В данном курсе рассматриваются вопросы разработки программы, методики, процедуры аудита информационной безопасности предприятия в соответствии с ISO 19011, ISO 27007, ISO 27002 и лучшими практиками в области информационной безопасности.
Подробно изучаются все аспекты аудита - от общих высокоуровневых подходов к планированию и проведению аудита до технических деталей аудита конкретных средств управления информационной безопасностью. В ходе практических занятий проводится последовательный аудит специально разработанной для курса информационной системы.
Целевая аудитория
Курс предназначен для руководителей и специалистов подразделений технической защиты информации, IT-аудиторов, аналитиков по вопросам компьютерной безопасности, администраторов средств защиты, контроля и управления безопасностью, специалистов, ответственных за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам менеджмента информационной безопасности.
Тренер курса

Вячеслав Аксёнов, IT Security Architect.
Опыт работы в сфере информационной безопасности более 15 лет, в качестве специалиста, инженера, аудитора, менеджера, руководителя проекта, архитектора и консультанта. Преподаватель авторских курсов по информационной безопасности.
Образование: радиоинженер-педагог + магистратура и аспирантура по направлению информационная безопасность, профессиональная переподготовка в РФ по направлению информационная безопасность, Certificate of Cloud Security Knowledge, Lead Implementer ISO/IEC 27001:2013.
Опыт успешно реализованных проектов в сферах:
- проектирование, создание и аттестация систем защиты информации в соответствии с требованиями законодательства;
- разработка, внедрение и оценка соответствия систем (управления) информационной безопасности в соответствии с требованиями отечественных и международных стандартов в области ИБ;
- обследование и оценка защищенности информационных систем;
- оценка рисков информационной безопасности;
- разработка стратегии создания/совершенствования информационной безопасности организации;
- аудит информационной безопасности.
Программа курса
1. Принципы и концепции аудита
- Основы построения систем информационной безопасности
- Основные понятия, определения, этапы, виды и направления аудита информационной безопасности
- Правовое обеспечение аудита информационной безопасности
2. Процесс аудита
- Подходы к проведению аудита информационной безопасности
- Задачи и содержание работ при проведении аудита информационной безопасности
- Подготовка организации к проведению аудита информационной безопасности
- Планирование аудита информационной безопасности
- Организация работ по проведению аудита информационной безопасности
- Алгоритм проведения аудита информационной безопасности организации
- Перечень данных, необходимых для проведения аудита информационной безопасности
- Подготовка отчетных документов
3. Стандарты аудита
4. Критерии аудита
- ISO/IEC 27001
- CIS Critical Security Controls
- NIST
- PCI DSS
- Законодательство в области защиты персональных данных
- Законодательство в области защиты коммерческой тайны
- Законодательство в области защиты критически важных объектов информатизации
5. Методики и инструменты оценки защищенности информационных систем и ресурсов
- Методики проведения оценки защищенности, уязвимости, моделирование угроз
- Сбор информации: Maltego, Nmap/ Zenmap
- Поиск и анализ уязвимостей: OpenVAS
- Эксплуатация/верификация уязвимостей: Metasploit/Armitage, SET, Hydra
- Аудит WEB приложений: OWASP ZAP
- Отчетность: Maltego (CaseFile)
6. Практические занятия
- Практическая работа №1. Сбор и анализ информации из общедоступных источников
- Практическая работа №2. Оценка защищенности информационных систем и ресурсов
- Практическая работа №3. Процесс аудита информационной безопасности:
- Определение области проведения аудита.
- Определение критериев аудита.
- Разработка плана проведения аудита.
- Проведение установочной встречи.
- Анализ и экспертиза документации.
- Подготовка анкет-вопросников (чек-листов) для проведения аудита.
- Проведение интервью.
- Оформление отчета.
Группа
Документы об окончании курса
- Сертификат Учебного центра Softline
- Cертификат об обучении установленного образца

