Главная страница

Тематический план КК. Программа курсов повышения квалификации основы компьютерной криминалистики


Скачать 115.82 Kb.
НазваниеПрограмма курсов повышения квалификации основы компьютерной криминалистики
Дата23.12.2022
Размер115.82 Kb.
Формат файлаdocx
Имя файлаТематический план КК.docx
ТипПрограмма
#859979





Факультет информационных технологий

Кафедра «Системы информационной безопасности»

Программа курсов повышения квалификации


ОСНОВЫ КОМПЬЮТЕРНОЙ КРИМИНАЛИСТИКИ

И МЕТОДИКИ РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


Разработали:

доцент, к.т.н. __________ /О.М. Голембиовская/

ассистент каф. «СИБ» __________/М.М.Голембиовский

аспирант __________/А.И.Банников


Утвердил:

Заведующий кафедрой «СИБ»

доцент, к.т.н. __________ /М.Ю. Рытов/
Брянск 2021

1. ЦЕЛЬ ОСВОЕНИЯ НАПРАВЛЕНИЯ

Целью освоения программы «Основы компьютерной криминалистики и методики реагирования на инциденты ИБ» является приобретение знаний по компьютерной криминалистике и правовым обеспечениям расследований инцидентов информационной безопасности, умений и навыков экспертного исследования объектов компьютерной экспертизы.

2.СОДЕРЖАНИЕ курсов повышения квалификации
2.1.Содержание разделов



п/п

Наименование темы дисциплины

Содержание

Основы компьютерной криминалистики

1

Основы компьютерной криминалистики

Введение в компьютерную криминалистику. Специальность – компьютерный криминалист. Особенности современных подходов: Windows криминалистика, артефакты диспетчера задач. Утилиты Autoruns, cports.

2

Расследование инцидентов ИБ. Образ жесткого диска, дамп памяти.

Исследование инцидентов ИБ с возможностью аудита. Разбор и решение инцидентов ИБ. Программыанализажесткогодиска FTK Imager, Far Manager, RegistryExplorer, Dumplit.

3

Сетевая криминалистика ивспомогательные утилиты 

Исследование сетевой криминалистики. Основные программы анализа сетевого трафика. Обращение к системе командная строка(cmd). Утилиты мониторинга сети, утилита NetworkMiner, программа Wireshark.

4

Исследование дампов оперативной памяти. Востребованные компьютерно-криминалистические утилиты.

Понятие инструмент криминалистической экспертизы памяти с открытым исходным кодом. Применение. Фреймворк volatility. Вспомогательные плагины извлечения данных. Утилиты Nirsoft.

5

Артефакты ОС Windows и вспомогательные утилиты 

Исследование реестра ОС. Системы сбора и анализа журналов ОС. Обращение к системе командная строка(cmd). Утилиты паролей, утилиты,журналов и файлов. Восстановление данных.Исследование истории браузеров. Утилиты артефактов (RS BrowserForensics, USBDeview и др.)


Методики реагирования на инциденты ИБ

6

Основы реагирования на инциденты ИБ

Понятие события ИБ, понятие инцидента ИБ, управление инцидентами ИБ, классификация инцидентов ИБ, этапы реагирования на инциденты.

7

Процесс управления

инцидентами ИБ

Планирование и подготовка к менеджменту инцидентов ИБ. Политика обработки

сообщений о событиях и инцидентах ИБ. Политика менеджмента инцидентов информационной безопасности. Создание группы реагирования на инциденты информационной безопасности. Обнаружение и оповещение о событиях ИБ.

8

Техническая и другая поддержка реагирования на инциденты ИБ

Электронные базы данных событий/инцидентов ИБ и технические средства для быстрого пополнения, и обновления базы данных. SIEM-системы: IBMQRadar, MaxPatrolSIEM, ArcSight, Splunkидругие. Технологическиетрендыразвития SIEM-систем.Web application firewall, Sandbox (песочница).

9

Основные мероприятия расследования компьютерных правонарушений и инцидентов информационной безопасности

Возбуждение уголовных дел по преступлениям в сфере высоких технологий, привлечение к расследованию специалистов, осмотр места происшествия, выемка и осмотр средств компьютерной техники и носителей информации, осмотр электронных документов, оперативно-розыскные мероприятия, назначение компьютерной экспертизы.

10

Восстановление системы после инцидента ИБ

Проверка работоспособности рабочих станций и серверов, мониторинг на предмет повторной компрометации, отчетность и выводы.


3. САМОСТОЯТЕЛЬНАЯ РАБОТА


п/п

Наименование раздела дисциплины

Вид самостоятельной работы

Основы компьютерной криминалистики

1

Основы компьютерной криминалистики.

Изучение дополнительной литературы

Тестирование

2

Расследование инцидентов ИБ. Образ жесткого диска, дамп памяти.

Изучение дополнительной литературы

Тестирование

3

Сетевая криминалистика и

Изучение дополнительной литературы

Тестирование


4

  Исследование дампов оперативной памяти. Востребованные компьютерно-криминалистические утилиты.

Изучение дополнительной литературы

Тестирование

5

Артефакты ОС Windows и вспомогательные утилиты

Изучение дополнительной литературы

Тестирование

Методики реагирования на инциденты ИБ

6.

Основы реагирования на инциденты ИБ

Изучение дополнительной литературы

Тестирование

7.

Процесс управления инцидентами ИБ

Изучение дополнительной литературы

Тестирование

8.

Техническая и другая поддержка реагирования на инциденты ИБ

Изучение дополнительной литературы

Тестирование

9.

Основные мероприятия расследования компьютерных правонарушений и инцидентов информационной безопасности

Изучение дополнительной литературы

Тестирование

10.

Восстановлениесистемы после инцидента ИБ

Изучение дополнительной литературы

Тестирование



4.УЧЕБНО-МЕТОДИЧЕСКОЕ И ИНФОРМАЦИОННОЕ

ОБЕСПЕЧЕНИЕ ДИСЦИПЛИНЫ

(обновляется ежегодно)
4.1. Перечень учебно-методического обеспечения для самостоятельной работы

В учебно-методическое обеспечение включены методические указания для выполнения практических работ:

  1. Федотов Н.Н. Определение требований и стандартов информационной безопасности [Электронный ресурс]: Форензика-компьютерная криминалистика.– Москва: 2017. –340 с.

  2. Голембиовская О.М. Процессы СУИБ[Электронный ресурс]: Методические указания к выполнению практической работы для студентов очной формы обучения по направлению подготовки 10.03.01 – «Информационная безопасность». – Брянск: БГТУ, 2017. –28 с.

  3. Андреев, Б.В. Расследование преступлений в сфере компьютерной информации / Б.В. Андреев, Н.П. Пак, В.П. Хорст. – М., 2001.

  4. Производство судебной компьютерно-технической экспертизы: I. Общая часть / Л.Г. Эджубов, Е.С. Карпухина, А.И. Усов, Н.А. Хатунцев. - М.: РФЦСЭ, 2009.

  5. Усов А.И. Применение специальных познаний при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств:[сайт]. – 2020. – URL:http://jurfak.spb.ru/conference/18102000/usov.htm

  6. Разумов М. Компьютерная экспертиза на платформах Windows, часть 1: :[сайт]. – 2020. – URL: http://www.securitylab.ru/?ID=35920

  7. Методическое пособие по расследованию преступлений в сфере компьютерной информации и осуществлению прокурорского надзора за исполнением законов при их расследовании: [сайт]. – 2020. – URL: http://bukva.hl4.ru/book/source/booke_26.php

  8. Мещеряков В.А. Основы методики расследования преступлений в сфере компьютерной информации: [сайт]. – 2020. – URL: http://bukva.hl4.ru/book/s_disser/Mescheryakov-Avtref_8.php


Методические указания разработаны в соответствии с тематикой дисциплины
4.2. Перечень основной и дополнительной литературы, необходимой для освоения дисциплины
А) основная литература


  1. Информационная безопасность при управлении техническими системами [Электронный ресурс] : учебное пособие / С.А. Баркалов [и др.]. — Электрон.текстовые данные. — СПб. : Интермедия, 2017. — 528 c. — 978-5-4383-0133-2.  — Режимдоступа:http://www.iprbookshop.ru/68589.html

  2. Бузов Г.А. Практическое руководство по выявлению специальных технических средств несанкционированного получения информации [Текст] / Г. А. Бузов. - Москва : Горячая линия - Телеком, 2010. - 237 с. : ил., табл.; 21 см.; ISBN 978-5-9912-0121-6 : 500

  3. Особенности раскрытия и расследования киберпреступлений: проблемы и пути решения. [Электронный ресурс] — Электрон.дан. // Ученые записки Казанского юридического института МВД России. — 2016. — № 1. — С. . — Электронно-библиотечная система Издательства Лань Интернет / Авторизованны й Режим доступа: http://e.lanbook.com/journal/issue/

Б) дополнительная литература

  1. Чернов, Ю.Г. Психологический анализ почерка: системный подход и компьютерная реализация в психологии, криминологии и судебной экспертизе. [Электронный ресурс] — Электрон.дан. — М. : , 2016. — 466 с. — Режим доступа: http://e.lanbook.com/book/92092

  2. Маркагич, М.С. КОМПЬЮТЕРНАЯ КРИМИНАЛИСТИКА В ОБЛАСТИ ЭЛЕКТРОННОЙ ПОЧТЫ. [Электронный ресурс] — Электрон.дан. // Vojnotehnickiglasnik / MilitaryTechnicalCourier / Военнотехнический вестник. — 2013. — № 3. — С. 113-121. — Режим доступа: http://e.lanbook.com/journal/issue/2962 35


5. Тематический план

Тематический план курса повышения квалификации

«Основы компьютерной криминалистики

и методики реагирования на инциденты ИБ»






Разделы и темы


Всего

Аудиторные

занятия, час.


Самост.




часов

Лекции

Практ. занятия

работа

1.1.

Основы компьютерной криминалистики

7

1ч30м

1ч30м

4




Введение в компьютерную криминалистику. Специальность – компьютерный криминалист. Особенности современных подходов: Windows криминалистика, артефакты диспетчера задач. Утилиты Autoruns, cports.













1.2.

Расследование инцидентов ИБ. Образ жесткого диска, дамп памяти.

7

1ч30м

1ч30м

4




Расследование инцидентов ИБ. Образ жесткого диска, дамп памяти.













1.3.

Сетевая криминалистика и вспомогательные утилиты

7

1ч30м

1ч30м

4




Сетевая криминалистика и вспомогательные утилиты













1.4.

Исследование дампов оперативной памяти. Востребованные компьютерно-криминалистические утилиты.

7

1ч30м

1ч30м

4




Исследование дампов оперативной памяти. Востребованные компьютерно-криминалистические утилиты.













1.5.

Артефакты ОС Windows и вспомогательные утилиты

8

2

2

4




Исследование реестра ОС. Системы сбора и анализа журналов ОС. Обращение к системе командная строка(cmd). Утилиты паролей, утилиты,журналов и файлов. Восстановление данных. Исследование истории браузеров. Утилиты артефактов (RS BrowserForensics, USBDeview и др.)













2.1.

Основы реагирования на инциденты ИБ

7

2

1

4




Понятие события ИБ, понятие инцидента ИБ, управление инцидентами ИБ, классификация инцидентов ИБ, этапы реагирования на инциденты.













2.2.

Процесс управления инцидентами ИБ

7

2

1

4




Планирование и подготовка к менеджменту инцидентов ИБ. Политика обработкисообщений о событиях и инцидентах ИБ. Политика менеджмента инцидентов информационной безопасности. Создание группы реагирования на инциденты информационной безопасности. Обнаружение и оповещение о событиях ИБ.













2.3.

Техническая и другая поддержка реагирования на инциденты ИБ

7

2

1

4




Электронные базы данных событий/инцидентов ИБ и технические средства для быстрого пополнения, и обновления базы данных. SIEM-системы: IBM QRadar, MaxPatrol SIEM, ArcSight, Splunk и другие. Технологическиетрендыразвития SIEM-систем. Web application firewall, Sandbox (песочница).













2.4.

Основные мероприятия расследования компьютерных правонарушений и инцидентов информационной безопасности

7

2

1

4




Возбуждение уголовных дел по преступлениям в сфере высоких технологий, привлечение к расследованию специалистов, осмотр места происшествия, выемка и осмотр средств компьютерной техники и носителей информации, осмотр электронных документов, оперативно-розыскные мероприятия, назначение компьютерной экспертизы.













2.5.

Восстановление системы после инцидента ИБ

8

2

2

4




Проверка работоспособности рабочих станций и серверов, мониторинг на предмет повторной компрометации, отчетность и выводы.
















Всего:

72

20

12

40


написать администратору сайта