Дополнительная профессиональная программа повышения квалификации «Обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на инциденты информационной безопасности» 
Разработана на основе Профессионального стандарта "Специалист по моделированию, сбору и анализу данных цифрового следа", утвержденного приказом Министерства труда и социальной защиты Российской Федерации от 09 июля 2021г. № 462н (зарегистрирован Министерством юстиции Российской Федерации 30 июля 2021 г., регистрационный № 64502).

Данное обучение актуально, если вы:
– специалист по реагированию на инциденты;
–инженер по безопасности сетевой инфраструктуры;
– технический эксперт по защите информации;
– специалист в области информационной безопасности;
– специалисты группы мониторинга.

Этот курс может быть освоен даже теми, кто имеет базовый уровень знаний в ИТ/ ИБ.

Цель: изучение теоретических и практических аспектов информационной безопасности, позволяющих эффективно защищать информационные системы от компьютерных атак, с акцентом на формирование профессиональных компетенций, необходимых для успешного реагирования на инциденты информационной безопасности и ликвидации их последствий.

Содержание программы

1 ступень

1.Основы информационной безопасности:

• Правовые основы компьютерной безопасности
• Защищённые операционные системы
• Безопасность сетевого взаимодействия

Практика

• Изучение основных принципов работы с операционными системами, создание и настройка домена и сети организации
• Разработка базового перечня нормативных документов в организации для различных информационных систем

2.Обнаружение и реагирование на инциденты ИБ:

• Основы анализа инцидентов
• Анализ логов операционных систем
• Исследование сетевой активности
• Основы анализа вредоносного ПО

Практика

• Анализ логов в Windows/Linux, обнаружение атаки
• Анализ сетевого трафика с помощью инструмента Wireshark
• Анализ образа диска и дампа оперативной памяти

3.Расследование инцидентов и предупреждение компьютерных атак:

• Открытые базы знаний об атаках, угрозах и уязвимостях. Изучение матриц угроз и уязвимостей MITRE&DEFEND и ФСТЭК России
• Жизненный цикл компьютерной атаки
• Принципы расследования инцидентов ИБ
• Средства защиты информации компьютерных систем
• Методы и этапы при реагировании на инциденты ИБ
• Этапы тестирования на проникновение
• Принципы работы центра мониторинга

Практика

• Разбор реального сценария атаки с использованием матриц MITRE ATT&CK и ФСТЭК России
• Расследование инцидента ИБ на основе сетевого трафика и логов операционной системы. Составление цепочки атаки

2 ступень

1. Введение, управление инцидентами ИБ, реагирование на инциденты ИБ)

Теоретические основы управления инцидентами ИБ

• Требования и понятия инцидентов ИБ
• Основные этапы процесса управления инцидентами ИБ
• Схема взаимосвязи терминов
• Жизненный цикл атаки

Практика (Процесс управления инцидентами ИБ)

• Этапы реагирования
• Локализация инцидента ИБ
• Ликвидация последствий инцидента ИБ
• Анализ логов сетевого трафика
• Установление причин инцидента ИБ
• Восстановление работы информационной системы
• Закрытие инцидента и последующее составление отчёта

2. Предупреждение повторного возникновения инцидента ИБ и мониторинг ИБ)

Принятие мер по предупреждение возникновения инцидента ИБ

• Предупреждение инцидента ИБ
• Инвентаризация информационных ресурсов
• Анализ уязвимостей
• Атрибуция компьютерных атак
• Карточка сравнения матриц MITRE ATT&CK и ФСТЭК России
• Модель угроз

Принципы работы с SIEM

• Основные компоненты и их функциональные возможности
• Подключение устройств сети как источников информации для SIEM
• Изучение принципов расследования инцидентов ИБ с использованием SIEM
• Правила нормализации и корреляции
• Разбор на реальном примере
• Написание правил корреляции

3. Мониторинг ИБ и описание киберучений

Принципы работы с NTA:

Архитектура NTA
Механизмы захвата, применяемые в NTA, их отличия и особенности применения
Диагностика и мониторинг NTA
Захват копии сетевого трафика и конфигурация сетевого оборудования
Сохранение захваченных «сырых» и проиндексированных данных
Анализ обработанных данных при расследовании инцидента ИБ

Описание киберучений

• Схема инфраструктуры предприятия
• Средства защиты информации, имеющиеся в инфраструктуре
• Принципы работы установленных средств защиты информации
• Проведение аудита инфраструктуры
• Формат отчёта в рамках курса, с указанием критериев оценивания
• Анализ минимальной компьютерной атаки (пример с инсайдером)

4. Киберучения, ликвидация последствий

Проведение киберучения с заготовленным сценарием атаки

• Запуск скрипта атаки
• Регистрация инцидента ИБ
• Определение вовлеченных в инцидент ИБ элементов информационной инфраструктуры
• Выявление последствий инцидента ИБ
• Ликвидация последствий
• Закрытие инцидента
• Составление отчета и отправка организаторам

5. Расширенная информация для обнаружения, реагированию и ликвидации

• Разбор полного и корректного решения задачи с киберучения
• Обзор нормативно-правовой практики оценки последствий (кейсы)
• IOC, Threat Intelligence, APT, OSINT

Образовательные результаты

Знать:
– юридические аспекты, связанные с информационной безопасностью;
– методы идентификации и классификации типов компьютерных атак и уязвимостей;
– порядок принятия решений при возникновении инцидента ИБ в профессиональной деятельности на основе анализа событий, полученных в СЗИ; – назначение, возможности структуру и принципы работы современных средств защиты информации;
– архитектуру, общие принципы функционирования сетевых устройств и программного обеспечения администрируемой информационно-коммуникационной системы, протоколы всех модели взаимодействия открытых систем.

Уметь:
– применять методы и инструменты для обнаружения и предупреждения компьютерных атак;
– реагировать на инциденты ИБ с учетом утверждённых процедур и протоколов, в том числе проводить их анализ и оценку ущерба;
– формировать рекомендации по предупреждению компьютерных атак;
– проводить расследование инцидентов ИБ, оценивать последствия и применять меры по ликвидации последствий атак и возвращению к штатной деятельности.

Преимущества:

• практика на серверах ГИС-Академии;
• обратная связь по выполненным заданиям;
• поддержка преподавателей.

Форма обучения: заочная (на 1 ступени) и очная (на 2 ступени).
Срок обучения: 80 академических часов (10 учебных дней).
Режим занятий: 8 академических часов в день.

В рамках курсах предстоит:
1) изучить теоретический материал;
2) выполнить практические работы;
3) пройти тестирование.

Стоимость обучения: 161 040 руб. (в 2026 г.).

При успешном прохождении курса обучающимся выдаётся удостоверение о повышении квалификации.