Аудит інформаційної безпеки
В курсі розглядаються питання розробки програми, методики, процедури аудиту інформаційної безпеки підприємства відповідно до PCI DSS, ISO 27001, ISO 27002, ISO 19011 та кращими практиками в області інформаційної безпеки. Детально вивчаються всі аспекти аудиту - від загальних високорівневих підходів до планування та проведення аудиту до технічних деталей аудиту конкретних засобів управління інформаційною безпекою. В ході практичних занять проводиться послідовний аудит спеціально розробленої для курсу інформаційної системи.
Цільова аудиторія
Курс призначений для керівників і фахівців підрозділів технічного захисту інформації, IT-аудиторів, аналітиків з питань комп'ютерної безпеки, адміністраторів засобів захисту, контролю та управління безпекою, фахівців, відповідальних за розробку необхідних нормативно-методичних і організаційно-розпорядчих документів з питань менеджменту інформаційної безпеки.
Тренери курсу
В'ячеслав Аксьонов, IT Security Architect.
Досвід роботи в сфері інформаційної безпеки понад 15 років, в якості спеціаліста, інженера, аудитора, менеджера, керівника проекту, архітектора і консультанта. Викладач авторських курсів з інформаційної безпеки.
Освіта: радіоінженер-педагог + магістратура та аспірантура за направленням інформаційна безпека, професійна перепідготовка в РФ у напрямку інформаційна безпека, Certificate of Cloud Security Knowledge, Lead Implementer ISO / IEC 27001 до: 2013.
Досвід успішно реалізованих проектів в сферах:
- проектування, створення і атестація систем захисту інформації відповідно до вимог законодавства;
- розробка, впровадження та оцінка відповідності систем (управління) інформаційної безпеки відповідно до вимог вітчизняних і міжнародних стандартів в області ІБ;
- обстеження і оцінка захищеності інформаційних систем;
- оцінка ризиків інформаційної безпеки;
- розробка стратегії створення / вдосконалення інформаційної безпеки організації;
- аудит інформаційної безпеки.
програма курсу
1. Принципи і концепції аудиту
- Основи побудови систем інформаційної безпеки
- Основні поняття, визначення, етапи, види і напрямки аудиту інформаційної безпеки
- Правове забезпечення аудиту інформаційної безпеки
2. Стратегія аудиту інформаційної безпеки
- Комплексний аудит інформаційної безпеки і оцінка результатів аудиту
- Особливості аудиту управління безперервністю бізнесу і відновлення після збоїв
- Аудит інформаційної безпеки організацій, що використовують аутсорсинг
- Аудит на відповідність стандарту PCI DSS
3. Процес аудиту
- Підходи до проведення аудиту інформаційної безпеки
- Завдання і зміст робіт при проведенні аудиту інформаційної безпеки
- Підготовка організації до проведення аудиту інформаційної безпеки
- Планування аудиту інформаційної безпеки
- Організація робіт по проведенню аудиту інформаційної безпеки
- Алгоритм проведення аудиту інформаційної безпеки організації
- Перелік даних, необхідних для проведення аудиту інформаційної безпеки
- Підготовка звітних документів
4. Інструменти аудиту
- Оцінка ризиків: MSAT, PTA
- Збір інформації: Maltego, Ncat, Nmap / Zenmap
- Пошук і аналіз вразливостей: OpenVAS, Nessus, MSBA
- Експлуатація / верифікація вразливостей: Metasploit / Armitage, SET, Hydra, Johnny
- Аудит WEB додатків: w3af, OWASP ZAP
- Розслідування інцидентів: NetworkMiner, Wireshark, Splunk
- Звітність: CaseFile, Dradis
5. Проведення аудиту інформаційної безпеки
- Аудит організації на відповідність вимогам ISO 27001
- Перевірка виконання вимог ISO 27001 пред'являються до документації СМІБ
- Аудит організації на відповідність вимогам Наказу ОАЦ № 62 від 30 серпня 2013 р
- Аудит організації на відповідність вимогам ЛНПА
- Оцінка ризиків з використанням СПО
- Використання аналізатора мережевого трафіку Wireshark
- Використання Netcat
- Використання Nmap
- Інвентаризація мережі з використанням Nmap
- Виявлення вразливостей з використанням Nessus
- Виявлення вразливостей з використанням OpenVAS
- Перевірка захисту проти атаки з використанням соціальної інженерії
- Експлуатація вразливостей з використанням Metasploit і Armitage
- Виявлення та експлуатація вразливостей веб-додатків
- Комплексна оцінка захищеності інформаційної системи
- розслідування інцидентів
Група
- від 6 до 14 осіб
Документи про закінчення курсу
- Сертифікат Навчального центру Softline про закінчення курсу і довідка про навчання встановленого зразка:
