Факультет информационных технологий
Кафедра «Системы информационной безопасности»
Программа курсов повышения квалификации
ОСНОВЫ КОМПЬЮТЕРНОЙ КРИМИНАЛИСТИКИ
И МЕТОДИКИ РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Разработали:
доцент, к.т.н. __________ /О.М. Голембиовская/
ассистент каф. «СИБ» __________/М.М.Голембиовский
аспирант __________/А.И.Банников
Утвердил:
Заведующий кафедрой «СИБ»
доцент, к.т.н. __________ /М.Ю. Рытов/
Брянск 2021
1. ЦЕЛЬ ОСВОЕНИЯ НАПРАВЛЕНИЯ
Целью освоения программы «Основы компьютерной криминалистики и методики реагирования на инциденты ИБ» является приобретение знаний по компьютерной криминалистике и правовым обеспечениям расследований инцидентов информационной безопасности, умений и навыков экспертного исследования объектов компьютерной экспертизы.
2.СОДЕРЖАНИЕ курсов повышения квалификации
2.1.Содержание разделов
№
п/п
|
Наименование темы дисциплины
|
Содержание
|
Основы компьютерной криминалистики
|
1
|
Основы компьютерной криминалистики
|
Введение в компьютерную криминалистику. Специальность – компьютерный криминалист. Особенности современных подходов: Windows криминалистика, артефакты диспетчера задач. Утилиты Autoruns, cports.
|
2
|
Расследование инцидентов ИБ. Образ жесткого диска, дамп памяти.
|
Исследование инцидентов ИБ с возможностью аудита. Разбор и решение инцидентов ИБ. Программыанализажесткогодиска FTK Imager, Far Manager, RegistryExplorer, Dumplit.
|
3
|
Сетевая криминалистика ивспомогательные утилиты
|
Исследование сетевой криминалистики. Основные программы анализа сетевого трафика. Обращение к системе командная строка(cmd). Утилиты мониторинга сети, утилита NetworkMiner, программа Wireshark.
|
4
|
Исследование дампов оперативной памяти. Востребованные компьютерно-криминалистические утилиты.
|
Понятие инструмент криминалистической экспертизы памяти с открытым исходным кодом. Применение. Фреймворк volatility. Вспомогательные плагины извлечения данных. Утилиты Nirsoft.
|
5
|
Артефакты ОС Windows и вспомогательные утилиты
|
Исследование реестра ОС. Системы сбора и анализа журналов ОС. Обращение к системе командная строка(cmd). Утилиты паролей, утилиты,журналов и файлов. Восстановление данных.Исследование истории браузеров. Утилиты артефактов (RS BrowserForensics, USBDeview и др.)
|
Методики реагирования на инциденты ИБ
|
6
|
Основы реагирования на инциденты ИБ
|
Понятие события ИБ, понятие инцидента ИБ, управление инцидентами ИБ, классификация инцидентов ИБ, этапы реагирования на инциденты.
|
7
|
Процесс управления
инцидентами ИБ
|
Планирование и подготовка к менеджменту инцидентов ИБ. Политика обработки
сообщений о событиях и инцидентах ИБ. Политика менеджмента инцидентов информационной безопасности. Создание группы реагирования на инциденты информационной безопасности. Обнаружение и оповещение о событиях ИБ.
|
8
|
Техническая и другая поддержка реагирования на инциденты ИБ
|
Электронные базы данных событий/инцидентов ИБ и технические средства для быстрого пополнения, и обновления базы данных. SIEM-системы: IBMQRadar, MaxPatrolSIEM, ArcSight, Splunkидругие. Технологическиетрендыразвития SIEM-систем.Web application firewall, Sandbox (песочница).
|
9
|
Основные мероприятия расследования компьютерных правонарушений и инцидентов информационной безопасности
|
Возбуждение уголовных дел по преступлениям в сфере высоких технологий, привлечение к расследованию специалистов, осмотр места происшествия, выемка и осмотр средств компьютерной техники и носителей информации, осмотр электронных документов, оперативно-розыскные мероприятия, назначение компьютерной экспертизы.
|
10
|
Восстановление системы после инцидента ИБ
|
Проверка работоспособности рабочих станций и серверов, мониторинг на предмет повторной компрометации, отчетность и выводы.
|
3. САМОСТОЯТЕЛЬНАЯ РАБОТА
№ п/п
|
Наименование раздела дисциплины
|
Вид самостоятельной работы
|
Основы компьютерной криминалистики
|
1
|
Основы компьютерной криминалистики.
|
Изучение дополнительной литературы
Тестирование
|
2
|
Расследование инцидентов ИБ. Образ жесткого диска, дамп памяти.
|
Изучение дополнительной литературы
Тестирование
|
3
|
Сетевая криминалистика и
|
Изучение дополнительной литературы
Тестирование
|
4
|
Исследование дампов оперативной памяти. Востребованные компьютерно-криминалистические утилиты.
|
Изучение дополнительной литературы
Тестирование
|
5
|
Артефакты ОС Windows и вспомогательные утилиты
|
Изучение дополнительной литературы
Тестирование
|
Методики реагирования на инциденты ИБ
|
6.
|
Основы реагирования на инциденты ИБ
|
Изучение дополнительной литературы
Тестирование
|
7.
|
Процесс управления инцидентами ИБ
|
Изучение дополнительной литературы
Тестирование
|
8.
|
Техническая и другая поддержка реагирования на инциденты ИБ
|
Изучение дополнительной литературы
Тестирование
|
9.
|
Основные мероприятия расследования компьютерных правонарушений и инцидентов информационной безопасности
|
Изучение дополнительной литературы
Тестирование
|
10.
|
Восстановлениесистемы после инцидента ИБ
|
Изучение дополнительной литературы
Тестирование
|
4.УЧЕБНО-МЕТОДИЧЕСКОЕ И ИНФОРМАЦИОННОЕ
ОБЕСПЕЧЕНИЕ ДИСЦИПЛИНЫ
(обновляется ежегодно)
4.1. Перечень учебно-методического обеспечения для самостоятельной работы
В учебно-методическое обеспечение включены методические указания для выполнения практических работ:
Федотов Н.Н. Определение требований и стандартов информационной безопасности [Электронный ресурс]: Форензика-компьютерная криминалистика.– Москва: 2017. –340 с.
Голембиовская О.М. Процессы СУИБ[Электронный ресурс]: Методические указания к выполнению практической работы для студентов очной формы обучения по направлению подготовки 10.03.01 – «Информационная безопасность». – Брянск: БГТУ, 2017. –28 с.
Андреев, Б.В. Расследование преступлений в сфере компьютерной информации / Б.В. Андреев, Н.П. Пак, В.П. Хорст. – М., 2001.
Производство судебной компьютерно-технической экспертизы: I. Общая часть / Л.Г. Эджубов, Е.С. Карпухина, А.И. Усов, Н.А. Хатунцев. - М.: РФЦСЭ, 2009.
Усов А.И. Применение специальных познаний при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств:[сайт]. – 2020. – URL:http://jurfak.spb.ru/conference/18102000/usov.htm
Разумов М. Компьютерная экспертиза на платформах Windows, часть 1: :[сайт]. – 2020. – URL: http://www.securitylab.ru/?ID=35920
Методическое пособие по расследованию преступлений в сфере компьютерной информации и осуществлению прокурорского надзора за исполнением законов при их расследовании: [сайт]. – 2020. – URL: http://bukva.hl4.ru/book/source/booke_26.php
Мещеряков В.А. Основы методики расследования преступлений в сфере компьютерной информации: [сайт]. – 2020. – URL: http://bukva.hl4.ru/book/s_disser/Mescheryakov-Avtref_8.php
Методические указания разработаны в соответствии с тематикой дисциплины
4.2. Перечень основной и дополнительной литературы, необходимой для освоения дисциплины
А) основная литература
Информационная безопасность при управлении техническими системами [Электронный ресурс] : учебное пособие / С.А. Баркалов [и др.]. — Электрон.текстовые данные. — СПб. : Интермедия, 2017. — 528 c. — 978-5-4383-0133-2. — Режимдоступа:http://www.iprbookshop.ru/68589.html
Бузов Г.А. Практическое руководство по выявлению специальных технических средств несанкционированного получения информации [Текст] / Г. А. Бузов. - Москва : Горячая линия - Телеком, 2010. - 237 с. : ил., табл.; 21 см.; ISBN 978-5-9912-0121-6 : 500
Особенности раскрытия и расследования киберпреступлений: проблемы и пути решения. [Электронный ресурс] — Электрон.дан. // Ученые записки Казанского юридического института МВД России. — 2016. — № 1. — С. . — Электронно-библиотечная система Издательства Лань Интернет / Авторизованны й Режим доступа: http://e.lanbook.com/journal/issue/
Б) дополнительная литература
Чернов, Ю.Г. Психологический анализ почерка: системный подход и компьютерная реализация в психологии, криминологии и судебной экспертизе. [Электронный ресурс] — Электрон.дан. — М. : , 2016. — 466 с. — Режим доступа: http://e.lanbook.com/book/92092
Маркагич, М.С. КОМПЬЮТЕРНАЯ КРИМИНАЛИСТИКА В ОБЛАСТИ ЭЛЕКТРОННОЙ ПОЧТЫ. [Электронный ресурс] — Электрон.дан. // Vojnotehnickiglasnik / MilitaryTechnicalCourier / Военнотехнический вестник. — 2013. — № 3. — С. 113-121. — Режим доступа: http://e.lanbook.com/journal/issue/2962 35
5. Тематический план
Тематический план курса повышения квалификации
«Основы компьютерной криминалистики
и методики реагирования на инциденты ИБ»
|
Разделы и темы
|
Всего
|
Аудиторные
занятия, час.
|
Самост.
|
|
часов
|
Лекции
|
Практ. занятия
|
работа
|
1.1.
|
Основы компьютерной криминалистики
|
7
|
1ч30м
|
1ч30м
|
4
|
|
Введение в компьютерную криминалистику. Специальность – компьютерный криминалист. Особенности современных подходов: Windows криминалистика, артефакты диспетчера задач. Утилиты Autoruns, cports.
|
|
|
|
|
1.2.
|
Расследование инцидентов ИБ. Образ жесткого диска, дамп памяти.
|
7
|
1ч30м
|
1ч30м
|
4
|
|
Расследование инцидентов ИБ. Образ жесткого диска, дамп памяти.
|
|
|
|
|
1.3.
|
Сетевая криминалистика и вспомогательные утилиты
|
7
|
1ч30м
|
1ч30м
|
4
|
|
Сетевая криминалистика и вспомогательные утилиты
|
|
|
|
|
1.4.
|
Исследование дампов оперативной памяти. Востребованные компьютерно-криминалистические утилиты.
|
7
|
1ч30м
|
1ч30м
|
4
|
|
Исследование дампов оперативной памяти. Востребованные компьютерно-криминалистические утилиты.
|
|
|
|
|
1.5.
|
Артефакты ОС Windows и вспомогательные утилиты
|
8
|
2
|
2
|
4
|
|
Исследование реестра ОС. Системы сбора и анализа журналов ОС. Обращение к системе командная строка(cmd). Утилиты паролей, утилиты,журналов и файлов. Восстановление данных. Исследование истории браузеров. Утилиты артефактов (RS BrowserForensics, USBDeview и др.)
|
|
|
|
|
2.1.
|
Основы реагирования на инциденты ИБ
|
7
|
2
|
1
|
4
|
|
Понятие события ИБ, понятие инцидента ИБ, управление инцидентами ИБ, классификация инцидентов ИБ, этапы реагирования на инциденты.
|
|
|
|
|
2.2.
|
Процесс управления инцидентами ИБ
|
7
|
2
|
1
|
4
|
|
Планирование и подготовка к менеджменту инцидентов ИБ. Политика обработкисообщений о событиях и инцидентах ИБ. Политика менеджмента инцидентов информационной безопасности. Создание группы реагирования на инциденты информационной безопасности. Обнаружение и оповещение о событиях ИБ.
|
|
|
|
|
2.3.
|
Техническая и другая поддержка реагирования на инциденты ИБ
|
7
|
2
|
1
|
4
|
|
Электронные базы данных событий/инцидентов ИБ и технические средства для быстрого пополнения, и обновления базы данных. SIEM-системы: IBM QRadar, MaxPatrol SIEM, ArcSight, Splunk и другие. Технологическиетрендыразвития SIEM-систем. Web application firewall, Sandbox (песочница).
|
|
|
|
|
2.4.
|
Основные мероприятия расследования компьютерных правонарушений и инцидентов информационной безопасности
|
7
|
2
|
1
|
4
|
|
Возбуждение уголовных дел по преступлениям в сфере высоких технологий, привлечение к расследованию специалистов, осмотр места происшествия, выемка и осмотр средств компьютерной техники и носителей информации, осмотр электронных документов, оперативно-розыскные мероприятия, назначение компьютерной экспертизы.
|
|
|
|
|
2.5.
|
Восстановление системы после инцидента ИБ
|
8
|
2
|
2
|
4
|
|
Проверка работоспособности рабочих станций и серверов, мониторинг на предмет повторной компрометации, отчетность и выводы.
|
|
|
|
|
|
Всего:
|
72
|
20
|
12
|
40
| |
Скачать 115.82 Kb.