Факультет информационных технологий
Кафедра «Системы информационной безопасности»
Программа курсов повышения квалификации
ОСНОВЫ КОМПЬЮТЕРНОЙ КРИМИНАЛИСТИКИ
И МЕТОДИКИ РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Разработали:
доцент, к.т.н. __________ /О.М. Голембиовская/
ассистент каф. «СИБ» __________/М.М.Голембиовский
аспирант __________/А.И.Банников
Утвердил:
Заведующий кафедрой «СИБ»
доцент, к.т.н. __________ /М.Ю. Рытов/ Брянск 2021
1. ЦЕЛЬ ОСВОЕНИЯ НАПРАВЛЕНИЯ
Целью освоения программы «Основы компьютерной криминалистики и методики реагирования на инциденты ИБ» является приобретение знаний по компьютерной криминалистике и правовым обеспечениям расследований инцидентов информационной безопасности, умений и навыков экспертного исследования объектов компьютерной экспертизы.
2.СОДЕРЖАНИЕ курсов повышения квалификации 2.1.Содержание разделов
№
п/п
| Наименование темы дисциплины
| Содержание
| Основы компьютерной криминалистики
| 1
| Основы компьютерной криминалистики
| Введение в компьютерную криминалистику. Специальность – компьютерный криминалист. Особенности современных подходов: Windows криминалистика, артефакты диспетчера задач. Утилиты Autoruns, cports.
| 2
| Расследование инцидентов ИБ. Образ жесткого диска, дамп памяти.
| Исследование инцидентов ИБ с возможностью аудита. Разбор и решение инцидентов ИБ. Программыанализажесткогодиска FTK Imager, Far Manager, RegistryExplorer, Dumplit.
| 3
| Сетевая криминалистика ивспомогательные утилиты
| Исследование сетевой криминалистики. Основные программы анализа сетевого трафика. Обращение к системе командная строка(cmd). Утилиты мониторинга сети, утилита NetworkMiner, программа Wireshark.
| 4
| Исследование дампов оперативной памяти. Востребованные компьютерно-криминалистические утилиты.
| Понятие инструмент криминалистической экспертизы памяти с открытым исходным кодом. Применение. Фреймворк volatility. Вспомогательные плагины извлечения данных. Утилиты Nirsoft.
| 5
| Артефакты ОС Windows и вспомогательные утилиты
| Исследование реестра ОС. Системы сбора и анализа журналов ОС. Обращение к системе командная строка(cmd). Утилиты паролей, утилиты,журналов и файлов. Восстановление данных.Исследование истории браузеров. Утилиты артефактов (RS BrowserForensics, USBDeview и др.)
| Методики реагирования на инциденты ИБ
| 6
| Основы реагирования на инциденты ИБ
| Понятие события ИБ, понятие инцидента ИБ, управление инцидентами ИБ, классификация инцидентов ИБ, этапы реагирования на инциденты.
| 7
| Процесс управления
инцидентами ИБ
| Планирование и подготовка к менеджменту инцидентов ИБ. Политика обработки
сообщений о событиях и инцидентах ИБ. Политика менеджмента инцидентов информационной безопасности. Создание группы реагирования на инциденты информационной безопасности. Обнаружение и оповещение о событиях ИБ.
| 8
| Техническая и другая поддержка реагирования на инциденты ИБ
| Электронные базы данных событий/инцидентов ИБ и технические средства для быстрого пополнения, и обновления базы данных. SIEM-системы: IBMQRadar, MaxPatrolSIEM, ArcSight, Splunkидругие. Технологическиетрендыразвития SIEM-систем.Web application firewall, Sandbox (песочница).
| 9
| Основные мероприятия расследования компьютерных правонарушений и инцидентов информационной безопасности
| Возбуждение уголовных дел по преступлениям в сфере высоких технологий, привлечение к расследованию специалистов, осмотр места происшествия, выемка и осмотр средств компьютерной техники и носителей информации, осмотр электронных документов, оперативно-розыскные мероприятия, назначение компьютерной экспертизы.
| 10
| Восстановление системы после инцидента ИБ
| Проверка работоспособности рабочих станций и серверов, мониторинг на предмет повторной компрометации, отчетность и выводы.
|
3. САМОСТОЯТЕЛЬНАЯ РАБОТА
№ п/п
| Наименование раздела дисциплины
| Вид самостоятельной работы
| Основы компьютерной криминалистики
| 1
| Основы компьютерной криминалистики.
| Изучение дополнительной литературы
Тестирование
| 2
| Расследование инцидентов ИБ. Образ жесткого диска, дамп памяти.
| Изучение дополнительной литературы
Тестирование
| 3
| Сетевая криминалистика и
| Изучение дополнительной литературы
Тестирование
| 4
| Исследование дампов оперативной памяти. Востребованные компьютерно-криминалистические утилиты.
| Изучение дополнительной литературы
Тестирование
| 5
| Артефакты ОС Windows и вспомогательные утилиты
| Изучение дополнительной литературы
Тестирование
| Методики реагирования на инциденты ИБ
| 6.
| Основы реагирования на инциденты ИБ
| Изучение дополнительной литературы
Тестирование
| 7.
| Процесс управления инцидентами ИБ
| Изучение дополнительной литературы
Тестирование
| 8.
| Техническая и другая поддержка реагирования на инциденты ИБ
| Изучение дополнительной литературы
Тестирование
| 9.
| Основные мероприятия расследования компьютерных правонарушений и инцидентов информационной безопасности
| Изучение дополнительной литературы
Тестирование
| 10.
| Восстановлениесистемы после инцидента ИБ
| Изучение дополнительной литературы
Тестирование
|
4.УЧЕБНО-МЕТОДИЧЕСКОЕ И ИНФОРМАЦИОННОЕ
ОБЕСПЕЧЕНИЕ ДИСЦИПЛИНЫ
(обновляется ежегодно) 4.1. Перечень учебно-методического обеспечения для самостоятельной работы
В учебно-методическое обеспечение включены методические указания для выполнения практических работ:
Федотов Н.Н. Определение требований и стандартов информационной безопасности [Электронный ресурс]: Форензика-компьютерная криминалистика.– Москва: 2017. –340 с. Голембиовская О.М. Процессы СУИБ[Электронный ресурс]: Методические указания к выполнению практической работы для студентов очной формы обучения по направлению подготовки 10.03.01 – «Информационная безопасность». – Брянск: БГТУ, 2017. –28 с. Андреев, Б.В. Расследование преступлений в сфере компьютерной информации / Б.В. Андреев, Н.П. Пак, В.П. Хорст. – М., 2001. Производство судебной компьютерно-технической экспертизы: I. Общая часть / Л.Г. Эджубов, Е.С. Карпухина, А.И. Усов, Н.А. Хатунцев. - М.: РФЦСЭ, 2009. Усов А.И. Применение специальных познаний при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств:[сайт]. – 2020. – URL:http://jurfak.spb.ru/conference/18102000/usov.htm Разумов М. Компьютерная экспертиза на платформах Windows, часть 1: :[сайт]. – 2020. – URL: http://www.securitylab.ru/?ID=35920 Методическое пособие по расследованию преступлений в сфере компьютерной информации и осуществлению прокурорского надзора за исполнением законов при их расследовании: [сайт]. – 2020. – URL: http://bukva.hl4.ru/book/source/booke_26.php Мещеряков В.А. Основы методики расследования преступлений в сфере компьютерной информации: [сайт]. – 2020. – URL: http://bukva.hl4.ru/book/s_disser/Mescheryakov-Avtref_8.php
Методические указания разработаны в соответствии с тематикой дисциплины 4.2. Перечень основной и дополнительной литературы, необходимой для освоения дисциплины А) основная литература
Информационная безопасность при управлении техническими системами [Электронный ресурс] : учебное пособие / С.А. Баркалов [и др.]. — Электрон.текстовые данные. — СПб. : Интермедия, 2017. — 528 c. — 978-5-4383-0133-2. — Режимдоступа:http://www.iprbookshop.ru/68589.html Бузов Г.А. Практическое руководство по выявлению специальных технических средств несанкционированного получения информации [Текст] / Г. А. Бузов. - Москва : Горячая линия - Телеком, 2010. - 237 с. : ил., табл.; 21 см.; ISBN 978-5-9912-0121-6 : 500 Особенности раскрытия и расследования киберпреступлений: проблемы и пути решения. [Электронный ресурс] — Электрон.дан. // Ученые записки Казанского юридического института МВД России. — 2016. — № 1. — С. . — Электронно-библиотечная система Издательства Лань Интернет / Авторизованны й Режим доступа: http://e.lanbook.com/journal/issue/
Б) дополнительная литература
Чернов, Ю.Г. Психологический анализ почерка: системный подход и компьютерная реализация в психологии, криминологии и судебной экспертизе. [Электронный ресурс] — Электрон.дан. — М. : , 2016. — 466 с. — Режим доступа: http://e.lanbook.com/book/92092 Маркагич, М.С. КОМПЬЮТЕРНАЯ КРИМИНАЛИСТИКА В ОБЛАСТИ ЭЛЕКТРОННОЙ ПОЧТЫ. [Электронный ресурс] — Электрон.дан. // Vojnotehnickiglasnik / MilitaryTechnicalCourier / Военнотехнический вестник. — 2013. — № 3. — С. 113-121. — Режим доступа: http://e.lanbook.com/journal/issue/2962 35
5. Тематический план
Тематический план курса повышения квалификации
«Основы компьютерной криминалистики
и методики реагирования на инциденты ИБ»
|
Разделы и темы
|
Всего
| Аудиторные
занятия, час.
|
Самост.
|
| часов
| Лекции
| Практ. занятия
| работа
| 1.1.
| Основы компьютерной криминалистики
| 7
| 1ч30м
| 1ч30м
| 4
|
| Введение в компьютерную криминалистику. Специальность – компьютерный криминалист. Особенности современных подходов: Windows криминалистика, артефакты диспетчера задач. Утилиты Autoruns, cports.
|
|
|
|
| 1.2.
| Расследование инцидентов ИБ. Образ жесткого диска, дамп памяти.
| 7
| 1ч30м
| 1ч30м
| 4
|
| Расследование инцидентов ИБ. Образ жесткого диска, дамп памяти.
|
|
|
|
| 1.3.
| Сетевая криминалистика и вспомогательные утилиты
| 7
| 1ч30м
| 1ч30м
| 4
|
| Сетевая криминалистика и вспомогательные утилиты
|
|
|
|
| 1.4.
| Исследование дампов оперативной памяти. Востребованные компьютерно-криминалистические утилиты.
| 7
| 1ч30м
| 1ч30м
| 4
|
| Исследование дампов оперативной памяти. Востребованные компьютерно-криминалистические утилиты.
|
|
|
|
| 1.5.
| Артефакты ОС Windows и вспомогательные утилиты
| 8
| 2
| 2
| 4
|
| Исследование реестра ОС. Системы сбора и анализа журналов ОС. Обращение к системе командная строка(cmd). Утилиты паролей, утилиты,журналов и файлов. Восстановление данных. Исследование истории браузеров. Утилиты артефактов (RS BrowserForensics, USBDeview и др.)
|
|
|
|
| 2.1.
| Основы реагирования на инциденты ИБ
| 7
| 2
| 1
| 4
|
| Понятие события ИБ, понятие инцидента ИБ, управление инцидентами ИБ, классификация инцидентов ИБ, этапы реагирования на инциденты.
|
|
|
|
| 2.2.
| Процесс управления инцидентами ИБ
| 7
| 2
| 1
| 4
|
| Планирование и подготовка к менеджменту инцидентов ИБ. Политика обработкисообщений о событиях и инцидентах ИБ. Политика менеджмента инцидентов информационной безопасности. Создание группы реагирования на инциденты информационной безопасности. Обнаружение и оповещение о событиях ИБ.
|
|
|
|
| 2.3.
| Техническая и другая поддержка реагирования на инциденты ИБ
| 7
| 2
| 1
| 4
|
| Электронные базы данных событий/инцидентов ИБ и технические средства для быстрого пополнения, и обновления базы данных. SIEM-системы: IBM QRadar, MaxPatrol SIEM, ArcSight, Splunk и другие. Технологическиетрендыразвития SIEM-систем. Web application firewall, Sandbox (песочница).
|
|
|
|
| 2.4.
| Основные мероприятия расследования компьютерных правонарушений и инцидентов информационной безопасности
| 7
| 2
| 1
| 4
|
| Возбуждение уголовных дел по преступлениям в сфере высоких технологий, привлечение к расследованию специалистов, осмотр места происшествия, выемка и осмотр средств компьютерной техники и носителей информации, осмотр электронных документов, оперативно-розыскные мероприятия, назначение компьютерной экспертизы.
|
|
|
|
| 2.5.
| Восстановление системы после инцидента ИБ
| 8
| 2
| 2
| 4
|
| Проверка работоспособности рабочих станций и серверов, мониторинг на предмет повторной компрометации, отчетность и выводы.
|
|
|
|
|
| Всего:
| 72
| 20
| 12
| 40
| |