Курс: Аудит информационной безопасности

  5. Курс: Аудит информационной безопасности
Курс: Аудит информационной безопасности

Курс: Аудит информационной безопасности


Продолжительность курса: 24 ак. ч.

Описание курса:
Аудит информационной безопасности (ИБ) позволяет получить наиболее полную и объективную оценку защищенности информационных ресурсов компании, локализовать имеющиеся проблемы, разработать наиболее эффективную политику ИБ. В рамках курса специалисты обучаются методологии проведения анализа состояния безопасности на организационном и техническом уровнях, оценке соответствия политики безопасности компании и организационно-распорядительной документации требованиям нормативных документов и существующим рискам.
В курсе рассматриваются основные виды, практические методы и средства проведения аудита ИБ. Слушатели курса знакомятся с основными критериями и стандартами в области аудита ИБ, методами сбора данных, оценки рисков и анализа защищенности, принципами организации процесса аудита и подготовки отчетных документов.

Аудитория:
• Руководители служб и подразделений ИТ.
• Руководители подразделений защиты информации, ответственные за состояние ИБ в компании, аналитики, эксперты и консультанты по ИБ.
• Специалисты, ответственные за разработку нормативно-методических и организационно-распорядительных документов по вопросам защиты информации.
• Внутренние и внешние аудиторы ИБ.
• Менеджеры, ответственные за работу с персоналом по вопросам обеспечения ИБ.

Необходимая подготовка:
• Общие представления об информационных системах, организационных и технических аспектах обеспечения ИБ компьютерных систем.
• В качестве предварительной подготовки рекомендуем пройти обучение по курсу БТ01 “Безопасность информационных технологий”.

Результат обучения:
После изучения курса слушатель будет уметь:
• о месте и роли аудита в общем комплексе работ по обеспечению ИБ;
• по стандартам и критериям аудита ИБ;
• основ организации и методологии проведения аудита ИБ;
• методик анализа рисков;
• основных стандартов управления ИБ;
• методов и инструментальных средств проведения активного аудита ИБ;
• о программных средствах анализа и управления рисками.
• обоснованно выбирать формы и критерии аудита ИБ для своей компании;
• организовать и принять участие в проведении внутреннего аудита ИБ компании;
• разрабатывать корпоративную методику анализа рисков;
• проводить классификацию критичных информационных ресурсов, анализировать риски ИБ, выбирать контрмеры и оценивать их эффективность;
• разрабатывать предложения по совершенствованию политики безопасности компании.

Программа курса:

Модуль 1. Введение
• Разновидности аналитических работ в сфере ИБ. Потребность компаний в услугах ИБ. Рынок аналитических услуг в сфере ИБ. Классификация услуг. Проектные работы. Управленческий консалтинг. Аудит. Уровень сложности и комплексности услуг ИБ. “Коробочные” услуги: сканирование сети; тест на проникновение (Penetration test). Комплексные услуги: аудит на соответствие стандартам; анализ рисков; создание (проектирование, совершенствование) системы защиты информации компании, сопровождение внедренных систем.
• Место и роль аудита в сфере ИБ. Аудит систем управления информационной безопасностью (СУИБ) и его взаимосвязь с повседневной внутренней аналитической деятельностью по обеспечению ИБ компании. Сертификация и аттестация информационных технологий как разновидности аудита. Аудит и разработка предложений по совершенствованию систем безопасности как разновидность консалтинга. Уровни рассмотрения процессов в организации (бизнес-уровень, организационно-управленческий, технологический, технический) и взаимосвязь различных видов аудита (финансового, организационно-технологического, аудита информационных технологий, аудита безопасности ИТ).

Модуль 2. Аудит информационной безопасности компании: общие понятия и определения
• Понятияаудита и аудита ИБ. Виды аудита. Внешний и внутренний аудит. Необходимость и актуальность аудита безопасности. Постановка проблемы аудита безопасности. Оценка состояния ИБ. Цели и задачи аудита ИБ. Особенности автоматизированных информационных систем как объектов аудита ИБ.
• Принципы и формы аудита ИБ. Принципы проведения аудита ИБ. Формы обследования (аудита): первоначальное обследование (первичный аудит); предпроектное обследование (технический аудит); аттестация объекта; сюрвей; плановое обследование (контрольный аудит). Дополнительные задачи, стоящие перед внутренним аудитором.
• Целевые системы нормативов для проведения аудита. Профессиональная квалификация аудитора. Законодательная и нормативная база аудита. Обзор критериев аудита.

Модуль 3. Стандарты и критерии проведения аудита информационной безопасности
• Стандарты в области управления информационной безопасностью. Структура международных стандартов по ИБ. Область применения. Процессная модель управления ИБ. Взаимосвязь стандартов. Цели управления, меры и средства управления ИБ. Руководство по управлению ИБ. Подходы к оценке системы управления ИБ. Оценка зрелости системы управления ИБ. ISO 27001 (BS 7799 – 2:2005). ISO 27002 (BS 7799 – 1:2005). Соответствие и взаимодействие международного и российского подходов и методов аудита безопасности.
• ISO 27005 (BS 7799 – 3:2006): Управление рисками информационной безопасности. Анализ рисков: различные определения и постановки задач. Разработка корпоративной методики анализа рисков: постановка задачи; этапы анализа риска; управление рисками. Технологии анализа рисков: идентификация рисков; подходы к оцениванию рисков; объективные и субъективные вероятности; получение оценок субъективной вероятности. Методология измерения рисков: оценка рисков по двум факторам; оценка рисков по трем факторам; выбор допустимого уровня риска. Выбор контрмер и оценка их эффективности.
• Другие стандарты и критерии аудита. ГОСТ Р ИСО/МЭК 15408 (“Общие критерии”). CoBit. Стандарт аудита PCI DSS. Руководящие документы ФСТЭК России и аудит в целях сертификации средств защиты и аттестации объектов информатизации.

Модуль 4. Методология аудита информационной безопасности. Организация процесса аудита
• Основные этапы и методы работ по проведению аудита безопасности. Этапы проведения аудита. Стадии аудита: планирование; моделирование; тестирование; анализ; разработка предложений; документирование. Методы аудита: экспертно-аналитические; экспертно-инструментальные; моделирование действий злоумышленника (“взлом” защиты информации).
• Сбор исходной информации для проведения аудита. Цель сбора исходных данных. Методы сбора исходных данных. Общие исходные данные. Исходные данные об обрабатываемой информации. Исходные данные о системе обеспечения безопасности информации. Исходные данные о персонале. Сбор дополнительных исходных данных.
• Рекомендации по планированию. Инициирование процедуры аудита. Цель планирования. Объект обследования. Порядок планирования аудита. Анализ значимости информационных ресурсов. Анализ процесса обработки информации. Отчетные материалы. Условия соблюдения конфиденциальности.
• Рекомендации по моделированию. Цель моделирования. Методы обследования на этапе моделирования. Порядок проведения моделирования. Отчетные материалы
• Рекомендации по тестированию.Цель, методы и порядок проведения тестирования. Проверка реальных условий размещения и использования оборудования. Тестовые испытания функций защиты от НСД и защиты от утечки по техническим каналам. Моделирование действий злоумышленника (“взлом” защиты информации). Особенности тестовых испытаний рабочих станций (АРМ), серверного оборудования, межсетевых экранов, маршрутизаторов, коммутаторов, VPN-устройств. Отчетные материалы.
• Рекомендации по анализу и документированию результатов. Цель и методы обследования на этапе анализа. Анализ организационно-распорядительных документов, выполнения организационно-технических требований, деятельности персонала (сотрудников). Отчетные материалы. Рекомендации по документированию результатов: цель документирования; требования к документированию.

Модуль 5. Инструментальные средства аудита ИБ
• Методы и инструментальные средства проведения активного аудита ИБ. Обнаружение и устранение уязвимостей. Возможности сканеров безопасности. Мониторинг событий безопасности. Internet Scanner и System Security Scanner. Сканер уязвимости Symantec NetRecon. Сканер уязвимостей систем безопасности Cisco Secure Scanner (NetSonar). Сканер Retina. Сетевой сканер NESSUS. Сканер Xspider; CommView – программа для мониторинга. MaxPatrol 8.0 – новое поколение Xspider.
• Программные средства анализа и управления рисками. Инструментарий базового уровня: справочные и методические материалы; ПО анализа рисков и аудита Cobra; ПО анализа рисков и аудита Software Tool. Инструментарий для обеспечения повышенного уровня безопасности: ПО компании MethodWare; ПО анализа и управления рисками Risk Advisor; ПО идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты в сфере компьютерной и “физической” безопасности предприятия. RiskWatch; средства анализа и управления рисками CRAMM; комплексная система анализа и управления рисками информационной системы компании ГРИФ; комплексная экспертная система управления информационной безопасностью “РискМенеджер”.
Записаться на курс

Характеристики курса

  • Начало: 11 сентября 2023
  • Окончание: 12 сентября 2023
  • Вендор: Информационная безопасность
  • Код курса: ИБС-8
  • Город: Пермь, Челябинск, Самара, Ижевск, Екатеринбург,
  • Направление: Информационная безопасность
  • Академических часов: 24
  • Количество мест: 8
  • Очно: 26900 ₽
  • Дистанционно: 26900 ₽
Записаться на курс

Курсы повышения квалификации
и профессиональной переподготовки


График работы:
Мы отвечаем на звонки и письма в будние дни с 7:00 до 16:00 по Мск

Юридический адрес организации:
614010, г. Пермь, ул. Клары Цеткин, д. 14, офис 32

8 800 (600)-66-16

learning@eshift.ru