17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Программа курса "Управление инцидентами"
1. Управление
инцидентами
информационной
безопасности
Обзор
курса
В
9.13
система
предотвращения
вторжений,
а
за
ней
и
межсетевой
экран
отобразили
сообщения
о
попытках
несанкционированного
доступа
к
системе
начисления
зарплаты
предприятия.
В
10.02
была
зафиксирована
широкомасштабная
DDoS-‐атака
на
Web-‐сайт
компании,
а
в
16.37
в
банковской
внутренней
сети
началась
массовая
эпидемия
новой
вредоносной
программы…
Готовы
ли
вы
к
этим
событиям?
Знаете
ли
вы
и
ваши
пользователи,
как
быстро
и
эффективно,
не
теряя
лишних
минут,
реагировать
на
любые
нештатные
ситуации?
Существует
ли
у
вас
команда
реагирования
на
инциденты
безопасности?
Какие
функции
на
нее
должны
быть
возложены
и
какими
полномочиями
она
должна
обладать?
Как
отследить
реальный
адрес
нарушителя?
Как
собрать
доказательства
компьютерных
преступлений
для
различных
видов
платформ
и
для
различных
видов
нарушений?
Как
общаться
с
акционерами,
клиентами
и
журналистами,
задающими
«неправильные»
вопросы
о
взломе
вашей
сети?
На
все
эти
вопросы
ответит
курс
«Управление
инцидентами».
В
курсе
«Управление
инцидентами
информационной
безопасности»
систематизирована
информация
по
всему
жизненному
циклу
управления
инцидентами
информационной
безопасности
–
от
этапа
подготовки
и
создания
группы
реагирования
до
момента
расследования,
сбора
доказательств
и
общения
с
правоохранительными
органами.
Для
кого
предназначен
курс
Курс
ориентирован
на
3
категории
специалистов:
• На
руководителей
служб
безопасности
(CSO),
отделов
информационной
безопасности
(CISO),
экспертов
по
безопасности,
руководителей
и
сотрудников
групп
управления
инцидентами
и
т.п.
• На
провайдеров
услуг
реагирования
на
инциденты
и
услуг
предоставления
центров
управления
безопасностью
(Security
Operations
Center,
SOC).
• На
интеграторов
и
консультантов,
выполняющих
работы
по
информационной
безопасности
для
своих
заказчиков.
Основные
темы
курса
В
курсе
«Управление
инцидентами
информационной
безопасности»
рассматриваются
ключевые
темы,
связанные
с
управлением
инцидентами
–
от
выбора
между
стратегиями
«защитить
и
забыть»
и
«поймать
и
наказать»
и
до
детальной
процедуры
построения
собственной
службы
управления
инцидентами
и
расследования
отдельных
типов
инцидентов
(с
маршрутизаторами,
мобильными
устройствами,
e-‐mail
и
т.д.).
2.
1. Введение
2. Терминология
a. Что
такое
ИБ
b. В
чем
разница
между
событием,
инцидентом,
кризисом
и
катастрофой
c. Реагирование
на
инциденты,
управление
инцидентами,
расследование
инцидентов,
обработка
инцидентов
d. Жизненный
цикл
инцидента
e. Признаки
инцидентов
в
системах
ДБО
f. Какими
инцидентами
обычно
управляют
в
организациях?
3. Введение
в
управление
инцидентами
a. Ключевые
задачи
b. Кому
и
когда
нужно?
Место
в
системе
ИБ
на
предприятии
c. Нормативные
документы,
требующие
управлять
инцидентами
-‐
СТО
БР
ИББС,
ФЗ-‐
152,
КСИИ,
ФЗ-‐161
и
т.п.
d. Ошибки
при
расследовании
инцидентов
e. Произошел
инцидент!
Знаете
ли
вы
что
делать
или
зачем
нужна
формализация
процесса?
f. Оценка
стоимости
инцидентам
4. Кто
должен
управлять
инцидентами
a. Корпоративное
расследование
b. Расследование
как
услуга
c. Обращение
в
правоохранительные
органы.
Как
расследуют
инциденты
в
МВД?
3. d. Кого
выбрать?
e. Российские
CERT
5. С
чего
начать
или
создание
программы
управления
инцидентами
a. Выбор
стратегии
b. С
чего
начать?
c. Что
такое
CSIRT
d. Идентификация
участников
e. Получение
поддержки
у
руководства
f. Разработка
плана
проекта
g. Сбор
информации
h. Идентификация
задач,
решаемые
CSIRT
i. Определение
миссии
CSIRT
j. Получение
бюджетов
для
CSIRT
k. Выбор
сервисов,
оказываемых
CSIRT
l. Определение
модели,
места
в
иерархии
и
власти
CSIRT
m. Определение
требуемых
ресурсов
n. Определение
взаимодействия,
интерфейсов
и
точек
контакта
o. Определение
ролей
и
ответственность
p. Документация
процессов
q. Разработка
политик
и
процедур
r. Создание
плана
внедрения
s. Анонс
CSIRT
t. Определение
методов
оценки
эффективности
u. Определение
резервного
плана
v. Юридические
вопросы
6. Сервис
«Обработка
инцидентов»
a. Систематизация
b. Обработка
c. Уведомления
i. Обязательность
отчетности
об
инцидентах
ii. Обязательность
формы
отчетности
об
инцидентах
iii. Форма
отчетности
Банка
России
по
2831-‐У
iv. Частота
отчетности
об
инцидентах
d. Обратная
связь
e. Отдельные
аспекты
7. Сервис
«Сбор
доказательств»
a. Виды
сбора
доказательств
i. Сбор
доказательств
на
ПК
ii. Сбор
доказательств
в
сети
iii. Сбор
доказательств
в
электронной
почте
iv. Сбор
доказательств
в
Web
v. Сбор
доказательств
в
Интернет
4. 8.
9.
10.
11.
12.
vi. Анализ
исходных
кодов
vii. Сбор
доказательств
на
мобильных
устройствах
viii. Сбор
доказательств
на
неуправляемых
устройствах
b. Методология
сбора
i. Подготовка
ii. Документирование
iii. Проверка
политик
iv. Стратегия
сбора
доказательств
v. Инициация
сбора
доказательств
vi. Сбор
доказательств
vii. Экспертиза
собранных
доказательств
c. Что
сделать
в
первую
очередь?
d. Юридические
аспекты
Сервис
«Реагирование
на
инциденты»
a. Сдерживание
(локализация)
b. Устранение
c. Восстановление
d. Поиск
следов
в
других
системах
Взаимодействие
с
правоохранительными
органами
Управление
отдельными
видами
инцидентов
a. DoS
и
DDoS
b. Эпидемия
вредоносных
программ
c. Несанкционированный
доступ
(НСД)
d. Злоупотребление
полномочиями
внутренними
сотрудниками
e. Расследование
инцидентов,
связанных
с
сетевым
трафиком
(включая
Интернет)
f. Анализ
маршрутизаторов
g. Мошенничество
в
ДБО
h. Разные
инциденты
Стандарты
управления
инцидентами
и
иные
нормативные
требования
a. ГОСТ
Р
ИСО/МЭК
18044
b. ITU-‐T
E.409
c. RFC
2350
d. NIST
SP
800-‐86
и
800-‐61
e. ISO/PAS
22399
f. CERT
g. Пошаговая
процедура
управления
инцидентами
SANS
h. СТО
БР
ИББС
i. Рекомендации
АРБ
и
НП
НПС
j. Рекомендации
Group-‐IB
k. Проект
стандарта
ISO
27037
l. Другие
требования