Специализация: Информационная безопасность
Ориентирован: Руководители служб и подразделений ИТ. Руководители подразделений защиты информации, ответственные за состояние ИБ в компании, аналитики, эксперты и консультанты по ИБ. Специалисты, ответственные за разработку нормативно-методических и организационно-распорядительных документов по вопросам защиты информации. Внутренние и внешние аудиторы ИБ. Менеджеры, ответственные за работу с персоналом по вопросам обеспечения ИБ.
Предварительный уровень подготовки: Общие представления об информационных системах, организационных и технических аспектах обеспечения ИБ компьютерных систем. В качестве предварительной подготовки рекомендуем пройти обучение по курсу БТ01 “Безопасность информационных технологий”.
Продолжительность: 24 часа / 3 дня
Методические материалы: Фирменное учебное пособие. Нормативные, руководящие документы и стандарты, используемые при проведении аудита ИБ, демо-версии некоторых рассматриваемых в курсе инструментальных средств, дополнительная и справочная информация по тематике курса в электронном виде.
Документ об окончании курса: Свидетельство об обучении Учебного центра "Информзащита"
Стоимость: 17 370
Место проведения: Учебный центр “Информзащита”
Программа
Введение
Разновидности аналитических работ в сфере ИБ. Потребность компаний в услугах ИБ. Рынок аналитических услуг в сфере ИБ. Классификация услуг. Проектные работы. Управленческий консалтинг. Аудит. Уровень сложности и комплексности услуг ИБ. “Коробочные” услуги: сканирование сети; тест на проникновение (Penetration test). Комплексные услуги: аудит на соответствие стандартам; анализ рисков; создание (проектирование, совершенствование) системы защиты информации компании, сопровождение внедренных систем.
Место и роль аудита в сфере ИБ. Аудит систем управления информационной безопасностью (СУИБ) и его взаимосвязь с повседневной внутренней аналитической деятельностью по обеспечению ИБ компании. Сертификация и аттестация информационных технологий как разновидности аудита. Аудит и разработка предложений по совершенствованию систем безопасности как разновидность консалтинга. Уровни рассмотрения процессов в организации (бизнес-уровень, организационно-управленческий, технологический, технический) и взаимосвязь различных видов аудита (финансового, организационно-технологического, аудита информационных технологий, аудита безопасности ИТ).
Раздел 1. Аудит информационной безопасности компании: общие понятия и определения
Понятия аудита и аудита ИБ. Виды аудита. Внешний и внутренний аудит. Необходимость и актуальность аудита безопасности. Постановка проблемы аудита безопасности. Оценка состояния ИБ. Цели и задачи аудита ИБ. Особенности автоматизированных информационных систем как объектов аудита ИБ.
Принципы и формы аудита ИБ. Принципы проведения аудита ИБ. Формы обследования (аудита): первоначальное обследование (первичный аудит); предпроектное обследование (технический аудит); аттестация объекта; сюрвей; плановое обследование (контрольный аудит). Дополнительные задачи, стоящие перед внутренним аудитором.
Целевые системы нормативов для проведения аудита. Профессиональная квалификация аудитора. Законодательная и нормативная база аудита. Обзор критериев аудита.
Раздел 2. Стандарты и критерии проведения аудита информационной безопасности
Стандарты в области управления информационной безопасностью. Структура международных стандартов по ИБ. Область применения. Процессная модель управления ИБ. Взаимосвязь стандартов. Цели управления, меры и средства управления ИБ. Руководство по управлению ИБ. Подходы к оценке системы управления ИБ. Оценка зрелости системы управления ИБ. ISO 27001 (BS 7799 – 2:2005). ISO 27002 (BS 7799 – 1:2005). Соответствие и взаимодействие международного и российского подходов и методов аудита безопасности.
ISO 27005 (BS 7799 – 3:2006): Управление рисками информационной безопасности. Анализ рисков: различные определения и постановки задач. Разработка корпоративной методики анализа рисков: постановка задачи; этапы анализа риска; управление рисками. Технологии анализа рисков: идентификация рисков; подходы к оцениванию рисков; объективные и субъективные вероятности; получение оценок субъективной вероятности. Методология измерения рисков: оценка рисков по двум факторам; оценка рисков по трем факторам; выбор допустимого уровня риска. Выбор контрмер и оценка их эффективности.
Другие стандарты и критерии аудита. ГОСТ Р ИСО/МЭК 15408 (“Общие критерии”). CoBit. Стандарт аудита PCI DSS. Руководящие документы ФСТЭК России и аудит в целях сертификации средств защиты и аттестации объектов информатизации.
Раздел 3. Методология аудита информационной безопасности. Организация процесса аудита.
Основные этапы и методы работ по проведению аудита безопасности. Этапы проведения аудита. Стадии аудита: планирование; моделирование; тестирование; анализ; разработка предложений; документирование. Методы аудита: экспертно-аналитические; экспертно-инструментальные; моделирование действий злоумышленника (“взлом” защиты информации).
Сбор исходной информации для проведения аудита. Цель сбора исходных данных. Методы сбора исходных данных. Общие исходные данные. Исходные данные об обрабатываемой информации. Исходные данные о системе обеспечения безопасности информации. Исходные данные о персонале. Сбор дополнительных исходных данных.
Рекомендации по планированию. Инициирование процедуры аудита. Цель планирования. Объект обследования. Порядок планирования аудита. Анализ значимости информационных ресурсов. Анализ процесса обработки информации. Отчетные материалы. Условия соблюдения конфиденциальности.
Рекомендации по моделированию. Цель моделирования. Методы обследования на этапе моделирования. Порядок проведения моделирования. Отчетные материалы
Рекомендации по тестированию.Цель, методы и порядок проведения тестирования. Проверка реальных условий размещения и использования оборудования. Тестовые испытания функций защиты от НСД и защиты от утечки по техническим каналам. Моделирование действий злоумышленника (“взлом” защиты информации). Особенности тестовых испытаний рабочих станций (АРМ), серверного оборудования, межсетевых экранов, маршрутизаторов, коммутаторов, VPN-устройств. Отчетные материалы.
Рекомендации по анализу и документированию результатов. Цель и методы обследования на этапе анализа. Анализ организационно-распорядительных документов, выполнения организационно-технических требований, деятельности персонала (сотрудников). Отчетные материалы. Рекомендации по документированию результатов: цель документирования; требования к документированию.
Раздел 4. Инструментальные средства аудита ИБ
Методы и инструментальные средства проведения активного аудита ИБ. Обнаружение и устранение уязвимостей. Возможности сканеров безопасности. Мониторинг событий безопасности. Internet Scanner и System Security Scanner. Сканер уязвимости Symantec NetRecon. Сканер уязвимостей систем безопасности Cisco Secure Scanner (NetSonar). Сканер Retina. Сетевой сканер NESSUS. Сканер Xspider; CommView – программа для мониторинга. MaxPatrol 8.0 – новое поколение Xspider.
Программные средства анализа и управления рисками. Инструментарий базового уровня: справочные и методические материалы; ПО анализа рисков и аудита Cobra; ПО анализа рисков и аудита Software Tool. Инструментарий для обеспечения повышенного уровня безопасности: ПО компании MethodWare; ПО анализа и управления рисками Risk Advisor; ПО идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты в сфере компьютерной и “физической” безопасности предприятия. RiskWatch; средства анализа и управления рисками CRAMM; комплексная система анализа и управления рисками информационной системы компании ГРИФ; комплексная экспертная система управления информационной безопасностью “РискМенеджер”.
Итоговый зачет
Подробное описание: http://www.itsecurity.ru/edu/kurs/kp_45.html?utm_source=pcweek&utm_medium=website&utm_campaign=pcweek_20.08.13
