Аудит информационной безопасности (ISA)

В курсе рассматриваются вопросы разработки программы, методики, процедуры аудита информационной безопасности предприятия в соответствии с PCI DSS, ISO 27001, ISO 27002, ISO 19011 и лучшими практиками в области информационной безопасности. Подробно изучаются все аспекты аудита - от общих высокоуровневых подходов к планированию и проведению аудита до технических деталей аудита конкретных средств управления информационной безопасностью. В ходе практических занятий проводится последовательный аудит специально разработанной для курса информационной системы.

Целевая аудитория

Курс предназначен для руководителей и специалистов подразделений технической защиты информации, IT-аудиторов, аналитиков по вопросам компьютерной безопасности, администраторов средств защиты, контроля и управления безопасностью, специалистов, ответственных за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам менеджмента информационной безопасности.

Тренеры курса

Вячеслав Аксёнов, IT Security Architect.

Опыт работы в сфере информационной безопасности более 15 лет, в качестве специалиста, инженера, аудитора, менеджера, руководителя проекта, архитектора и консультанта. Преподаватель авторских курсов по информационной безопасности.

Образование: радиоинженер-педагог + магистратура и аспирантура по направлению информационная безопасность, профессиональная переподготовка в РФ по направлению информационная безопасность, Certificate of Cloud Security Knowledge, Lead Implementer ISO/IEC 27001:2013.

Опыт успешно реализованных проектов в сферах:

проектирование, создание и аттестация систем защиты информации в соответствии с требованиями законодательства;
разработка, внедрение и оценка соответствия систем (управления) информационной безопасности в соответствии с требованиями отечественных и международных стандартов в области ИБ;
обследование и оценка защищенности информационных систем;
оценка рисков информационной безопасности;
разработка стратегии создания/совершенствования информационной безопасности организации;
аудит информационной безопасности.

Дмитрий Смоляк, Security Engineer | Penetration Tester

Опыт работы в сфере информационной безопасности более 8 лет.

Образование: специалист по защите информации + магистратура и аспирантура по направлению информационная безопасность, Offensive Security Certified Professional, HP Accredited Solutions Expert - ArcSight Analyst, HP Accredited Technical Professional - ArcSight Security, HP Accredited Technical Professional - ArcSight Administrator.

Опыт успешно реализованных проектов в сферах:

проектирование и внедрение систем мониторинга событий информационной безопасности;
проектирование, создание и аттестация систем защиты информации в соответствии с требованиями законодательства;
оценка защищенности информационных систем;
тестирование на проникновение;
аудит информационной безопасности;
испытания средств защиты информации в соответствии с требованиями законодательства.

Программа курса

1. Принципы и концепции аудита

Основы построения систем информационной безопасности
Основные понятия, определения, этапы, виды и направления аудита информационной безопасности
Правовое обеспечение аудита информационной безопасности

2. Стратегия аудита информационной безопасности

Комплексный аудит информационной безопасности и оценка результатов аудита
Особенности аудита управления непрерывностью бизнеса и восстановления после сбоев
Аудит информационной безопасности организаций, использующих аутсорсинг
Аудит на соответствие стандарту PCI DSS

3. Процесс аудита

Подходы к проведению аудита информационной безопасности
Задачи и содержание работ при проведении аудита информационной безопасности
Подготовка организации к проведению аудита информационной безопасности
Планирование аудита информационной безопасности
Организация работ по проведению аудита информационной безопасности
Алгоритм проведения аудита информационной безопасности организации
Перечень данных, необходимых для проведения аудита информационной безопасности
Подготовка отчетных документов

4. Инструменты аудита

Оценка рисков: MSAT, PTA
Сбор информации: Maltego, Ncat, Nmap/ Zenmap
Поиск и анализ уязвимостей: OpenVAS, Nessus, MSBA
Эксплуатация/верификация уязвимостей: Metasploit/Armitage, SET, Hydra, Johnny
Аудит WEB приложений: w3af, OWASP ZAP
Расследование инцидентов: NetworkMiner, Wireshark, Splunk
Отчетность: CaseFile, Dradis

5. Проведение аудита информационной безопасности

Аудит организации на соответствие требованиям ISO 27001
Проверка выполнения требований ISO 27001 предъявляемых к документации СМИБ
Аудит организации на соответствие требованиям Приказа ОАЦ № 62 от 30 августа 2013 г.
Аудит организации на соответствие требованиям ЛНПА
Оценка рисков с использованием СПО
Использование анализатора сетевого трафика Wireshark
Использование Netcat
Использование Nmap
Инвентаризация сети с использованием Nmap
Обнаружение уязвимостей с использованием Nessus
Обнаружение уязвимостей с использованием OpenVAS
Проверка защиты против атаки с использованием социальной инженерии
Эксплуатация уязвимостей с использованием Metasploit и Armitage
Обнаружение и эксплуатация уязвимостей веб-приложений
Комплексная оценка защищенности информационной системы
Расследование инцидентов