Computer Hacking Forensic Investigator

Курс читается по последней версии – V9!

Хакерские атаки – актуальная угроза для многих компаний. Действия злоумышленников могут принести ощутимый репутационный или материальный ущерб, поэтому важно вовремя отследить и минимизировать негативные последствия хакерских инцидентов. Если вы хотите защищать сети компании более эффективно, обязательно пройдите этот курс!

На занятиях вы научитесь успешно выявлять, расследовать и устранять последствия компьютерных преступлений. Вы изучите порядок действий по выявлению фактов проникновения хакера в систему и получите рекомендации по отслеживанию действий потенциального нарушителя.

На курсе не только изучаются теоретические основы расследования хакерских инцидентов. Новые знания слушатели закрепляют выполнением лабораторных работ (всего 39), которые включают практику расследования киберпреступлений, связанных с использованием электронной почты, на мобильных платформах и в облачных сервисах. Практические задания максимально приближены к реальной работе специалистов по информационной безопасности.

В стоимость курса входит официальный учебник EC-Council объемом в 1462 страницы. В нем вы найдете ответы на все вопросы для подготовки к сертификационному экзамену Computer Hacking Forensic Investigator V9 , который стал еще сложнее. Кстати, в нашем центре вы можете сдать его совершенно бесплатно – при условии прохождении этого курса.

После обучения выдается удостоверение о повышении квалификации центра и .

Для кого этот курс?

• Системные администраторы безопасности, инженеры и аудиторы, аналитики и архитекторы, которые работают или собираются работать на средних и крупных предприятиях, вплоть до организаций корпоративного масштаба.
• К основной целевой аудитории данного курса также относятся квалифицированные специалисты в области информационных технологий, включая администраторов предприятий, желающих улучшить свои знания и навыки в области безопасности компьютерных сетей.
• Все, кому интересны процесс и техники расследования хакерских инцидентов.

В курсе изучаются вопросы аварийного восстановления систем. Полученные знания помогут вам в подготовке к сертификации EDRP (EC-Council Disaster Recovery Professional) .

В случае успешного взлома сервер может быть использован для рассылки спама,
распространения вареза, организации атак на другие хосты, кроме того, могут быть
украдены или уничтожены важные корпоративные данные. Конечно, своевременный
бэкап позволит восстановить все в первоначальное состояние, но не факт, что
через некоторое время инцидент не повторится вновь. Поэтому важно научиться
проводить компьютерные расследования и определять, что же в действительности
произошло.

Компьютерные расследования

Немедленное восстановление системы из резервных архивов для продолжения
нормальной работы сервера - это самая распространенная ошибка. Даже если
начальник грозно нависает над головой, а телефон ломится от звонков возмущенных
клиентов, следует на некоторое время остановить сервер, сохранить его состояние
на другой носитель, чтобы затем можно было спокойно произвести расследование
всех обстоятельств.

Зачем это нужно? Во-первых, чтобы ситуация не повторилась, ведь обновление
ПО, антивирусных баз и т.д. отнюдь не гарантирует того, что хакер не использует
свой способ для повторного проникновения. Во-вторых, нельзя четко сказать, когда
произошел взлом, поэтому, казалось бы, "нормальная" архивная копия уже может
содержать "черный ход". И, наконец, собранная инфа поможет узнать, был ли это
взлом вообще: может, это системная или человеческая ошибка, а может, происки
инсайдера.

Процесс расследования (digital/computer forensics ) хорошо описан в книге
Уоррена Круза (Warren G. Kruse II) и Джея Хэйзера (Jay G. Heiser) "Computer
Forensics: Incident Response Essentials", которая является своего рода библией
для тех, кто занимается подобными исследованиями. К сожалению, в русском
переводе ее нет, в интернете можно найти отдельные главы и выдержки из
оригинала. Само исследование состоит из 5 этапов - подготовка (исследователя),
оценка ситуации, сбор данных, анализ и отчет. Стандартные инструменты, входящие
в состав ОС, в большинстве случаев могут быть использованы лишь как
вспомогательные. Злоумышленник в первую очередь сделает все возможное, чтобы
скрыть от них свои следы (например, время последнего обращения к файлу очень
просто изменить, в итоге это может помешать исследованию, а полученный результат
нельзя будет использовать как доказательство). Первое время поиск следов
проводился на "выключенном компьютере", т.е. создавался образ и, используя
инструментарий, о котором пойдет речь далее, исследователь пытался найти следы
взлома. Такой метод получил название "Dead analysis ".

Сегодня ситуация несколько другая. Известно, что некоторые современные вирусы
не оставляют следов на жестком диске, яркий пример - червь "SQL slammer",
который работает только в ОЗУ, и засечь его можно лишь по сетевой активности
(порт 1434, UDP пакет ~400 байт). Еще один момент: в настоящее время повсеместно
внедряются криптографические средства защиты (например в Windows - BitLocker,
EFS), и без ключей, хранящихся в ОЗУ, получить доступ к защищенной информации
нет никакой возможности. Поэтому сегодня чаще используется анализ на рабочей
системе - "Live analysis ", когда собирается полная инфа о сетевой активности,
приложениях и процессах. Как ты понимаешь, единой процедуры, подходящей для всех
случаев, не существует, в каждой конкретной ситуации подход сугубо
индивидуальный.

• утилиты, позволяющие сохранить посекторную копию разделов диска;
• утилиты создания контрольных сумм и цифровых подписей файлов;
• перехватчики сетевых пакетов, утилиты анализа сетевой активности и сетевых
  настроек системы;
• средства анализа состояния системы (процессы, библиотеки и т.п.)

В зависимости от ситуации состав приложений может меняться и подбирается
индивидуально. Нужно отметить, что в настоящее время существует совсем немного
специализированных программ проведения расследований. Из коммерческих продуктов
популярны ProDiscover от Technology Pathways ,
EnCase Forensic от Guidance Software
и The Forensic Toolkit .
Некоторые проекты предлагают демки ограниченных версий. Например, ProDiscover
Basic Edition Freeware, которая доступна для закачки на сайте Technology
Pathways, не имеет сетевых функций. Но, тем не менее, есть ряд продуктов,
распространяемых под Freeware-лицензией, возможностей которых вполне достаточно
для проведения полного анализа. Более того, существуют специализированные
дистрибутивы Linux, где все нужные утилиты уже собраны и настроены. Например,
DEFT Linux ,
FCCU GNU/Linux Forensic Boot CD ,
Helix3 и
другие.

Кстати, коммерческий вариант
Helix3
в своем роде уникальный дистрибутив, так как содержит утилиты для Linux, Windows
и Mac OS X.

Набор Sleuth Kit

Самой первой и поэтому известной утилитой, написанной для Unixсистем,
является TCT (The Coroner"s Toolkit). TCT разработан двумя авторами SATAN -
Dan Farmer и Wietse Venema - и представляет собой набор утилит, при помощи
которых можно произвести как Dead, так и Live анализ Unixсистемы. Некоторое
время проект практически не развивался, поэтому в специализированных
дистрибутивах его заменил
The Sleuth Kit .
TSK разработан экспертом по безопасности Brian Carrier и основан на исходном
коде проектов TCT и TCTUtils. Сырцы серьезно переписаны, что позволяет собрать и
использовать утилиты в Linux, Mac OS X, Cygwin, FreeBSD, OpenBSD и Solaris. При
помощи TSK можно проанализировать данные, находящиеся на разделах NTFS, FAT,
Ext2, Ext3, UFS1 и UFS2, а также в образах, созданных командами dd и dd_rescue.
В состав включены 24 утилиты, большинство из них для удобства пользователя
разбиты на группы, и имя начинается с определенной буквы:

• File System Layer (начинаются с f*) - работа с файловой системой;
• Meta Data Layer (i*) - описывает файл или каталог, т.е. все, что можно
  извлечь из inode;
• Data Unit Layer (blk*) - фактическое содержание блоков, кластеров,
  фрагментов;
• File System Journal (j*) - журналы файловой системы;
• Volume System (mm*) - анализ разделов, дисковые утилиты (disk_*).

Попробуем найти удаленный файл. Для начала запустим утилиту fls, чтобы
получить имена файлов и каталогов, в том числе и удаленных. Утилита имеет
несколько дополнительных параметров, из них стоит отметить:

A - вывод имен файлов, начинающихся с точки (. и..), их очень любят
использовать взломщики для маскировки;
-d - вывод только удаленных файлов;
-u - вывод только не удаленных файлов;
-l - вывод подробной информации о файле;
-r - рекурсивный обход каталогов.

# fls -rd /dev/sda1

Первая буква показывает тип файла, т.е. r-egular, d-irectory, l-ink, s-ocket
или не определен (?). Знак "*" на второй позиции показывает, что файл не
распределен (удален). Теперь запросим больше информации о конкретном inode:

# ffind -a /dev/sda1 111
/windows/system32/cmd.exe
# istat /dev/sda1 111
inode: 111
Not Allocated
uid / gid: 0 / 0
mode: rwxr-xr-x
size: 0
num of links: 0
# fsstat /dev/sda1

Чтобы просмотреть данные, соответствующие inode, используем icat:

# icat /dev/sda1 1234 | less

Аналогично за вывод данных в конкретном блоке отвечает утилита blkcat. Для
примера просмотрим один блок и сохраним несколько блоков, принадлежащих файлу:

# blkcat -h /dev/sda1 111 | less
# blkcat 111-120 > output.blk

В сформированном образе адрес блока будет отличаться от исходного, поэтому
вручную найти его непросто. Но это и не требуется, чтобы упросить поиск, можно
воспользоваться специальным калькулятором - blkcalc. Еще одна полезная команда
"blkls /dev/sda1" позволит просмотреть содержимое блоков выбранного раздела
диска в удобочитаемом виде. По умолчанию выводятся только нераспределенные блоки
данных (соответствует ключу "-A"). Сохранив вывод blkls в файл, затем можно
использовать утилиты strings и grep для поиска нужных фрагментов.

# blkls sda1.dd > sda1.blkls
# strings -t d sda1.blkls > sda1.str

Теперь в sda1.str находятся все текстовые строки из образа/раздела вместе с
данными, указывающими на смещение относительно начала блока.

В Sleuth Kit v1.63 появилась утилита mmls. Примечательна она тем, что выводит
таблицу разделов и показывает, какие сектора не используются. Таким образом
можно увидеть "спрятанные" данные:

# mmls -t dos /dev/sda

Описание утилит можно продолжать долго, лучше один раз запустить и увидеть
результат. Но все, о чем говорилось, позволяет лишь собрать данные, а их анализ
целиком возлагается на плечи исследователя. Для того чтобы найти в нескольких
гигабайтах информации инструменты взломщика, потребуется немало времени и опыта.
Здесь на помощь приходит утилита hfind из комплекта TSK, которая умеет
рассчитывать хеш-функции файлов и сравнивать результат с заранее созданной
базой. База может формироваться как самостоятельно при помощи md5sum, так и на
основе библиотеки NSRL (National Software Reference Library ) . Проект NSRL
поддерживается рядом солидных организаций, среди которых - Национальный Институт
Американского Министерства юстиции (NIJ), Национальный Институт Стандартов и
Технологии (NIST) и так далее. В NSRL собраны в справочный информационный набор
RDS (Reference Data Set, полный комплект занимает 4 CD по 300 Мб каждый) профили
различного ПО - хеш-функции (MD5 и SHA-1), данные о файле (происхождение, имя,
размер и т.п.), что позволяет однозначно идентифицировать файл, даже если он был
переименован. Кстати, одной из основных задач этой библиотеки является поиск
программ при расследовании преступлений, направленных против интеллектуальной
собственности.

Утилита hfind проверяет значения хеш-функции в базе данных, используя
двоичный алгоритм поиска, поэтому она работает быстрее, чем штатный grep, но
вначале следует создать индексный файл (ключ "-i"):

# hfind -i nsrl-sha1 /usr/local/hash/nsrl/
NSRLFile.txt
Index Created

В результате в текущем каталоге появится NSRLFile.txtsha1.idx. Теперь можно
пробить любой файл по базе:

# md5sum /bin/ls

# hfind /usr/local/hash/nsrl/NSRLFile.txt f58
860f27dd2673111083670c9445099
Hash
Not Found

Для примера создадим md5-сумму важных системных файлов:

# md5sum /bin/* /sbin/* /usr/bin/* /usr/bin/*
> system.md5

Проверяем результат командой "cat system.md5", генерируем индексный файл:

# hfind -i md5sum system.md5

Теперь можно периодически проверять наличие измененных файлов в
контролируемых каталогах:

# md5sum /bin/* > bin.md5
# hfind -f bin.md5 system.md5
3/bin/bash
Invalid Hash Value

Как видишь, /bin/bash изменился со времени создания базы, его контрольная
сумма не совпадает.

И, наконец, скрипт sorter. Он умеет анализировать образ (для этого запускает
fls и icat), а также находит и распознает файлы (при помощи file). Если
задействована база NSRL, сортировщик может определить сразу и характер файла
(опасный или нет). Опасные файлы автоматически заносятся в отдельный файл -
alert.txt (если использован параметр "-s", то будет сохранено и содержимое
файла). Создаем каталог, куда будет сохраняться результат, и запускаем анализ
раздела или dd-образа:

# mkdir data
# sorter -d data -f ntfs /dev/sda1

По окончании работы в подкаталоге data появится несколько файлов с
расширением txt:

archive.txt documents.txt disk.txt sorter.sum

# cat data/documents.txt
Documents and Settings/All Users/Главное меню/Программы/
Стандартные/desktop.ini
ISO-8859 text, with CRLF line terminators
Image: /dev/sda1 Inode: 5805-128-1

В sorter.sum найдем общий итог по поиску.

Веб-интерфейс Autopsy

Утилит в составе Sleuth Kit более чем предостаточно, и это вызывает некоторые
затруднения не только в их изучении, но и использовании даже у бывалых спецов.
Но не беда, так как в дополнение к TSK был создан инструмент визуализации -
Autopsy Forensic Browser ,
поддерживаемый тем же автором. Autopsy для своей работы требует наличия TSK и
желательно NSRL. После запуска в командной строке копируем выданный URL в
веб-браузер (http://localhost:9999).

Первым делом следует создать базу данных dd-образов, предварительно взятых с
различных дисков и систем. Для этого нужно нажать ссылку "New Case" и заполнить
название и описание (можно указать несколько вариантов, чтобы упростить поиск).
Далее нужно добавить сведения об узле, с которого снят образ. Жмем "Adding a New
Host" и заполняем данные - имя компьютера, описание, временной пояс, путь к
базам NSRL. И, наконец, через "Adding a New Image" подключаем образ - задаем
путь к файлу, тип (диск, раздел). После этого можно выбрать: копирование образа,
перемещение образа, создание симлинка. В следующем окне указываем файловую
систему и точку монтирования. По окончании можно начинать работу. Например,
извлечь строковые данные, отдельные блоки или удаленные файлы можно в
"Image Details". Здесь же получаем всю необходимую информацию о данных,
содержащихся в тех или иных блоках (ASCII, Hex, String). При необходимости
добавляем комментарий к нужному участку. Аналогично можно вывести список файлов,
данные о состоянии inode и прочую информацию. Сторонними разработчиками создана
альтернатива Autopsy - PTK ,
обладающая большим удобством в использовании и расширенными возможностями.

В мире окон

WWW

RFC3227 "Guidelines for Evidence Collection and Archiving" -

ftp.rfc-editor.org/innotes/rfc3227.txt .

Документ, подготовленный Национальным институтом юстиции США (National
Institute of Justice) "Forensic Examination of Digital Evidence: A Guide for Law
Enforcement" -

Слушатели изучают факторы риска, представляющие наибольшую опасность для информационных систем организации. На основе обобщения большого числа компьютерных инцидентов (КИ) даются рекомендации по снижению их вероятности. На конкретных примерах рассматриваются недочеты деятельности службы безопасности, создающие предпосылки для появления уязвимостей в информационной инфраструктуре организации, разбираются основные способы обеспечения непрерывности функционирования информационной системы в случае возникновения КИ и скорейшего устранения их последствий, рассматриваются основные аспекты технической политики организации, направленные на минимизацию, нанесенного КИ ущерба. Подробно изучается весь комплекс неотложных юридических, технических и организационных мероприятий, проводимых немедленно после выявления КИ. В ходе практической работы слушателям предлагается самостоятельно выстроить оптимальную последовательность действий в ходе решения ситуационных задач, провести полный цикл расследования с составлением необходимых документов.

Особое внимание уделяется юридическим основам расследования КИ, обсуждению проблемы доказательной значимости материалов, полученных в ходе расследования КИ, вопросам взаимодействия с правоохранительными органами и специализированными организациями. Слушатели знакомятся с различиями в юридической практике РФ и других государств, а также связанными с этим сложностями применения западных методик расследования КИ в России.

По окончании курса вы приобретете знания по:

• классификации и видам компьютерных инцидентов (КИ)
• наиболее существенным угрозам для компьютерной информации организации и методам защиты от них
• основным предпосылкам возникновения КИ в организации и методам их предупреждения
• методам расследования КИ в РФ и за рубежом, основным государственным и частным организациям, осуществляющим такое расследование, и о конструктивном взаимодействии с ними
• юридическим основам успешного расследования КИ и привлечения виновных к ответственности в соответствии с действующим законодательством
• основным способам обеспечения непрерывности функционирования информационной системы организации в случае возникновения КИ и скорейшего устранения их последствий

Вы сможете:

• Комплексно подходить к проблеме защиты информации и увязывать вопросы защиты компьютерной информации с другими аспектами деятельности службы безопасности предприятия
• Планировать действия по поддержанию и восстановлению работоспособности автоматизированных систем организации при возникновении КИ
• В случае возникновения КИ эффективно взаимодействовать с правоохранительными органами и специализированными организациями в процессе расследования КИ и выявления виновных.

Целевая аудитория

Руководители и ответственные сотрудники служб безопасности, руководители подразделений автоматизации и технической защиты информации организаций, в обязанности которых входит выявление и перекрытие каналов утечки информации, расследование попыток несанкционированного доступа к информации, составляющей коммерческую тайну, разработка необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации.

Необходимая подготовка

• Базовые знания о современных информационных технологиях и распределенных автоматизированных системах.

Комплексное обучение руководителей и специалистов правовым, организационным и практическим вопросам расследования инцидентов в сфере обращения компьютерной информации. В курсе подробно разбираются все аспекты деятельности службы безопасности (отдела информационной безопасности) организации при реагировании на инциденты в информационной системе, в том числе методика предупреждения таких инцидентов, ликвидации нанесенного ими ущерба, пресечения хакерской активности, перекрытия каналов незаконного съема информации и выявления виновных лиц.

Слушатели изучают факторы риска, представляющие наибольшую опасность для информационных систем организации. На основе обобщения большого числа компьютерных инцидентов (КИ) даются рекомендации по снижению их вероятности. На конкретных примерах рассматриваются недочеты деятельности службы безопасности, создающие предпосылки для появления уязвимостей в информационной инфраструктуре организации, разбираются основные способы обеспечения непрерывности функционирования информационной системы в случае возникновения КИ и скорейшего устранения их последствий, рассматриваются основные аспекты технической политики организации, направленные на минимизацию, нанесенного КИ ущерба. Подробно изучается весь комплекс неотложных юридических, технических и организационных мероприятий, проводимых немедленно после выявления КИ. В ходе практической работы слушателям предлагается самостоятельно выстроить оптимальную последовательность действий в ходе решения ситуационных задач, провести полный цикл расследования с составлением необходимых документов.

Особое внимание уделяется юридическим основам расследования КИ, обсуждению проблемы доказательной значимости материалов, полученных в ходе расследования КИ, вопросам взаимодействия с правоохранительными органами и специализированными организациями. Слушатели знакомятся с различиями в юридической практике РФ и других государств, а также связанными с этим сложностями применения западных методик расследования КИ в России.

Входит в комплексные программы

• БТ155

Аудитория

Руководители и ответственные сотрудники служб безопасности, руководители подразделений автоматизации и технической защиты информации организаций, в обязанности которых входит выявление и перекрытие каналов утечки информации, расследование попыток несанкционированного доступа к информации, составляющей коммерческую тайну, разработка необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации.

Предварительная подготовка

Базовые знания о современных информационных технологиях и распределенных автоматизированных системах.

По окончании обучения

Вы приобретете знания по:

• о классификации и видах КИ;
• о наиболее существенных угрозах для компьютерной информации организации и методах защиты от них;
• об основных предпосылках возникновения КИ в организации и методам их предупреждения;
• о методах расследования КИ в РФ и за рубежом, государственных и частных организациях, осуществляющих такие расследования, и конструктивном взаимодействии с ними;
• о юридических основах успешного расследования КИ и привлечения виновных к ответственности в соответствии с действующим законодательством;
• об основных способах обеспечения непрерывности функционирования информационной системы организации в случае возникновения КИ и скорейшего устранения их последствий.

Вы сможете:

• Комплексно подходить к проблеме защиты информации и увязывать вопросы защиты компьютерной информации с другими аспектами деятельности службы безопасности предприятия
• Планировать действия по поддержанию и восстановлению работоспособности автоматизированных систем организации при возникновении КИ
• В случае возникновения КИ эффективно взаимодействовать с правоохранительными органами и специализированными организациями в процессе расследования КИ и выявления виновных.

Пакет слушателя

• Фирменное учебное пособие
• Подборка юридических и технических документов, справочная информация, а также образцы основных документов в электронном виде, составляемых в ходе расследования КИ

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра "Информзащита".

Обучение на данном курсе учитывается при получении документов установленного образца в области информационной безопасности в Учебном центре «Информзащита» в соответствии с Положением об условиях получения специалистами документов о повышении квалификации в области защиты информации.

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Программа учебного курса

Раздел 1. Информация и ее роль в бизнесе. Понятие компьютерного инцидента

• Основные понятия в сфере оборота информации. Возможные последствия несанкционированного доступа к критически важной информации. Некоторые примеры инцидентов.
• Понятие и классификация КИ. Узкое и расширенное толкование КИ. Неизбежность КИ как следствие невозможности создания абсолютной защиты. Основные стадии КИ (подготовка, развитие, скрытие следов).

Раздел 2. Факторы угроз для информации в организации и их классификация

• Ненадлежащая политика руководства организации. Отсутствие подготовленного персонала. Отсутствие формально ответственных лиц. Использование "пиратского" программного обеспечения. Игнорирование рекомендаций службы безопасности, непринятие профилактических мер. Возможные последствия такой политики на примере некоторых организаций.
• Нарушители правил из числа персонала организации. Различные категории нарушителей требований политики безопасности. Методы предотвращения вредных последствий от их деятельности.
• Деятельность хакеров. Социальный состав хакеров. Цели и методы их деятельности. Возможные последствия. Некоторые мифы и суеверия о хакерах.
• "Традиционные" злоумышленники. Воры, рэкетиры, террористы и возможные последствия их действий. Изменение некоторых концепций в сфере информационной безопасности в свете роста количества террористических актов.
• Неправомерная деятельность отдельных представителей государственных органов. Возможные причины интереса со стороны контролирующих органов. Налоговые проверки, "крышевание", действия в интересах конкурентов. Методы минимизации возможного ущерба от неправомерной деятельности.
• Несчастные случаи и стихийные бедствия. Возможные последствия. Методы минимизации ущерба.

Раздел 3. Основные предпосылки для возникновения КИ

• "Однобокая" или неправильно сбалансированная служба безопасности (СБ). Некоторые типичные недочеты при комплектовании СБ организаций и последствия этих недочетов. Нарушение взаимодействия трех компонентов СБ. Неверный выбор имиджа СБ в организации.
• Проблемы в работе с персоналом. Отсутствие подготовленного персонала. Поручение работ по защите информации случайным лицам. Отсутствие единой политики информационной безопасности. Недопустимость использования IT-специалистов для обеспечения информационной безопасности. Недочеты в работе с персоналом, в том числе с уволившимися сотрудниками.
• Уязвимости в программном обеспечении (ПО). Наличие скрытых уязвимостей в используемых программных средствах, в том числе, вследствие использования пиратского ПО. Несоблюдение процедур инсталляции и обслуживания ПО. Консультации со случайными лицами и их последствия.
• Беспечность ответственных сотрудников. Игнорирование предупреждений со стороны компетентных государственных органов и персонала. Непринятие мер к своевременному расследованию КИ. Игнорирование сигналов от защитных программных и аппаратных средств.

Раздел 4. Расследование КИ в РФ и за рубежом

• Компетентные государственные органы, осуществляющие расследование КИ в РФ и США. Подразделения «К» БСТМ МВД РФ. ФСБ РФ. Секретная служба Министерства финансов США. ФБР США. Интерпол. Некоторые возможности этих организаций в расследовании КИ.
• Существенные различия в юридической системе РФ и США. Влияние этих различий на расследование КИ. Ограничения в применении в РФ западных методик предотвращения и расследования КИ.
• Международное взаимодействие в расследовании КИ. Доказательственное значение материалов, полученных из-за границы. Типичные ошибки при сборе информации за рубежом.
• Негосударственные организации, занимающиеся расследованием КИ на территории РФ, и их возможности. Профессиональные ассоциации, охранно-детективные структуры, службы безопасности провайдерских компаний.

Раздел 5. Основные меры по минимизации нанесенного КИ ущерба

• Комплексная система безопасности на предприятии. Увязка в едином комплексе организационно-административных, программно-технических, физических и технических мер как необходимое условие для минимизации нанесенного КИ ущерба. Невозможность решения проблем безопасности каким-либо одним способом. Примеры таких попыток и их последствия.
• План обеспечения непрерывности работы и восстановления работоспособности АС организации (ОНРВ). Необходимость предварительной подготовки плана действий в случае КИ с учетом различных видов КИ. Автоматизм в исполнении плана.
• Адекватная политика информационной безопасности. Недопустимость политики реагирования "по факту" КИ. Повышение осведомленности сотрудников организации в вопросах информационной безопасности.

Раздел 6. Юридические предпосылки для минимизации нанесенного КИ ущерба

• Законодательство РФ. Законы "Об информации, информатизации и защите информации", "О правовой охране программ для ЭВМ и баз данных", "О коммерческой тайне" и предъявляемые ими требования. Уголовный кодекс и Кодекс об административных правонарушениях РФ.
• Криптографические средства. Правовое регулирование работ с криптографическими средствами защиты информации в РФ.
• Правовая защита информации в организации. Реализация режима коммерческой тайны на предприятии в отношении существенной информации. Ознакомление с этим фактом всех заинтересованных лиц. Размещение предупреждений на сервере организации.
• Обеспечение представительства интересов организации. Выдача постоянно действующей доверенности на право представления интересов предприятия и заверенных копий всех правоустанавливающих документов лицам, ответственным за информационную безопасность. Возможность внесения соответствующих изменений в устав организации.
• Организация взаимодействия с правоохранительными органами. Предварительное установление и поддержка контакта с правоохранительными органами.

Раздел 7. Технические предпосылки для минимизации нанесенного КИ ущерба

• Средства протоколирования. Использование средств протоколирования всех подозрительных действий, мониторинга активности пользователей для выявления КИ на ранней стадии. Обеспечение доказательственного значения файлов протоколов.
• Перекрытие технических каналов снятия информации. Основные методы несанкционированного съема информации (активные и пассивные радиозакладки, отражатели, электронно-оптические преобразователи, направленные микрофоны, стетоскопы, средства внешнего контроля). Нестандартные приемы съема информации (волноводы, тайники, ВЧ-навязывание). Некоторые средства защиты. Непрофессиональный подход к технической защите информации и его последствия.
• Обеспечение резервного копирования данных. Периодическое полное и дифференциальное копирование. Обеспечение защищенных зон для хранения информации.
• Доказательственное значение файлов протоколов в случае официального и частного расследования .
• Дистанционная работа сотрудников как средство обеспечения безопасности информации. Диверсификация информационных ресурсов предприятия.

Раздел 8. Практические методы контроля коммуникаций в организации

• Контроль рабочих мест сотрудников. Использование кейлоггеров и "троянских" программ. Внедрение контрольного ПО на рабочие места. Обеспечение "невидимости" контрольного ПО для антивирусных программ. Снятие файлов протоколов.
• Контроль активности сотрудников. Использование методики honey pot. Отслеживание обращений к критичным файлам. Протоколирование действий сотрудников с помощью специальных программных средств.
• Контроль трафика электронной почты и обращения к Web-сайтам. Виды активности, которые требуется контролировать.
• Контроль телефонных переговоров сотрудников. Использование стандартного программного обеспечения мини-АТС.
• Использование результатов контрольных мероприятий. Анализ файлов протоколов. Построение профилей активности сотрудников. Методика реагирования на недопустимые действия сотрудников. "Мягкое" и "жесткое" пресечение недозволенной активности.

Раздел 9. Действия в случае возникновения КИ

• Неотложные действия. Алгоритм действий при возникновении инцидентов. Рекомендации NIPC США и возможность их адаптации к российским условиям.
• Взаимодействие с государственными и негосударственными органами. Решение вопроса об обращении в правоохранительные органы. Взаимодействие с негосударственными организациями и специалистами по информационной безопасности.
• Выявление и устранение предпосылок, способствовавших возникновению КИ
• Восстановление работоспособности системы после КИ согласно плану ОНРВ
• Специфика реагирования при возникновения КИ вследствие неправомерных действий отдельных представителей государственных органов. Обеспечение правовой и физической защиты информации. Документирование неправомерных действий.

Раздел 10. Действия после обращения в государственные органы

• Взаимодействие с правоохранительными органами в ходе расследования. Официальное обращение в государственные органы. Возбуждение уголовного дела.
• Выявление злоумышленника. Оценка нанесенного злоумышленником ущерба с учетом морального вреда и упущенной выгоды организации.
• Сбор доказательств преступной деятельности злоумышленника. Недопустимость применения незаконных методов сбора доказательств. Различие между служебным расследованием в рамках организации и оперативно-розыскной деятельностью. Участие правоохранительных органов.
• Представительство интересов организации на предварительном следствии и в суде. Некоторые сложности, которые могут при этом возникнуть.
• Использование статуса потерпевшего для получения информации об истинных мотивах и методах действий злоумышленника. Необходимость полного и окончательного расследования КИ. Раскрытие возможных пособников злоумышленника внутри организации.
• Устранение причин, способствовавших возникновению КИ. Обеспечение невозможности возникновения КИ в будущем.

Раздел 11. Изъятие и исследование компьютерной техники и носителей информации

• Правовые основы для изъятия и исследования компьютерной техники. Основные принципы изъятия имущества в ходе расследования уголовного дела (обыск, выемка, осмотр, добровольная выдача) и в административном порядке (осмотр). Правовой статус специалиста.
• Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники.
• Методика исследования компьютерной техники. Общие принципы исследования техники. Программное средство EnCase. Выводы эксперта и экспертное заключение.

Раздел 12. Практическая работа - расследование реального инцидента

• Постановка задачи. Вводная информация о выявлении инцидента в сфере информационной безопасности.
• Планирование расследования. Самостоятельное планирование хода расследования слушателями. Групповое обсуждение и корректировка плана.
• Пошаговое расследование инцидента. Самостоятельное поэтапное проведение полного цикла расследования с использованием информации, добытой на каждом этапе. Исследование зараженного компьютера. Составление всех необходимых документов. Использование технических средств и организация поисковых мероприятий в сети Интернет.

Итоговый зачет