Аудит информационной безопасности
БТ10
В курсе рассматриваются виды, методы и средства проведения аудита ИБ. Слушатели курса знакомятся с основными стандартами в области аудита ИБ, методиками сбора данных, оценки рисков и анализа защищенности. Слушатели изучат принципы организации процесса аудита и подготовки отчетных документов. Курс позволяет слушателю разработать более эффективную политику ИБ, используя результаты проведённого аудита.
Аудитория
Руководители подразделений информационной безопасности, а также кандидаты, предполагающие работать на таких должностях.
- Инженеры и аудиторы безопасности.
- Аналитики информационной безопасности.
- Специалисты по вопросам защиты информации.
Предварительный уровень подготовки
Общие представления о правовых, организационных и технических аспектах обеспечения безопасности информации.
Результат обучения
По окончании курса слушатели будут знать:
- Место и роль аудита в сфере ИБ;
- Принципы и формы проведения аудита ИБ;
- Нормативно-правовую базу аудита;
- Стандарты и критерии аудита информационной безопасности;
- Организация и методы проведение аудита;
- Инструменты аудита ИБ;
- Методы сертификации и аттестации информационных технологий.
По окончании курса слушатели будут уметь:
• Осуществлять аудит информационной безопасности;
• Осуществлять сбор информации для аудита;
• Анализ процессов обработки информации;
• Осуществлять по результатам аудита выводы и рекомендации с целью повышения уровня защищённости информационных ресурсов.
• Применять сканеры уязвимостей для оценки защищённости и сбора информации о сети;
Программа курса
Раздел 1. Аудит информационной безопасности компании. Основы. (6 часов)
- Место и роль аудита в сфере ИБ. Сертификация и аттестация информационных технологий как разновидности аудита. Виды аудита, их взаимосвязь. Внешний и внутренний аудит.
- Оценка состояния ИБ. Цели и задачи аудита ИБ. Особенности автоматизированных информационных систем как объектов аудита ИБ.
- Принципы и формы проведения аудита ИБ.
- Нормативно-правовая база аудита. Обзор критериев аудита.
Раздел 2. Стандарты и критерии аудита информационной безопасности. (4 часа)
- Отечественные и международные стандарты в области управления информационной безопасностью. Цели управления, меры и средства управления ИБ. Руководство по управлению ИБ. Подходы к оценке системы управления ИБ. ISO 27001 (BS 7799 – 2:2005). ISO 27002 (BS 7799 – 1:2005. Международный и российский подходы и методы аудита безопасности.
- Другие стандарты и критерии аудита. Руководящие документы ФСТЭК России и аудит в целях сертификации средств защиты и аттестации объектов информатизации.
Раздел 3. Организация и проведение аудита ИБ. (8 часов)
- Этапы и стадии и методы проведения аудита.
- Сбор исходной и дополнительной информации для проведения аудита.
- Планирование аудита. Анализ значимости информационных ресурсов. Анализ процесса обработки информации.
- Рекомендации по моделированию. Цель моделирования. Методы обследования на этапе моделирования. Порядок проведения моделирования.
- Тестирование. Цель, методы и порядок проведения тестирования. Моделирование действий злоумышленника .
- Оформление результатов аудита. Подведение итогов. Выводы и рекомендации.
Раздел 4. Инструменты аудита ИБ. (6 часов)
- Сканнеры безопасности. Возможности сканеров безопасности. Мониторинг событий безопасности. Обнаружение и устранение уязвимостей. Internet Scanner и System Security Scanner. Сканеры уязвимостей Symantec NetRecon, Retina. Сетевые сканеры NESSUS, Xspider. Сканер MBSA.Сканер NMAP. Практика применения сканеров безопасности. Программные средства анализа и управления рисками.
Итоговый зачет (тест).