных инцидентов
  • Компьютер, как хранилище свидетельств компьютерного инцидента
  • Практическая работа: Выявляем компьютерный инцидент.
  • Инструментальные средства идентификации, сбора, получения и хранения свидетельств, представленных в цифровой форме
  • Практическая работа: Изучение инструментальных средств, применяемых при расследовании компьютерных инцидентов
  • Технологии и средства обнаружения вторжений, предотвращения утечек информации, «ловушек» и выявления уязвимостей компьютерных систем и сетей
  • Практическая работа: Выявление уязвимостей компьютерных систем и сетей
4. Основные мероприятия по организации и проведению расследований компьютерных инцидентов
  • Организация управления инцидентами информационной безопасности
  • Разработка внутрикорпоративных организационно-распорядительных документов, необходимых для проведения расследования компьютерных инцидентов
  • Практическая работа: Разработка Частной политики управления инцидентами информационной безопасности и Регламента расследования компьютерного инцидента.
  • Проведение расследований компьютерных инцидентов
  • Практическая работа: Проведение расследования компьютерного инцидента.
  • Взаимодействие с правоохранительными органами, специализированными организациями и представительство интересов организации в суде.

«Лаборатория Касперского», признанный лидер в области разработки решений для обеспечения IT-безопасности, теперь предлагает услуги по расследованию компьютерных инцидентов. Ведущие эксперты в сфере анализа вредоносного ПО в сотрудничестве со специалистами, имеющими большой опыт работы в правоохранительных органах, помогут вам в расследовании компьютерного инцидента и эффективном устранении его последствий.

  • Оперативный анализ компьютерного инцидента

    На данном этапе перед специалистами «Лаборатории Касперского» стоит задача помочь организации взять ситуацию под контроль, восстановить возможную картину происшедшего, определить использованные злоумышленниками инструменты и методы, а также по возможности идентифицировать вовлеченные в инцидент компьютеры и мобильные устройства.

    В ходе предварительной консультации по телефону специалисты «Лаборатории Касперского» проинструктируют вас о том, какие действия необходимо немедленно предпринять для локализации и сдерживания инцидента, а также для минимизации возможного ущерба.

    Затем специалисты «Лаборатории Касперского» выезжают на место происшествия для выявления затронутых инцидентом устройств и носителей информации, корректного копирования данных для их последующего анализа, а также для оформления документов, необходимых правоохранительным органам для проведения дальнейшего расследования и возбуждения уголовного дела.

    Собранные данные тщательно анализируются и проверяются на наличие вредоносного ПО. В случае его обнаружения исследуется способ распространения вредоносного ПО, совершаемые им в системе действия и возможные пути заражения. После этого специалисты «Лаборатории Касперского» составляют рекомендации по удалению вредоносного ПО и ликвидации последствий заражения.

    По результатам первого этапа клиенту предоставляются:

    • Рекомендации для быстрого восстановления инфраструктуры и бизнес-процессов, затронутых инцидентом
    • Корректно оформленные цифровые свидетельства и экспертное заключение, которые могут потребоваться при обращении клиента в правоохранительные органы
    • Описание наиболее вероятных механизмов и сценария атаки

  • Расследование компьютерного инцидента

    В некоторых случаях для возбуждения уголовного дела необходимо провести дополнительное расследование, чтобы понять, откуда и как было произведено вторжение, а также установить лиц, причастных к инциденту.

    Аналитики «Лаборатории Касперского» работают одновременно по всем направлениям, которые могут помочь расследованию, – от поиска финансовых следов и исследования технических аспектов инцидента до сбора информации в хакерских сообществах и сопоставления ее с фактами, обнаруженными в ходе расследования. Специалисты «Лаборатории Касперского» регулярно обсуждают с клиентом текущие результаты расследования и его дальнейшие перспективы.

    По результатам расследования клиент получает итоговый отчет, который отражает результаты всех этапов проведенного расследования, содержит подробную схему инцидента и заключение о выявленном источнике атаки. Как правило, материалов, содержащихся в этом отчете, достаточно для возбуждения правоохранительными органами уголовного дела в отношении конкретных лиц, стоящих за инцидентом. Кроме того, четкое понимание сценария и механизмов атаки позволяет выстроить правильную стратегию защиты от подобных атак в будущем.

  • Экспертное сопровождение уголовного дела

    После возбуждения правоохранительными органами уголовного дела специалисты «Лаборатории Касперского» могут участвовать в его расследовании в качестве официальных представителей клиента. Это позволяет ускорить расследование уголовного дела и повысить вероятность его успешного завершения.

    В рамках сервиса «Расследование компьютерных инцидентов» осуществляется аналитическая и информационно-техническая поддержка правоохранительных и следственных органов, подача ходатайств о производстве необходимых следственных мероприятий, участие в них и выполнение других действий, предусмотренных законодательством.

    Сотрудничая с «Лабораторией Касперского» на этапе ведения уголовного дела, ваша организация не тратит лишнее время на общение с правоохранительными органами и может быть уверена в том, что наши опытнейшие эксперты используют все имеющиеся в их распоряжении возможности для сбора необходимых доказательств. Вынесение по уголовному делу обвинительного приговора дает возможность обратиться с гражданским иском о компенсации ущерба.

    Опыт показывает, что успешное расследование уголовного дела создает компании репутацию «опасной жертвы», после чего другие преступные группировки предпочитают с ней не связываться.



Похожие публикации: