Аудит информационной безопасности (ISA)

Целевая аудитория

Курс предназначен для руководителей и специалистов подразделений технической защиты информации, IT-аудиторов, аналитиков по вопросам компьютерной безопасности, администраторов средств защиты, контроля и управления безопасностью, специалистов, ответственных за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам менеджмента информационной безопасности.

Тренер курса

Вячеслав Аксёнов, IT Security Architect.

Опыт работы в сфере информационной безопасности более 15 лет, в качестве специалиста, инженера, аудитора, менеджера, руководителя проекта, архитектора и консультанта. Преподаватель авторских курсов по информационной безопасности.

Образование: радиоинженер-педагог + магистратура и аспирантура по направлению информационная безопасность, профессиональная переподготовка в РФ по направлению информационная безопасность, Certificate of Cloud Security Knowledge, Lead Implementer ISO/IEC 27001:2013.

Опыт успешно реализованных проектов в сферах:

• проектирование, создание и аттестация систем защиты информации в соответствии с требованиями законодательства;
• разработка, внедрение и оценка соответствия систем (управления) информационной безопасности в соответствии с требованиями отечественных и международных стандартов в области ИБ;
• обследование и оценка защищенности информационных систем;
• оценка рисков информационной безопасности;
• разработка стратегии создания/совершенствования информационной безопасности организации;
• аудит информационной безопасности.

Программа курса

1. Принципы и концепции аудита

• Основы построения систем информационной безопасности
• Основные понятия, определения, этапы, виды и направления аудита информационной безопасности
• Правовое обеспечение аудита информационной безопасности

2. Процесс аудита

• Подходы к проведению аудита информационной безопасности
• Задачи и содержание работ при проведении аудита информационной безопасности
• Подготовка организации к проведению аудита информационной безопасности
• Планирование аудита информационной безопасности
• Организация работ по проведению аудита информационной безопасности
• Алгоритм проведения аудита информационной безопасности организации
• Перечень данных, необходимых для проведения аудита информационной безопасности
• Подготовка отчетных документов

3. Стандарты аудита

• ISO 27007
• ISO 19011

4. Критерии аудита

• ISO/IEC 27001
• CIS Critical Security Controls
• NIST
• PCI DSS
• Законодательство в области защиты персональных данных
• Законодательство в области защиты коммерческой тайны
• Законодательство в области защиты критически важных объектов информатизации

5. Методики и инструменты оценки защищенности информационных систем и ресурсов

• Методики проведения оценки защищенности, уязвимости, моделирование угроз
• Сбор информации: Maltego, Nmap/ Zenmap
• Поиск и анализ уязвимостей: OpenVAS
• Эксплуатация/верификация уязвимостей: Metasploit/Armitage, SET, Hydra
• Аудит WEB приложений: OWASP ZAP
• Отчетность: Maltego (CaseFile)

6. Практические занятия

• Практическая работа №1. Сбор и анализ информации из общедоступных источников
• Практическая работа №2. Оценка защищенности информационных систем и ресурсов
• Практическая работа №3. Процесс аудита информационной безопасности:
  • Определение области проведения аудита.
  • Определение критериев аудита.
  • Разработка плана проведения аудита.
  • Проведение установочной встречи.
  • Анализ и экспертиза документации.
  • Подготовка анкет-вопросников (чек-листов) для проведения аудита.
  • Проведение интервью.
  • Оформление отчета.

Группа

• от 6 до 14 человек

Документы об окончании курса

• Сертификат Учебного центра Softline
• Cертификат об обучении установленного образца