Аудит информационной безопасности (ISA)

Целевая аудитория

Курс предназначен для руководителей и специалистов подразделений технической защиты информации, IT-аудиторов, аналитиков по вопросам компьютерной безопасности, администраторов средств защиты, контроля и управления безопасностью, специалистов, ответственных за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам менеджмента информационной безопасности.

Тренеры курса

Вячеслав Аксёнов, IT Security Architect.

Опыт работы в сфере информационной безопасности более 13 лет, в качестве специалиста, инженера, аудитора, менеджера, руководителя проекта, архитектора и консультанта. Преподаватель авторских курсов по информационной безопасности.

Образование: радиоинженер-педагог + магистратура и аспирантура по направлению информационная безопасность.

Опыт успешно реализованных проектов в сферах:

• проектирование, создание и аттестация систем защиты информации в соответствии с требованиями законодательства;
• разработка, внедрение и оценка соответствия систем (управления) информационной безопасности в соответствии с требованиями отечественных и международных стандартов в области ИБ;
• обследование и оценка защищенности информационных систем;
• аудит информационной безопасности.

Программа курса

1. Принципы и концепции аудита

• Основы построения систем информационной безопасности
• Основные понятия, определения, этапы, виды и направления аудита информационной безопасности
• Правовое обеспечение аудита информационной безопасности

2. Стратегия аудита информационной безопасности

• Комплексный аудит информационной безопасности и оценка результатов аудита
• Особенности аудита управления непрерывностью бизнеса и восстановления после сбоев
• Аудит информационной безопасности организаций, использующих аутсорсинг
• Аудит на соответствие стандарту PCI DSS

3. Процесс аудита

• Подходы к проведению аудита информационной безопасности
• Задачи и содержание работ при проведении аудита информационной безопасности
• Подготовка организации к проведению аудита информационной безопасности
• Планирование аудита информационной безопасности
• Организация работ по проведению аудита информационной безопасности
• Алгоритм проведения аудита информационной безопасности организации
• Перечень данных, необходимых для проведения аудита информационной безопасности
• Подготовка отчетных документов

4. Инструменты аудита

• Оценка рисков: MSAT, PTA
• Сбор информации: Maltego, Ncat, Nmap/ Zenmap
• Поиск и анализ уязвимостей: OpenVAS, Nessus, MSBA
• Эксплуатация/верификация уязвимостей: Metasploit/Armitage, SET, Hydra, Johnny
• Аудит WEB приложений: w3af, OWASP ZAP
• Расследование инцидентов: NetworkMiner, Wireshark, Splunk
• Отчетность: CaseFile, Dradis

5. Проведение аудита информационной безопасности

• Аудит организации на соответствие требованиям ISO 27001
• Проверка выполнения требований ISO 27001 предъявляемых к документации СМИБ
• Аудит организации на соответствие требованиям Приказа ОАЦ № 62 от 30 августа 2013 г.
• Аудит организации на соответствие требованиям ЛНПА
• Оценка рисков с использованием СПО
• Использование анализатора сетевого трафика Wireshark
• Использование Netcat
• Использование Nmap
• Инвентаризация сети с использованием Nmap
• Обнаружение уязвимостей с использованием Nessus
• Обнаружение уязвимостей с использованием OpenVAS
• Проверка защиты против атаки с использованием социальной инженерии
• Эксплуатация уязвимостей с использованием Metasploit и Armitage
• Обнаружение и эксплуатация уязвимостей веб-приложений
• Комплексная оценка защищенности информационной системы
• Расследование инцидентов

Группа

• от 6 до 14 человек

Документы об окончании курса

• Сертификат Учебного центра Softline об окончании курса и справка об обучении установленного образца: