SlideShare une entreprise Scribd logo

Программа курса "Управление инцидентами"

Aleksey Lukatskiy
Aleksey Lukatskiy
Formation
1  sur  5
Télécharger pour lire hors ligne
Управление  инцидентами  информационной  безопасности     Обзор  курса     В  9.13  система  предотвращения  вторжений,  а  за  ней  и  межсетевой  экран  отобразили  сообщения  о   попытках   несанкционированного   доступа   к   системе   начисления   зарплаты   предприятия.   В   10.02   была   зафиксирована   широкомасштабная   DDoS-­‐атака   на   Web-­‐сайт   компании,   а   в   16.37   в   банковской   внутренней   сети   началась   массовая   эпидемия   новой   вредоносной   программы…   Готовы  ли  вы  к  этим  событиям?  Знаете  ли  вы  и  ваши  пользователи,  как  быстро  и  эффективно,  не   теряя   лишних   минут,   реагировать   на   любые   нештатные   ситуации?   Существует   ли   у   вас   команда   реагирования   на   инциденты   безопасности?   Какие   функции   на   нее   должны   быть   возложены   и   какими   полномочиями   она   должна   обладать?   Как   отследить   реальный   адрес   нарушителя?   Как   собрать   доказательства   компьютерных   преступлений   для   различных   видов   платформ   и   для   различных   видов   нарушений?   Как   общаться   с   акционерами,   клиентами   и   журналистами,   задающими   «неправильные»   вопросы   о   взломе   вашей   сети?   На   все   эти   вопросы   ответит   курс   «Управление  инцидентами».     В   курсе   «Управление   инцидентами   информационной   безопасности»   систематизирована   информация   по   всему   жизненному   циклу   управления   инцидентами   информационной   безопасности  –  от  этапа  подготовки  и  создания  группы  реагирования  до  момента  расследования,   сбора  доказательств  и  общения  с  правоохранительными  органами.     Для  кого  предназначен  курс     Курс  ориентирован  на  3  категории  специалистов:   • На   руководителей   служб   безопасности   (CSO),   отделов   информационной   безопасности   (CISO),   экспертов   по   безопасности,   руководителей   и   сотрудников   групп   управления   инцидентами  и  т.п.   • На   провайдеров   услуг   реагирования   на   инциденты   и   услуг   предоставления   центров   управления  безопасностью  (Security  Operations  Center,  SOC).   • На   интеграторов   и   консультантов,   выполняющих   работы   по   информационной   безопасности  для  своих  заказчиков.     Основные  темы  курса     В   курсе   «Управление   инцидентами   информационной   безопасности»   рассматриваются   ключевые   темы,   связанные   с   управлением   инцидентами   –   от   выбора   между   стратегиями   «защитить   и   забыть»   и   «поймать   и   наказать»   и   до   детальной   процедуры   построения   собственной   службы   управления   инцидентами   и   расследования   отдельных   типов   инцидентов   (с   маршрутизаторами,   мобильными  устройствами,  e-­‐mail  и  т.д.).    
    1. Введение   2. Терминология   a. Что  такое  ИБ   b. В  чем  разница  между  событием,  инцидентом,  кризисом  и  катастрофой   c. Реагирование   на   инциденты,   управление   инцидентами,   расследование   инцидентов,  обработка  инцидентов   d. Жизненный  цикл  инцидента   e. Признаки  инцидентов  в  системах  ДБО   f. Какими  инцидентами  обычно  управляют  в  организациях?   3. Введение  в  управление  инцидентами   a. Ключевые  задачи   b. Кому  и  когда  нужно?  Место  в  системе  ИБ  на  предприятии   c. Нормативные   документы,   требующие   управлять   инцидентами   -­‐   СТО   БР   ИББС,   ФЗ-­‐ 152,  КСИИ,  ФЗ-­‐161  и  т.п.   d. Ошибки  при  расследовании  инцидентов   e. Произошел   инцидент!   Знаете   ли   вы   что   делать   или   зачем   нужна   формализация   процесса?   f. Оценка  стоимости  инцидентам   4. Кто  должен  управлять  инцидентами   a. Корпоративное  расследование   b. Расследование  как  услуга   c. Обращение  в  правоохранительные  органы.  Как  расследуют  инциденты  в  МВД?  
d. Кого  выбрать?   e. Российские  CERT   5. С  чего  начать  или  создание  программы  управления  инцидентами   a. Выбор  стратегии   b. С  чего  начать?   c. Что  такое  CSIRT   d. Идентификация  участников   e. Получение  поддержки  у  руководства   f. Разработка  плана  проекта   g. Сбор  информации   h. Идентификация  задач,  решаемые  CSIRT   i. Определение  миссии  CSIRT   j. Получение  бюджетов  для  CSIRT   k. Выбор  сервисов,  оказываемых  CSIRT   l. Определение  модели,  места  в  иерархии  и  власти  CSIRT   m. Определение  требуемых  ресурсов   n. Определение  взаимодействия,  интерфейсов  и  точек  контакта   o. Определение  ролей  и  ответственность   p. Документация  процессов   q. Разработка  политик  и  процедур   r. Создание  плана  внедрения   s. Анонс  CSIRT   t. Определение  методов  оценки  эффективности   u. Определение  резервного  плана   v. Юридические  вопросы   6. Сервис  «Обработка  инцидентов»   a. Систематизация   b. Обработка   c. Уведомления   i. Обязательность  отчетности  об  инцидентах   ii. Обязательность  формы  отчетности  об  инцидентах   iii. Форма  отчетности  Банка  России  по  2831-­‐У   iv. Частота  отчетности  об  инцидентах   d. Обратная  связь   e. Отдельные  аспекты   7. Сервис  «Сбор  доказательств»   a. Виды  сбора  доказательств   i. Сбор  доказательств  на  ПК   ii. Сбор  доказательств  в  сети   iii. Сбор  доказательств  в  электронной  почте   iv. Сбор  доказательств  в  Web   v. Сбор  доказательств  в  Интернет  
8. 9. 10. 11. 12. vi. Анализ  исходных  кодов   vii. Сбор  доказательств  на  мобильных  устройствах   viii. Сбор  доказательств  на  неуправляемых  устройствах   b. Методология  сбора   i. Подготовка   ii. Документирование   iii. Проверка  политик   iv. Стратегия  сбора  доказательств   v. Инициация  сбора  доказательств   vi. Сбор  доказательств   vii. Экспертиза  собранных  доказательств   c. Что  сделать  в  первую  очередь?   d. Юридические  аспекты   Сервис  «Реагирование  на  инциденты»   a. Сдерживание  (локализация)   b. Устранение   c. Восстановление   d. Поиск  следов  в  других  системах   Взаимодействие  с  правоохранительными  органами   Управление  отдельными  видами  инцидентов   a. DoS  и  DDoS   b. Эпидемия  вредоносных  программ   c. Несанкционированный  доступ  (НСД)   d. Злоупотребление  полномочиями  внутренними  сотрудниками   e. Расследование  инцидентов,  связанных  с  сетевым  трафиком  (включая  Интернет)   f. Анализ  маршрутизаторов   g. Мошенничество  в  ДБО   h. Разные  инциденты   Стандарты  управления  инцидентами  и  иные  нормативные  требования   a. ГОСТ  Р  ИСО/МЭК  18044   b. ITU-­‐T  E.409   c. RFC  2350   d. NIST  SP  800-­‐86  и  800-­‐61   e. ISO/PAS  22399   f. CERT   g. Пошаговая  процедура  управления  инцидентами  SANS   h. СТО  БР  ИББС   i. Рекомендации  АРБ  и  НП  НПС   j. Рекомендации  Group-­‐IB   k. Проект  стандарта  ISO  27037   l. Другие  требования    
  Продолжительность  курса     8  академических  часов    

Recommandé

Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"
Aleksey Lukatskiy
 
Управление ИБ
Управление ИБУправление ИБ
Управление ИБ
Aleksey Lukatskiy
 
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"
Aleksey Lukatskiy
 
Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"
Aleksey Lukatskiy
 
Моделирование угроз 2.0
Моделирование угроз 2.0Моделирование угроз 2.0
Моделирование угроз 2.0
Aleksey Lukatskiy
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
 
Финансовое измерение эффективности иб
Финансовое измерение эффективности ибФинансовое измерение эффективности иб
Финансовое измерение эффективности иб
Aleksey Lukatskiy
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Aleksey Lukatskiy
 

Recommandé

Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"
Aleksey Lukatskiy
 
Управление ИБ
Управление ИБУправление ИБ
Управление ИБ
Aleksey Lukatskiy
 
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"
Aleksey Lukatskiy
 
Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"
Aleksey Lukatskiy
 
Моделирование угроз 2.0
Моделирование угроз 2.0Моделирование угроз 2.0
Моделирование угроз 2.0
Aleksey Lukatskiy
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
 
Финансовое измерение эффективности иб
Финансовое измерение эффективности ибФинансовое измерение эффективности иб
Финансовое измерение эффективности иб
Aleksey Lukatskiy
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Aleksey Lukatskiy
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
DialogueScience
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
КРОК
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
Dmitry Savchenko
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Cisco Russia
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028
Diana Frolova
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
Solar Security
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
Aleksey Lukatskiy
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
Diana Frolova
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
Alexander Dorofeev
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
Expolink
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
Aleksey Lukatskiy
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
Aleksey Lukatskiy
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пм
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2
Vlad Bezmaly
 
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
UISGCON
 

Contenu connexe

Tendances

Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
DialogueScience
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Cisco Russia
 

Tendances (20)

Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пм
 

Similaire à Программа курса "Управление инцидентами"

Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
UISGCON
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
RISClubSPb
 
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
DialogueScience
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир Безмалый
RISClubSPb
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
Datamodel
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Ирония безопасности
 
Доктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступленияДоктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступления
Expolink
 
Доктор Веб. Вячеслав Медведев. "Почему вирусы до сих пор существуют? Готовы л...
Доктор Веб. Вячеслав Медведев. "Почему вирусы до сих пор существуют? Готовы л...Доктор Веб. Вячеслав Медведев. "Почему вирусы до сих пор существуют? Готовы л...
Доктор Веб. Вячеслав Медведев. "Почему вирусы до сих пор существуют? Готовы л...
Expolink
 
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Positive Hack Days
 

Similaire à Программа курса "Управление инцидентами" (20)

расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2
 
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
 
Расследование
РасследованиеРасследование
Расследование
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
 
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир Безмалый
 
Cisco 2018
Cisco 2018Cisco 2018
Cisco 2018
 
Практический опыт реализации системы антифрода промышленного производства – о...
Практический опыт реализации системы антифрода промышленного производства – о...Практический опыт реализации системы антифрода промышленного производства – о...
Практический опыт реализации системы антифрода промышленного производства – о...
 
"CyberGuard — проект государственно-частного партнерства по созданию киберцен...
"CyberGuard — проект государственно-частного партнерства по созданию киберцен..."CyberGuard — проект государственно-частного партнерства по созданию киберцен...
"CyberGuard — проект государственно-частного партнерства по созданию киберцен...
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
Check Point Report 2013 RU
Check Point Report 2013 RUCheck Point Report 2013 RU
Check Point Report 2013 RU
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
 
Андрей Брызгин_Group-IB
Андрей Брызгин_Group-IBАндрей Брызгин_Group-IB
Андрей Брызгин_Group-IB
 
Доктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступленияДоктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступления
 
Управление киберрисками во взаимосвязанном мире
Управление киберрисками во взаимосвязанном миреУправление киберрисками во взаимосвязанном мире
Управление киберрисками во взаимосвязанном мире
 
Доктор Веб. Вячеслав Медведев. "Почему вирусы до сих пор существуют? Готовы л...
Доктор Веб. Вячеслав Медведев. "Почему вирусы до сих пор существуют? Готовы л...Доктор Веб. Вячеслав Медведев. "Почему вирусы до сих пор существуют? Готовы л...
Доктор Веб. Вячеслав Медведев. "Почему вирусы до сих пор существуют? Готовы л...
 
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
 
Phd13 kotenko
Phd13 kotenkoPhd13 kotenko
Phd13 kotenko
 

Plus de Aleksey Lukatskiy

Plus de Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 

Программа курса "Управление инцидентами"

  • 1. Управление  инцидентами  информационной  безопасности     Обзор  курса     В  9.13  система  предотвращения  вторжений,  а  за  ней  и  межсетевой  экран  отобразили  сообщения  о   попытках   несанкционированного   доступа   к   системе   начисления   зарплаты   предприятия.   В   10.02   была   зафиксирована   широкомасштабная   DDoS-­‐атака   на   Web-­‐сайт   компании,   а   в   16.37   в   банковской   внутренней   сети   началась   массовая   эпидемия   новой   вредоносной   программы…   Готовы  ли  вы  к  этим  событиям?  Знаете  ли  вы  и  ваши  пользователи,  как  быстро  и  эффективно,  не   теряя   лишних   минут,   реагировать   на   любые   нештатные   ситуации?   Существует   ли   у   вас   команда   реагирования   на   инциденты   безопасности?   Какие   функции   на   нее   должны   быть   возложены   и   какими   полномочиями   она   должна   обладать?   Как   отследить   реальный   адрес   нарушителя?   Как   собрать   доказательства   компьютерных   преступлений   для   различных   видов   платформ   и   для   различных   видов   нарушений?   Как   общаться   с   акционерами,   клиентами   и   журналистами,   задающими   «неправильные»   вопросы   о   взломе   вашей   сети?   На   все   эти   вопросы   ответит   курс   «Управление  инцидентами».     В   курсе   «Управление   инцидентами   информационной   безопасности»   систематизирована   информация   по   всему   жизненному   циклу   управления   инцидентами   информационной   безопасности  –  от  этапа  подготовки  и  создания  группы  реагирования  до  момента  расследования,   сбора  доказательств  и  общения  с  правоохранительными  органами.     Для  кого  предназначен  курс     Курс  ориентирован  на  3  категории  специалистов:   • На   руководителей   служб   безопасности   (CSO),   отделов   информационной   безопасности   (CISO),   экспертов   по   безопасности,   руководителей   и   сотрудников   групп   управления   инцидентами  и  т.п.   • На   провайдеров   услуг   реагирования   на   инциденты   и   услуг   предоставления   центров   управления  безопасностью  (Security  Operations  Center,  SOC).   • На   интеграторов   и   консультантов,   выполняющих   работы   по   информационной   безопасности  для  своих  заказчиков.     Основные  темы  курса     В   курсе   «Управление   инцидентами   информационной   безопасности»   рассматриваются   ключевые   темы,   связанные   с   управлением   инцидентами   –   от   выбора   между   стратегиями   «защитить   и   забыть»   и   «поймать   и   наказать»   и   до   детальной   процедуры   построения   собственной   службы   управления   инцидентами   и   расследования   отдельных   типов   инцидентов   (с   маршрутизаторами,   мобильными  устройствами,  e-­‐mail  и  т.д.).    
  • 2.     1. Введение   2. Терминология   a. Что  такое  ИБ   b. В  чем  разница  между  событием,  инцидентом,  кризисом  и  катастрофой   c. Реагирование   на   инциденты,   управление   инцидентами,   расследование   инцидентов,  обработка  инцидентов   d. Жизненный  цикл  инцидента   e. Признаки  инцидентов  в  системах  ДБО   f. Какими  инцидентами  обычно  управляют  в  организациях?   3. Введение  в  управление  инцидентами   a. Ключевые  задачи   b. Кому  и  когда  нужно?  Место  в  системе  ИБ  на  предприятии   c. Нормативные   документы,   требующие   управлять   инцидентами   -­‐   СТО   БР   ИББС,   ФЗ-­‐ 152,  КСИИ,  ФЗ-­‐161  и  т.п.   d. Ошибки  при  расследовании  инцидентов   e. Произошел   инцидент!   Знаете   ли   вы   что   делать   или   зачем   нужна   формализация   процесса?   f. Оценка  стоимости  инцидентам   4. Кто  должен  управлять  инцидентами   a. Корпоративное  расследование   b. Расследование  как  услуга   c. Обращение  в  правоохранительные  органы.  Как  расследуют  инциденты  в  МВД?  
  • 3. d. Кого  выбрать?   e. Российские  CERT   5. С  чего  начать  или  создание  программы  управления  инцидентами   a. Выбор  стратегии   b. С  чего  начать?   c. Что  такое  CSIRT   d. Идентификация  участников   e. Получение  поддержки  у  руководства   f. Разработка  плана  проекта   g. Сбор  информации   h. Идентификация  задач,  решаемые  CSIRT   i. Определение  миссии  CSIRT   j. Получение  бюджетов  для  CSIRT   k. Выбор  сервисов,  оказываемых  CSIRT   l. Определение  модели,  места  в  иерархии  и  власти  CSIRT   m. Определение  требуемых  ресурсов   n. Определение  взаимодействия,  интерфейсов  и  точек  контакта   o. Определение  ролей  и  ответственность   p. Документация  процессов   q. Разработка  политик  и  процедур   r. Создание  плана  внедрения   s. Анонс  CSIRT   t. Определение  методов  оценки  эффективности   u. Определение  резервного  плана   v. Юридические  вопросы   6. Сервис  «Обработка  инцидентов»   a. Систематизация   b. Обработка   c. Уведомления   i. Обязательность  отчетности  об  инцидентах   ii. Обязательность  формы  отчетности  об  инцидентах   iii. Форма  отчетности  Банка  России  по  2831-­‐У   iv. Частота  отчетности  об  инцидентах   d. Обратная  связь   e. Отдельные  аспекты   7. Сервис  «Сбор  доказательств»   a. Виды  сбора  доказательств   i. Сбор  доказательств  на  ПК   ii. Сбор  доказательств  в  сети   iii. Сбор  доказательств  в  электронной  почте   iv. Сбор  доказательств  в  Web   v. Сбор  доказательств  в  Интернет  
  • 4. 8. 9. 10. 11. 12. vi. Анализ  исходных  кодов   vii. Сбор  доказательств  на  мобильных  устройствах   viii. Сбор  доказательств  на  неуправляемых  устройствах   b. Методология  сбора   i. Подготовка   ii. Документирование   iii. Проверка  политик   iv. Стратегия  сбора  доказательств   v. Инициация  сбора  доказательств   vi. Сбор  доказательств   vii. Экспертиза  собранных  доказательств   c. Что  сделать  в  первую  очередь?   d. Юридические  аспекты   Сервис  «Реагирование  на  инциденты»   a. Сдерживание  (локализация)   b. Устранение   c. Восстановление   d. Поиск  следов  в  других  системах   Взаимодействие  с  правоохранительными  органами   Управление  отдельными  видами  инцидентов   a. DoS  и  DDoS   b. Эпидемия  вредоносных  программ   c. Несанкционированный  доступ  (НСД)   d. Злоупотребление  полномочиями  внутренними  сотрудниками   e. Расследование  инцидентов,  связанных  с  сетевым  трафиком  (включая  Интернет)   f. Анализ  маршрутизаторов   g. Мошенничество  в  ДБО   h. Разные  инциденты   Стандарты  управления  инцидентами  и  иные  нормативные  требования   a. ГОСТ  Р  ИСО/МЭК  18044   b. ITU-­‐T  E.409   c. RFC  2350   d. NIST  SP  800-­‐86  и  800-­‐61   e. ISO/PAS  22399   f. CERT   g. Пошаговая  процедура  управления  инцидентами  SANS   h. СТО  БР  ИББС   i. Рекомендации  АРБ  и  НП  НПС   j. Рекомендации  Group-­‐IB   k. Проект  стандарта  ISO  27037   l. Другие  требования    
  • 5.   Продолжительность  курса     8  академических  часов