Предотвращение и расследование киберпреступлений

В ходе изучения данного курса слушатели приобретают практические навыки поиска цифровых следов в компьютерных системах, фиксации этих следов в качестве доказательств по гражданским и уголовным делам; научатся анализировать собранные материалы с целью выявления источника атаки и восстановления работоспособности системы, а также документировать противоправные действия злоумышленников.

Производитель:

Цена за 1 шт

Количество
- + шт


Продолжительность курса: 5 дней (40 академ. часов)

Аудитория 
Специалисты, уже имеющие опыт практического использования современных технологий в сфере информационной безопасности. 

Результаты курса 
По окончании настоящего курса слушатели научатся:

·       Определять последовательности действий при расследовании

·       Правильно писать экспертное заключение

·       Выявлять объекты, содержащие уличающую информацию

·       Самостоятельно разбираться с хронологией событий при инциденте

·       Определять различные методы сокрытия данных от обнаружения

·       Выявлять все следы совершения преступления и найти виновных лиц

·       Анализировать собранные материалы

·       Основным принципам изъятия компьютерной техники

·       Применять полученные знания на практике

Программа 

1. Введение.

·      Информация и ее роль. Основные понятия в сфере оборота информации.

·      Факторы угроз для информации и их классификация.

·      Понятие компьютерного инцидента (КИ). Некоторые примеры инцидентов.

·      Понятие и классификация КИ. Узкое и расширенное толкование КИ.

·      Основные предпосылки для возникновения КИ.

·      Возможные последствия несанкционированного доступа к критически важной информации.

·      Неизбежность КИ как следствие невозможности создания абсолютной защиты.

·      Основные стадии КИ (подготовка, развитие, скрытие следов).

2. Расследование инцидентов информационной безопасности.

·      Цели расследования инцидентов информационной безопасности.

·      Основные субъекты таких расследований.

·      Неотложные действия после инцидента информационной безопасности.

·      Последовательность действий при расследовании.

·      Работа с лог-файлами. Анализ лог-файлов сетевого трафика.

·      Что такое сервис whois.

·      Утилита tracert.

·      Какую информацию может дать провайдерская компания.

3. Правовые основы производства экспертиз. 

·      Правовая регламентация производства экспертиз по гражданским и уголовным делам.

·      Процессуальный статус эксперта и соблюдение норм законодательства.

·      Требования к экспертному заключению.

·      Допрос эксперта в суде.

4. Изъятие и исследование компьютерной техники и носителей информации.

·      Правовые основы для изъятия и исследования компьютерной техники.

·      Основные принципы изъятия имущества в ходе расследования уголовного дела (обыск, выемка, осмотр, добровольная выдача) и в административном порядке (осмотр).

·      Правовой статус специалиста.

·      Методика изъятия компьютерной техники и носителей информации.

·      Обеспечение доказательственного значения изъятых материалов.

·      Описание и пломбирование техники.

·      Методика исследования компьютерной техники.

·      Общие принципы исследования техники.

·      Программное средство EnCase.

·      Выводы эксперта и экспертное заключение.

5. Производство компьютерно-технической экспертизы.

·      Основное оборудование и программные средства, необходимые для производства экспертизы.

·      Блокираторы записи и дубликаторы.

·      Экспертные системы – EnCase, Paraben Commander, Forensic Toolkit.

·      Возможные виды проводимых исследований.

·      Планирование экспертизы в зависимости от вопросов, сформулированных следователем.

6. Поиск уликовой информации на компьютерах.

·      Основные принципы изъятия компьютерной техники.

·      В каких объектах содержится уликовая информация.

·      Методы сокрытия таких данных от обнаружения.

·      Исследование реестра ОС. Системы сбора и анализа журналов ОС.

·      Корреляция событий. Создание и исследование Timeline.

·      Исследование дампов оперативной памяти.

·      Поиск информации с помощью системы Paraben Commander.

7. Поиск сообщений электронной почты.

·      Основные почтовые программы и места, где они сохраняют данные.

·      Чтение почты с помощью Paraben Commander.

·      Структура почтового сообщения.

·      Анализ служебной информации.

8. Работа с криптографией.

·      Основные средства криптографической защиты.

·      AES, EFS, PGP, архиваторы с шифрованием, офисные пакеты, базы данных.

·      Основы поиска зашифрованных данных.

·      Вскрытие защищённых данных.

·      Программное обеспечение Passware Forensic Kit.

·      Программное обеспечение ElcomSoft Password Recovery Bundle.

·      Взлом хешей MD5, SHA-1, SHA-256, LM, NTLM и т.д.

·      Извлечение паролей из браузеров, программ для мгновенного обмена сообщениями и других программ.

9. Практическая работа - расследование реального киберпреступления

·      Постановка задачи.

·      Вводная информация о выявлении инцидента в сфере информационной безопасности.

·      Планирование расследования.

·      Самостоятельное планирование хода расследования слушателями.

·      Групповое обсуждение и корректировка плана.

·      Пошаговое расследование инцидента.

·      Самостоятельное поэтапное проведение полного цикла расследования с использованием информации, добытой на каждом этапе.

·      Исследование зараженного компьютера.

·      Составление всех необходимых документов.

·      Использование технических средств и организация поисковых мероприятий в сети Интернет.

КЛИЕНТЫ КОМПАНИИ

Asia
Аеропорт
Волковгеология
AirAstana
Метрополитен
Astel
ЭФКО,
Сентрас Иншуранс
Международный аэропорт Астана
Международный аэропорт Алматы
Bericap Kazakhstan
Метрополитен
Казросгаз
КазМунайГаз
Alina Management
KazConstruction Group
Самрук-Энерго, АО
Amanat Insurance
Nomad Life
KMF