Методы и средства аудита информационной безопасности
Код курса КП45, 3 дня
Статус
Авторский курс Учебного центра “Информзащита”
Аннотация
Аудит информационной безопасности (ИБ) позволяет получить наиболее полную и объективную оценку защищенности информационных ресурсов компании, локализовать имеющиеся проблемы, разработать наиболее эффективную политику ИБ. В рамках курса специалисты обучаются методологии проведения анализа состояния безопасности на организационном и техническом уровнях, оценке соответствия политики безопасности компании и организационно-распорядительной документации требованиям нормативных документов и существующим рискам.
В курсе рассматриваются основные виды, практические методы и средства проведения аудита ИБ. Слушатели курса знакомятся с основными критериями и стандартами в области аудита ИБ, методами сбора данных, оценки рисков и анализа защищенности, принципами организации процесса аудита и подготовки отчетных документов.
Аудитория
Руководители служб и подразделений ИТ.
Руководители подразделений защиты информации, ответственные за состояние ИБ в компании, аналитики, эксперты и консультанты по ИБ.
Специалисты, ответственные за разработку нормативно-методических и организационно-распорядительных документов по вопросам защиты информации.
Внутренние и внешние аудиторы ИБ.
Менеджеры, ответственные за работу с персоналом по вопросам обеспечения ИБ.
Предварительная подготовка
Общие представления об информационных системах, организационных и технических аспектах обеспечения ИБ компьютерных систем.
В качестве предварительной подготовки рекомендуем пройти обучение по курсу БТ01 “Безопасность информационных технологий”.
В результате обучения
Вы приобретете знания:
о месте и роли аудита в общем комплексе работ по обеспечению ИБ;
по стандартам и критериям аудита ИБ;
основ организации и методологии проведения аудита ИБ;
методик анализа рисков;
основных стандартов управления ИБ;
методов и инструментальных средств проведения активного аудита ИБ;
о программных средствах анализа и управления рисками.
Вы сможете:
обоснованно выбирать формы и критерии аудита ИБ для своей компании;
организовать и принять участие в проведении внутреннего аудита ИБ компании;
разрабатывать корпоративную методику анализа рисков;
проводить классификацию критичных информационных ресурсов, анализировать риски ИБ, выбирать контрмеры и оценивать их эффективность;
разрабатывать предложения по совершенствованию политики безопасности компании.
Пакет слушателя
Фирменное учебное пособие.
Компакт-диск, содержащий нормативные, руководящие документы и стандарты, используемые при проведении аудита ИБ, демо-версии некоторых рассматриваемых в курсе инструментальных средств, дополнительную и справочную информацию по тематике курса.
Дополнительно
После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра "Информзащита".
Обучение на данном курсе учитывается при получении государственных документов в области информационной безопасности в соответствии с ПОЛОЖЕНИЕМ об условиях получения специалистами государственных документов о повышении квалификации в области защиты информации в Учебном центре "Информзащита".
Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.
Программа курса
Введение
Разновидности аналитических работ в сфере ИБ. Потребность компаний в услугах ИБ. Рынок аналитических услуг в сфере ИБ. Классификация услуг. Проектные работы. Управленческий консалтинг. Аудит. Уровень сложности и комплексности услуг ИБ. “Коробочные” услуги: сканирование сети; тест на проникновение (Penetration test). Комплексные услуги: аудит на соответствие стандартам; анализ рисков; создание (проектирование, совершенствование) системы защиты информации компании, сопровождение внедренных систем.
Место и роль аудита в сфере ИБ. Аудит систем управления информационной безопасностью (СУИБ) и его взаимосвязь с повседневной внутренней аналитической деятельностью по обеспечению ИБ компании. Сертификация и аттестация информационных технологий как разновидности аудита. Аудит и разработка предложений по совершенствованию систем безопасности как разновидность консалтинга. Уровни рассмотрения процессов в организации (бизнес-уровень, организационно-управленческий, технологический, технический) и взаимосвязь различных видов аудита (финансового, организационно-технологического, аудита информационных технологий, аудита безопасности ИТ).
Раздел 1. Аудит информационной безопасности компании: общие понятия и определения
Понятия аудита и аудита ИБ. Виды аудита. Внешний и внутренний аудит. Необходимость и актуальность аудита безопасности. Постановка проблемы аудита безопасности. Оценка состояния ИБ. Цели и задачи аудита ИБ. Особенности автоматизированных информационных систем как объектов аудита ИБ.
Принципы и формы аудита ИБ. Принципы проведения аудита ИБ. Формы обследования (аудита): первоначальное обследование (первичный аудит); предпроектное обследование (технический аудит); аттестация объекта; сюрвей; плановое обследование (контрольный аудит). Дополнительные задачи, стоящие перед внутренним аудитором.
Целевые системы нормативов для проведения аудита. Профессиональная квалификация аудитора. Законодательная и нормативная база аудита. Обзор критериев аудита.
Раздел 2. Стандарты и критерии проведения аудита информационной безопасности
Стандарты в области управления информационной безопасностью. Структура международных стандартов по ИБ. Область применения. Процессная модель управления ИБ. Взаимосвязь стандартов. Цели управления, меры и средства управления ИБ. Руководство по управлению ИБ. Подходы к оценке системы управления ИБ. Оценка зрелости системы управления ИБ. ISO 27001 (BS 7799 – 2:2005). ISO 27002 (BS 7799 – 1:2005). Соответствие и взаимодействие международного и российского подходов и методов аудита безопасности.
ISO 27005 (BS 7799 – 3:2006): Управление рисками информационной безопасности. Анализ рисков: различные определения и постановки задач. Разработка корпоративной методики анализа рисков: постановка задачи; этапы анализа риска; управление рисками. Технологии анализа рисков: идентификация рисков; подходы к оцениванию рисков; объективные и субъективные вероятности; получение оценок субъективной вероятности. Методология измерения рисков: оценка рисков по двум факторам; оценка рисков по трем факторам; выбор допустимого уровня риска. Выбор контрмер и оценка их эффективности.
Другие стандарты и критерии аудита. ГОСТ Р ИСО/МЭК 15408 (“Общие критерии”). CoBit. Стандарт аудита PCI DSS. Руководящие документы ФСТЭК России и аудит в целях сертификации средств защиты и аттестации объектов информатизации.
Раздел 3. Методология аудита информационной безопасности. Организация процесса аудита.
Основные этапы и методы работ по проведению аудита безопасности. Этапы проведения аудита. Стадии аудита: планирование; моделирование; тестирование; анализ; разработка предложений; документирование. Методы аудита: экспертно-аналитические; экспертно-инструментальные; моделирование действий злоумышленника (“взлом” защиты информации).
Сбор исходной информации для проведения аудита. Цель сбора исходных данных. Методы сбора исходных данных. Общие исходные данные. Исходные данные об обрабатываемой информации. Исходные данные о системе обеспечения безопасности информации. Исходные данные о персонале. Сбор дополнительных исходных данных.
Рекомендации по планированию. Инициирование процедуры аудита. Цель планирования. Объект обследования. Порядок планирования аудита. Анализ значимости информационных ресурсов. Анализ процесса обработки информации. Отчетные материалы. Условия соблюдения конфиденциальности.
Рекомендации по моделированию. Цель моделирования. Методы обследования на этапе моделирования. Порядок проведения моделирования. Отчетные материалы
Рекомендации по тестированию.Цель, методы и порядок проведения тестирования. Проверка реальных условий размещения и использования оборудования. Тестовые испытания функций защиты от НСД и защиты от утечки по техническим каналам. Моделирование действий злоумышленника (“взлом” защиты информации). Особенности тестовых испытаний рабочих станций (АРМ), серверного оборудования, межсетевых экранов, маршрутизаторов, коммутаторов, VPN-устройств. Отчетные материалы.
Рекомендации по анализу и документированию результатов. Цель и методы обследования на этапе анализа. Анализ организационно-распорядительных документов, выполнения организационно-технических требований, деятельности персонала (сотрудников). Отчетные материалы. Рекомендации по документированию результатов: цель документирования; требования к документированию.
Раздел 4. Инструментальные средства аудита ИБ
Методы и инструментальные средства проведения активного аудита ИБ. Обнаружение и устранение уязвимостей. Возможности сканеров безопасности. Мониторинг событий безопасности. Internet Scanner и System Security Scanner. Сканер уязвимости Symantec NetRecon. Сканер уязвимостей систем безопасности Cisco Secure Scanner (NetSonar). Сканер Retina. Сетевой сканер NESSUS. Сканер Xspider; CommView – программа для мониторинга. MaxPatrol 8.0 – новое поколение Xspider.
Программные средства анализа и управления рисками. Инструментарий базового уровня: справочные и методические материалы; ПО анализа рисков и аудита Cobra; ПО анализа рисков и аудита Software Tool. Инструментарий для обеспечения повышенного уровня безопасности: ПО компании MethodWare; ПО анализа и управления рисками Risk Advisor; ПО идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты в сфере компьютерной и “физической” безопасности предприятия. RiskWatch; средства анализа и управления рисками CRAMM; комплексная система анализа и управления рисками информационной системы компании ГРИФ; комплексная экспертная система управления информационной безопасностью “РискМенеджер”.