ул. Райымбека, д. 348, оф. 900
(727) 3-909-200, 3-909-220, 3-909-230
ул. Иманбаевой, д. 5а, оф. 301
(7172) 97-43-81, 97-43-77, 97-43-88

Ближайшие курсы

через 40 дней
5 дней (40 академ. часов)
Алматы
Записаться
на подходящую для вас дату

Что включено в курс?

  • Длительность обучения в очном формате составляет 8 академических часов в день (1 академический час равен 45 минутам); учебные курсы состоят из теоретических лекций и практических занятий, проводимых под руководством инструктора, а также самостоятельных работ слушателей.
  • Каждый слушатель обеспечивается индивидуальным рабочим местом, оборудованным персональным компьютером; характеристики компьютеров соответствуют определённому в теме курса программному обеспечению и требованиям к данному курсу.
  • Классы оснащены мультимедийной аппаратурой (проектор и экран), маркерной доской (черной или белой).
  • В учебных классах обеспечивается доступ в интернет.
  • Занятия проводят сертифицированные инструкторы, имеющие высокую квалификацию и большой опыт преподавания.
  • Каждому слушателю выдается в постоянное пользование пакет, содержащий: учебно-методическое пособие, дополнительные раздаточные материалы, инструкции, презентации, канцелярские принадлежности. Количество пакетов соответствует количеству слушателей курса.
  • Во время перерывов слушатели обеспечены трехразовым питанием: полноценный горячий обед в ресторане или кафе и два кофе-брейка.
  • По окончании курса каждому слушателю выдаются сертификаты установленного образца, предварительно согласованные с заказчиком.

[ИБ208]
Предотвращение и расследование киберпреступлений

Продолжительность курса: 5 дней (40 академ. часов)

Аннотация 
В ходе изучения данного курса слушатели приобретают практические навыки поиска цифровых следов в компьютерных системах, фиксации этих следов в качестве доказательств по гражданским и уголовным делам; научатся анализировать собранные материалы с целью выявления источника атаки и восстановления работоспособности системы, а также документировать противоправные действия злоумышленников. 

Аудитория 
Специалисты, уже имеющие опыт практического использования современных технологий в сфере информационной безопасности. 

Результаты курса 
По окончании настоящего курса слушатели научатся:

·       Определять последовательности действий при расследовании

·       Правильно писать экспертное заключение

·       Выявлять объекты, содержащие уличающую информацию

·       Самостоятельно разбираться с хронологией событий при инциденте

·       Определять различные методы сокрытия данных от обнаружения

·       Выявлять все следы совершения преступления и найти виновных лиц

·       Анализировать собранные материалы

·       Основным принципам изъятия компьютерной техники

·       Применять полученные знания на практике

Программа 

1. Введение.

·      Информация и ее роль. Основные понятия в сфере оборота информации.

·      Факторы угроз для информации и их классификация.

·      Понятие компьютерного инцидента (КИ). Некоторые примеры инцидентов.

·      Понятие и классификация КИ. Узкое и расширенное толкование КИ.

·      Основные предпосылки для возникновения КИ.

·      Возможные последствия несанкционированного доступа к критически важной информации.

·      Неизбежность КИ как следствие невозможности создания абсолютной защиты.

·      Основные стадии КИ (подготовка, развитие, скрытие следов).

2. Расследование инцидентов информационной безопасности.

·      Цели расследования инцидентов информационной безопасности.

·      Основные субъекты таких расследований.

·      Неотложные действия после инцидента информационной безопасности.

·      Последовательность действий при расследовании.

·      Работа с лог-файлами. Анализ лог-файлов сетевого трафика.

·      Что такое сервис whois.

·      Утилита tracert.

·      Какую информацию может дать провайдерская компания.

3. Правовые основы производства экспертиз. 

·      Правовая регламентация производства экспертиз по гражданским и уголовным делам.

·      Процессуальный статус эксперта и соблюдение норм законодательства.

·      Требования к экспертному заключению.

·      Допрос эксперта в суде.

4. Изъятие и исследование компьютерной техники и носителей информации.

·      Правовые основы для изъятия и исследования компьютерной техники.

·      Основные принципы изъятия имущества в ходе расследования уголовного дела (обыск, выемка, осмотр, добровольная выдача) и в административном порядке (осмотр).

·      Правовой статус специалиста.

·      Методика изъятия компьютерной техники и носителей информации.

·      Обеспечение доказательственного значения изъятых материалов.

·      Описание и пломбирование техники.

·      Методика исследования компьютерной техники.

·      Общие принципы исследования техники.

·      Программное средство EnCase.

·      Выводы эксперта и экспертное заключение.

5. Производство компьютерно-технической экспертизы.

·      Основное оборудование и программные средства, необходимые для производства экспертизы.

·      Блокираторы записи и дубликаторы.

·      Экспертные системы – EnCase, Paraben Commander, Forensic Toolkit.

·      Возможные виды проводимых исследований.

·      Планирование экспертизы в зависимости от вопросов, сформулированных следователем.

6. Поиск уликовой информации на компьютерах.

·      Основные принципы изъятия компьютерной техники.

·      В каких объектах содержится уликовая информация.

·      Методы сокрытия таких данных от обнаружения.

·      Исследование реестра ОС. Системы сбора и анализа журналов ОС.

·      Корреляция событий. Создание и исследование Timeline.

·      Исследование дампов оперативной памяти.

·      Поиск информации с помощью системы Paraben Commander.

7. Поиск сообщений электронной почты.

·      Основные почтовые программы и места, где они сохраняют данные.

·      Чтение почты с помощью Paraben Commander.

·      Структура почтового сообщения.

·      Анализ служебной информации.

8. Работа с криптографией.

·      Основные средства криптографической защиты.

·      AES, EFS, PGP, архиваторы с шифрованием, офисные пакеты, базы данных.

·      Основы поиска зашифрованных данных.

·      Вскрытие защищённых данных.

·      Программное обеспечение Passware Forensic Kit.

·      Программное обеспечение ElcomSoft Password Recovery Bundle.

·      Взлом хешей MD5, SHA-1, SHA-256, LM, NTLM и т.д.

·      Извлечение паролей из браузеров, программ для мгновенного обмена сообщениями и других программ.

9. Практическая работа - расследование реального киберпреступления

·      Постановка задачи.

·      Вводная информация о выявлении инцидента в сфере информационной безопасности.

·      Планирование расследования.

·      Самостоятельное планирование хода расследования слушателями.

·      Групповое обсуждение и корректировка плана.

·      Пошаговое расследование инцидента.

·      Самостоятельное поэтапное проведение полного цикла расследования с использованием информации, добытой на каждом этапе.

·      Исследование зараженного компьютера.

·      Составление всех необходимых документов.

·      Использование технических средств и организация поисковых мероприятий в сети Интернет.

Другие курсы

БКС БКС. Безопасность компьютерных сетей  
ИБ200 Обеспечение безопасности облачных вычислений  
ИБ201 Информационная безопасность Web-приложений  
ИБ202 NEW!!! Управление рисками информационной безопасности. ИСО 27005. 28 сентября
ИБ203 Аудит информационной безопасности. ИСО 27001 25 сентября
ИБ204 NEW!!! Тестирование на проникновение хакера и анализ безопасности 13 ноября
ИБ205 NEW!!! Расследование хакерских инцидентов 6 ноября
ИБ206 Периметровая защита 6 ноября
ИБ207 Защита инфраструктуры сетей 4 декабря
ИБ208 Предотвращение и расследование киберпреступлений 30 октября
ИБ300 NEW!!! Cистема управления информационной безопасностью. СТ РК ISO/IEC 27001-2015. Подготовка к аттестации ИС. 2 октября, 16 октября
ИБ301 Система управления информационной безопасностью. ИСО/МЭК 27001. 9 октября
ИБ302 Система управления рисками. ИСО 31000 16 октября
ИБ303 Система управления непрерывностью бизнеса. ИСО 22301. 25 сентября
ИБ304 NEW! Система Управления Антикоррупционными мероприятиями. ИСО 37001 23 октября
ИБ305 NEW!!! Управление инцидентами информационной безопасности. ИСО/МЭК 27035. 13 ноября
ИБ306 NEW!!! Организация конфиденциального делопроизводства 4 декабря
РКИ Расследование компьютерных инцидентов