ИнфобезопасностьОсновы компьютерной криминалистики и методики реагирования на инциденты информационной безопасности
Описание курса
Целью освоения программы является приобретение знаний по компьютерной криминалистике и правовым обеспечениям расследований инцидентов информационной безопасности, умений и навыков экспертного исследования объектов компьютерной экспертизы.
Особенности
- Без отрыва от работы;
- Обучение на базе кафедры госуниверситета;
- Опытные преподаватели.
Модули курса
1. Основы компьютерной криминалистики
– Введение в компьютерную криминалистику.
– Специальность – компьютерный криминалист.
– Особенности современных подходов: Windows криминалистика, артефакты диспетчера задач. Утилиты Autoruns, cports.
2. Расследование инцидентов ИБ. Образ жёсткого диска, дамп памяти
– Расследование инцидентов ИБ.
– Образ жёсткого диска, дамп памяти.
3. Сетевая криминалистика и вспомогательные утилиты
Сетевая криминалистика и вспомогательные утилиты
4. Исследование дампов оперативной памяти. Востребованные компьютерно-криминалистические утилиты
Исследование дампов оперативной памяти. Востребованные компьютерно-криминалистические утилиты
5. Артефакты ОС Windows и вспомогательные утилиты
– Исследование реестра ОС.
– Системы сбора и анализа журналов ОС.
– Обращение к системе командная строка (cmd).
– Утилиты паролей, утилиты, журналов и файлов.
– Восстановление данных.
– Исследование истории браузеров.
– Утилиты артефактов (RS BrowserForensics, USBDeview и др.).
6. Основы реагирования на инциденты ИБ
– Понятие события и инцидента информационной безопасности.
– Управление инцидентами ИБ, классификация инцидентов ИБ.
– Этапы реагирования на инциденты.
7. Процесс управления инцидентами ИБ
– Планирование и подготовка к менеджменту инцидентов ИБ.
– Политика обработки сообщений о событиях и инцидентах ИБ.
– Политика менеджмента инцидентов информационной безопасности.
– Создание группы реагирования на инциденты информационной безопасности. – Обнаружение и оповещение о событиях ИБ.
8. Техническая и другая поддержка реагирования на инциденты ИБ
– Электронные базы данных событий/инцидентов ИБ и технические средства для быстрого пополнения и обновления базы данных.
– SIEM-системы: IBM QRadar, MaxPatrol SIEM, ArcSight, Splunk и другие.
– Технологические тренды развития SIEM-систем.
– Web application firewall, Sandbox (песочница).
9. Техническая и другая поддержка реагирования на инциденты ИБ
– Возбуждение уголовных дел по преступлениям в сфере высоких технологий.
– Привлечение к расследованию специалистов, осмотр места происшествия.
– Выемка и осмотр средств компьютерной техники и носителей информации.
– Осмотр электронных документов, оперативно-розыскные мероприятия, назначение компьютерной экспертизы.
10. Восстановление системы после инцидента ИБ
– Проверка работоспособности рабочих станций и серверов.
– Мониторинг на предмет повторной компрометации, отчетность и выводы.
