В последние годы множество правонарушений происходит при использовании злоумышленниками информационно-телекоммуникационных технологий. В связи с одной стороны, с вирусными атаками последних лет, а с другой, с совершенствованием законодательства РФ в информационной сфере, возникает необходимость в наличии в организациях специалистов, способных к расследованию инцидентов информационной безопасности. Целью настоящего курса является обучение методам криминалистического исследования устройств и систем, сбору и документированию доказательной базы.

Компьютерная криминалистика (англ. название computer forensics) давно стала самостоятельным научным направлением, объединяющим в себе несколько дисциплин. Тем не менее знания по компьютерной криминалистике возможно обобщить в несколько блоков:

• первичное реагирование на инцидент, сбор и данных и представление в виде пригодном для дальнейшего изучения;
• знания в области файловых систем, операционных систем, прикладного ПО;
• знания в области вредоносного по, типовых схем злоумышленников;
• знания в области применения специализированного ПО, оборудования, СЗИ;
• знания в нормативной области, вопросы документирования доказательной базы.

Настоящий курс позволит классифицировать и расширить уже имеющиеся знания в информационной сфере и получить новые в области компьютерной криминалистики, сформирует у слушателя процессный подход к расследованию инцидента, научит эффективно использовать программные инструменты, реагировать на тенденции в области в предметной области.

Настоящий курс может быть прослушан отдельно, так в комплексе с курсом «Анализ угроз и уязвимостей, расследование сетевых инцидентов», что позволит получить комплексные знания о инцидентах информационной безопасности и методах их расследования, а также предугадывать и предотвращать действия злоумышленников, путем анализа защищенности сетевой инфраструктуры организации и грамотного применения СЗИ.

• Знания о аспектах нормативно-правового регулирования расследования инцидентов информационной безопасности.
• Способность к снятию информации (снятие образов носителей информации, дампов оперативной памяти), а также, в исключительных случаях, исследованию «живых» систем.
• Способность к исследованию артефактов в различных файловых системах (FAT, NTFS, ReFS, файловых системах для Linux и пр.), анализу сетевого траффика.
• Способность к работе с оборудованием (блокираторы, копировщики дисков) и специализированным ПО для криминалистических исследований.
• Способность к документированию этапов и представлению результатов исследования.

Кем работать?

Эксперт-криминалист, компьютерный криминалист, судебный компьютерный аналитик.