Расследование компьютерных инцидентов

Глава 1 - Информация и ее роль в бизнесе. Понятие компьютерного инцидента

• Основные понятия в сфере оборота информации. Возможные последствия несанкционированного доступа к критически важной информации. Некоторые примеры инцидентов.
• Понятие и классификация КИ. Узкое и расширенное толкование КИ. Неизбежность КИ как следствие невозможности создания абсолютной защиты. Основные стадии КИ (подготовка, развитие, скрытие следов).

Глава 2 - Факторы угроз для информации в организации и их классификация

• Ненадлежащая политика руководства организации. Отсутствие подготовленного персонала. Отсутствие формально ответственных лиц. Использование "пиратского" программного обеспечения. Игнорирование рекомендаций службы безопасности, непринятие профилактических мер. Возможные последствия такой политики на примере некоторых организаций.
• Нарушители правил из числа персонала организации. Различные категории нарушителей требований политики безопасности. Методы предотвращения вредных последствий от их деятельности.
• Деятельность хакеров. Социальный состав хакеров. Цели и методы их деятельности. Возможные последствия. Некоторые мифы и суеверия о хакерах.
• "Традиционные" злоумышленники. Воры, рэкетиры, террористы и возможные последствия их действий. Изменение некоторых концепций в сфере информационной безопасности в свете роста количества террористических актов.
• Неправомерная деятельность отдельных представителей государственных органов. Возможные причины интереса со стороны контролирующих органов. Налоговые проверки, "крышевание", действия в интересах конкурентов. Методы минимизации возможного ущерба от неправомерной деятельности.
• Несчастные случаи и стихийные бедствия. Возможные последствия. Методы минимизации ущерба.

Глава 3 - Основные предпосылки для возникновения КИ

• "Однобокая" или неправильно сбалансированная служба безопасности (СБ). Некоторые типичные недочеты при комплектовании СБ организаций и последствия этих недочетов. Нарушение взаимодействия трех компонентов СБ. Неверный выбор имиджа СБ в организации.
• Проблемы в работе с персоналом. Отсутствие подготовленного персонала. Поручение работ по защите информации случайным лицам. Отсутствие единой политики информационной безопасности. Недопустимость использования IT-специалистов для обеспечения информационной безопасности. Недочеты в работе с персоналом, в том числе с уволившимися сотрудниками.
• Уязвимости в программном обеспечении (ПО). Наличие скрытых уязвимостей в используемых программных средствах, в том числе, вследствие использования пиратского ПО. Несоблюдение процедур инсталляции и обслуживания ПО. Консультации со случайными лицами и их последствия.
• Беспечность ответственных сотрудников. Игнорирование предупреждений со стороны компетентных государственных органов и персонала. Непринятие мер к своевременному расследованию КИ. Игнорирование сигналов от защитных программных и аппаратных средств.

Глава 4 - Расследование КИ в РФ и за рубежом

• Компетентные государственные органы, осуществляющие расследование КИ в РФ и США. Подразделения «К» БСТМ МВД РФ. ФСБ РФ. Секретная служба Министерства финансов США. ФБР США. Интерпол. Некоторые возможности этих организаций в расследовании КИ.
• Существенные различия в юридической системе РФ и США. Влияние этих различий на расследование КИ. Ограничения в применении в РФ западных методик предотвращения и расследования КИ.
• Международное взаимодействие в расследовании КИ. Доказательственное значение материалов, полученных из-за границы. Типичные ошибки при сборе информации за рубежом.
• Негосударственные организации, занимающиеся расследованием КИ на территории РФ, и их возможности. Профессиональные ассоциации, охранно-детективные структуры, службы безопасности провайдерских компаний.

Глава 5 - Основные меры по минимизации нанесенного КИ ущерба

• Комплексная система безопасности на предприятии. Увязка в едином комплексе организационно-административных, программно-технических, физических и технических мер как необходимое условие для минимизации нанесенного КИ ущерба. Невозможность решения проблем безопасности каким-либо одним способом. Примеры таких попыток и их последствия.
• План обеспечения непрерывности работы и восстановления работоспособности АС организации (ОНРВ). Необходимость предварительной подготовки плана действий в случае КИ с учетом различных видов КИ. Автоматизм в исполнении плана.
• Адекватная политика информационной безопасности. Недопустимость политики реагирования "по факту" КИ. Повышение осведомленности сотрудников организации в вопросах информационной безопасности.

Глава 6 - Юридические предпосылки для минимизации нанесенного КИ ущерба

• Законодательство РФ. Законы "Об информации, информатизации и защите информации", "О правовой охране программ для ЭВМ и баз данных", "О коммерческой тайне" и предъявляемые ими требования. Уголовный кодекс и Кодекс об административных правонарушениях РФ.
• Криптографические средства. Правовое регулирование работ с криптографическими средствами защиты информации в РФ.
• Правовая защита информации в организации. Реализация режима коммерческой тайны на предприятии в отношении существенной информации. Ознакомление с этим фактом всех заинтересованных лиц. Размещение предупреждений на сервере организации.
• Обеспечение представительства интересов организации. Выдача постоянно действующей доверенности на право представления интересов предприятия и заверенных копий всех правоустанавливающих документов лицам, ответственным за информационную безопасность. Возможность внесения соответствующих изменений в устав организации.
• Организация взаимодействия с правоохранительными органами. Предварительное установление и поддержка контакта с правоохранительными органами.

Глава 7 - Технические предпосылки для минимизации нанесенного КИ ущерба

• Средства протоколирования. Использование средств протоколирования всех подозрительных действий, мониторинга активности пользователей для выявления КИ на ранней стадии. Обеспечение доказательственного значения файлов протоколов.
• Перекрытие технических каналов снятия информации. Основные методы несанкционированного съема информации (активные и пассивные радиозакладки, отражатели, электронно-оптические преобразователи, направленные микрофоны, стетоскопы, средства внешнего контроля). Нестандартные приемы съема информации (волноводы, тайники, ВЧ-навязывание). Некоторые средства защиты. Непрофессиональный подход к технической защите информации и его последствия.
• Обеспечение резервного копирования данных. Периодическое полное и дифференциальное копирование. Обеспечение защищенных зон для хранения информации.
• Доказательственное значение файлов протоколов в случае официального и частного расследования.
• · Дистанционная работа сотрудников как средство обеспечения безопасности информации. Диверсификация информационных ресурсов предприятия.

Глава 8 - Практические методы контроля коммуникаций в организации

• Контроль рабочих мест сотрудников. Использование кейлоггеров и "троянских" программ. Внедрение контрольного ПО на рабочие места. Обеспечение "невидимости" контрольного ПО для антивирусных программ. Снятие файлов протоколов.
• Контроль активности сотрудников. Использование методики honey pot. Отслеживание обращений к критичным файлам. Протоколирование действий сотрудников с помощью специальных программных средств.
• Контроль трафика электронной почты и обращения к Web-сайтам. Виды активности, которые требуется контролировать.
• Контроль телефонных переговоров сотрудников. Использование стандартного программного обеспечения мини-АТС.
• Использование результатов контрольных мероприятий. Анализ файлов протоколов. Построение профилей активности сотрудников. Методика реагирования на недопустимые действия сотрудников. "Мягкое" и "жесткое" пресечение недозволенной активности.

Глава 9 - Действия в случае возникновения КИ

• Неотложные действия. Алгоритм действий при возникновении инцидентов. Рекомендации NIPC США и возможность их адаптации к российским условиям.
• Взаимодействие с государственными и негосударственными органами. Решение вопроса об обращении в правоохранительные органы. Взаимодействие с негосударственными организациями и специалистами по информационной безопасности.
• Выявление и устранение предпосылок, способствовавших возникновению КИ
• Восстановление работоспособности системы после КИ согласно плану ОНРВ
• Специфика реагирования при возникновения КИ вследствие неправомерных действий отдельных представителей государственных органов. Обеспечение правовой и физической защиты информации. Документирование неправомерных действий.

Глава 10 - Действия после обращения в государственные органы

• Взаимодействие с правоохранительными органами в ходе расследования. Официальное обращение в государственные органы. Возбуждение уголовного дела.
• Выявление злоумышленника. Оценка нанесенного злоумышленником ущерба с учетом морального вреда и упущенной выгоды организации.
• Сбор доказательств преступной деятельности злоумышленника. Недопустимость применения незаконных методов сбора доказательств. Различие между служебным расследованием в рамках организации и оперативно-розыскной деятельностью. Участие правоохранительных органов.
• Представительство интересов организации на предварительном следствии и в суде. Некоторые сложности, которые могут при этом возникнуть.
• Использование статуса потерпевшего для получения информации об истинных мотивах и методах действий злоумышленника. Необходимость полного и окончательного расследования КИ. Раскрытие возможных пособников злоумышленника внутри организации.
• Устранение причин, способствовавших возникновению КИ. Обеспечение невозможности возникновения КИ в будущем.

Глава 11 - Изъятие и исследование компьютерной техники и носителей информации

• Правовые основы для изъятия и исследования компьютерной техники. Основные принципы изъятия имущества в ходе расследования уголовного дела (обыск, выемка, осмотр, добровольная выдача) и в административном порядке (осмотр). Правовой статус специалиста.
• Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники.
• Методика исследования компьютерной техники. Общие принципы исследования техники. Программное средство EnCase. Выводы эксперта и экспертное заключение.

Глава 12 - Практическая работа - расследование реального инцидента

• Постановка задачи. Вводная информация о выявлении инцидента в сфере информационной безопасности.
• Планирование расследования. Самостоятельное планирование хода расследования слушателями. Групповое обсуждение и корректировка плана.
• Пошаговое расследование инцидента. Самостоятельное поэтапное проведение полного цикла расследования с использованием информации, добытой на каждом этапе. Исследование зараженного компьютера. Составление всех необходимых документов. Использование технических средств и организация поисковых мероприятий в сети Интернет.