«Аудит и анализ рисков информационной безопасности корпоративных систем» и «Организация информационной безопасности согласно требованиям международного стандарта ISO 17799»

Уважаемые господа,

Приглашаем вас принять участие в двухдневном семинаре «Аудит и анализ рисков информационной безопасности корпоративных систем» и «Организация информационной безопасности согласно требованиям международного стандарта ISO 17799»!
Семинары проводят ведущие лекторы компании «Домина Секьюрити», специализирующейся на подготовке специалистов в области защиты информации.

Время проведения курса: 9 - 10 октября 2003 года, 10.00 – 16.30
Место проведения курса (предварительная информация): Отель «Астория»

Краткая аннотация:

Данный учебный курс рекомендован для повышения квалификации и профессиональной переподготовки руководителей и специалистов подразделений технической защиты информации. В курсе обобщен и систематизирован многолетний опыт специалистов ООО "Домина Секьюрити" по разработке систем обеспечения информационной безопасности и аналитических обследований компьютерных сетей многих предприятий.

Главными целями курса являются:
Обучить слушателя как можно «определиться»: т.е. посредством прохождения аудита ИС или анализа рисков получить оценку состояния информационной безопасности в организации,
Ознакомить слушателя с поэтапным систематизированным планированием и внедрением мер ОБИ посредством реализации требований международного стандарта Информационной безопасности.

Особое внимание уделяется теории, технологии и практике обеспечения информационной безопасности, рациональному распределению функций и организации эффективного взаимодействия по вопросам защиты информации всех подразделений и сотрудников, использующих и обеспечивающих функционирование автоматизированных систем. Подробно рассматриваются вопросы разработки нормативно-методических и организационно-распорядительных документов с учетом требований российского законодательства и международных стандартов, необходимых для реализации рассмотренных на семинаре вопросов.

Аудитория:
Руководители служб и подразделений ИТ верхнего и среднего уровней. Руководители внутренних служб обеспечения безопасности.
Руководители подразделений защиты информации (CSIO), ответственные за состояние информационной безопасности в организации. Аналитики, эксперты и консультанты по компьютерной безопасности.
Администраторы средств защиты, контроля и управления безопасностью, ответственные за сопровождение и администрирование средств защиты информации.
Специалисты, ответственные за разработку нормативно-методических и организационно-распорядительных документов по вопросам защиты информации. Менеджеры, ответственные за работу с персоналом по вопросам обеспечения информационной безопасности

Всем участникам семинара предоставляется сертификат о прохождении курса.

Стоимость участия в семинаре:
Двухдневный семинар: 8900 рублей (280 у. е.).
При участии в первом или во втором дне семинаре по отдельности: 4950 рублей (155 у. е.).
Стоимость участия в семинаре включает в себя оплату питания и «кофейных» пауз во время семинара.

Скидки:
30% - студентам и преподавателям высших и средних специальных учебных заведений
15% - при участии двух и более слушателей от одной организации
15% - работникам специализированных фирм и предприятий сферы ИТ, консультантам по ИБ.

Всем участникам семинара предоставляется компакт-диск с полными пакетом материалов семинара (стоимость по отдельности 1590 рублей), включающий в себя два учебных материала серии «В Библиотеку Профессионала», разработанных экспертами ООО «Домина Секьюрити» в 2001-2002 годах, дополненных и отредактированных в 2003 году:
Аудит и анализ Рисков ИС,
Руководство по практическому применению международного стандарта безопасности ISO17799,
Компакт-диск может пригодиться при организации рабочих процессов, регулирующих указанные вопросы обеспечения информационной безопасности в организациях любого масштаба, профиля деятельности и форм собственности.

Программа семинара:

1-й день: Аудит и анализ рисков информационной безопасности корпоративных систем

В течение первого дня семинара Вы получите ответы на важные вопросы:
Анализ рисков и аудит информационной безопасности, или каким образом можно оценить текущее состояние ОБИ в вашей организации?
В чём состоит смысл и назначение аудита информационной безопасности?
Какой аудит нужен вашему предприятию? Какова его стоимость и оправданы ли затраты на проведение?
Кто и как должен проводить аудит?
Какую роль играют инструментальные средства анализа и управления рисками?
Каковы предпочтения в использовании методик и технологий аудита?
Как подготовить свою компанию к аудиту и аккредитации в соответствии с требованиями международных стандартов ISO 15408, ISO 17799 (BS 7799), BSI и CoBit.

Мы покажем как правильно:
и объективно оценивать текущее состояние информационной безопасности вашей компании;
вычислять потенциальный экономический ущерб, возникающий в результате покушения на деловую информацию;
создавать корпоративную систему защиты информации;
проверять адекватность и эффективность политики безопасности компании;
рассчитать необходимые затраты на совершенствование корпоративной системы защиты информации и таким образом повысить уровень информационной безопасности компании.

Программа курса

1. Актуальность аудита информационной безопасности
Правильная оценка состояния и управления информационной безопасности в фирме
Новые средства успешного развития компании
Методики аудита безопасности и их особенности (NIST (США), GAO and FISCAM (США), CASPR, OWASP, SCIP, SET, Best Practice (Symantec, ISS, Cisco Systems, IBM, Microsoft))
Отличительные особенности аудита информационной безопасности в России
Соответствие и взаимодействие международного и российского подходов и методов аудита безопасности (ISO 15408, ISO 17799(BS 7799), BSI и CoBit, SAC, COSO, SAS 55/78, РД Гостехкомиссии РФ)

2. Типы аудита безопасности компании
2.1. Комплексный анализ КИС и подсистемы информационной безопасности компании на методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков.
Комплексная оценка соответствия типовым требованиям РД регулирующих органов РФ к системе информационной безопасности предприятия.
Комплексная оценка соответствия типовым требованиям международных стандартов ISO 17799, ISO 15408 к системе информационной безопасности предприятия.
Комплексная оценка соответствия специальных требований Заказчика к системе информационной безопасности предприятия.
Анализ рисков. Уровень управления рисками на основе качественных оценок рисков.
Анализ рисков. Уровень управления рисками на основе количественных оценок рисков.
Инструментальное исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей.
Инструментальное исследование защищенности точек доступа предприятия в Internet.
2.2. Разработка комплексных рекомендаций по различным видам обеспечения режима информационной безопасности компании.
Разработка концепции обеспечения информационной безопасности предприятия.
Разработка фирменной политики мероприятий по защите информации на организационно-управленческом, правовом, технологическом и техническом уровнях.
Разработка плана с целью создания необходимой системы безопасности.
Анализ и создание методологического, организационно-управленческого, технологического, инфраструктурного и технического обеспечения режима информационной безопасности предприятия.
2.3. Организационно-технологический анализ КИС.
Оценка аналогичности стандартным требованиям актов регулирующих органов РФ к системе информационной безопасности предприятия в области организационно-технологических норм.
Проверка документов предприятия, относящихся к категории «конфиденциально», на соответствие требованиям концепции информационной безопасности; положению о коммерческой тайне, прочим внутренним требованиям предприятия по обеспечению конфиденциальности информации.
Исследование и оценка элементов информационной безопасности объекта.
Создание элементов концепции информационной защиты предприятия.
2.4. Экспертиза решений и проектов автоматизации и системной интеграции.
Экспертиза решений и проектов автоматизации на соответствие требованиям по обеспечению информационной безопасности экспертно-документальным методом.
Экспертиза проектов подсистем информационной безопасности на соответствие требованиям по безопасности экспертно-документальным методом.
2.5. Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации.
Анализ документооборота предприятия категории «конфиденциально» на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям предприятия по обеспечению конфиденциальности информации.
Укомплектование стандартной организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровне.
2.6. Поддержка практической реализации плана защиты.
Разработка технического проекта модернизации средств защиты КИС по результатам проведенного комплексного аналитического исследования корпоративной сети.
Разработка системы поддержки принятия решений по обеспечению информационной безопасности предприятия на основе CASE-систем и программных СППР.
Подготовка предприятия к аттестации.
Подготовка «под ключ» предприятия к аттестации объектов информатизации заказчика на соответствие требованиям РД РФ.
Подготовка предприятия к аттестации КИС на соответствие требованиям по безопасности международных стандартов ISO 15408, ISO 17799, стандарта ISO 9001 при обеспечении требований информационной безопасности предприятия.
Разработка организационно-распорядительной и технологической документации.
Разработка расширенного перечня сведений ограниченного распространения как части политики безопасности.
Разработка пакета организационно-распорядительной документации (ОРД) в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровне.
Комплект типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровнях.
2.7. Повышение квалификации и переподготовка специалистов.
Тренинги в области организационно-правовой составляющей защиты информации.
Основы экономической безопасности.
Тренинги в области технологии защиты информации.
Тренинги по применению технических средств защиты информации.
Меры безопасности при попытке взлома информационных систем.
2.8. Сопровождение системы информационной безопасности после проведенного аудита безопасности оператора связи.
2.9. Периодическая оценка состояния информационной безопасности оператора связи.
Основные цели и задачи системы защиты информации
Модели построения системы информационной безопасности
Алгоритмы и методы аудита безопасности
Определение границ исследования
Построение модели информационной технологии компании
Выбор контрмер (firewall, VPN, IDS, PKI, антивирусы, СЛЗИ, СЗИ от НСД, средства централизованного управления безопасностью)
Управление информационными рисками
Оценка достигаемой защищенности

3. Реорганизация и совершенствование корпоративной системы безопасности
Основные цели и задачи системы защиты информации
Шаблоны построения системы информационной безопасности
Алгоритмы и методы аудита безопасности
Определение границ исследования
Построение модели информационной технологии компании
Выбор контрмер (firewall, VPN, IDS, PKI, антивирусы, СЛЗИ, СЗИ от НСД, средства централизованного управления безопасностью)
Управление информационными рисками
Оценка достигаемой защищенности

4. Инструментальные средства аудита безопасности компании (COBRA (Великобритания), RiskPAC (CSCI), CRAMM (Великобритания), MARION(Франция), RiskWatch (США), Авангард (ИСА РАН)

5. Примеры аудита безопасности отечественных компаний
Пример 1. КИС малого или среднего предприятия
Пример 2. КИС крупного предприятия


2-й день: Организация информационной безопасности согласно требованиям международного стандарта ISO 17799

Программа второго дня семинара является насыщенной. Мы подробно остановимся на рассмотрении основных требований стандарта ISO и рассмотрим несколько практических примеров. Резюме учебного дня:

1. Вводная часть.
Назначение и основные разделы стандарта
2. Основные термины и определения
3. Политика безопасности
4. Организационные меры по обеспечению безопасности
Управление форумами по информационной безопасности
Координация вопросов, связанных с информационной безопасностью
Распределение ответственности за обеспечение безопасности
5. Классификация и управление ресурсами
Инвентаризация ресурсов
Классификация ресурсов
6. Безопасность персонала
Требования безопасности при выборе персонала
Тренинги персонала по вопросам безопасности
Реагирование на секьюрити инциденты и неисправности
7. Физическая безопасность
8. Управление коммуникациями и процессами
Рабочие процедуры и ответственность
Системное планирование
Защита от злонамеренного программного обеспечения (вирусов, троянских коней)
Управление внутренними ресурсами
Управление сетями
Безопасность носителей данных
Передача информации и программного обеспечения
9. Контроль доступа
Бизнес-требования для контроля доступа
Управление доступом пользователя
Ответственность пользователей
Контроль и управление удаленного (сетевого) доступа
Контроль доступа в операционную систему
Контроль и управление доступом к приложениям
Мониторинг доступа и использования систем
Мобильные пользователи
10. Разработка и техническая поддержка вычислительных систем
Требования по безопасности систем
Безопасность приложений
Криптография
Безопасность системных файлов
Безопасность процессов разработки и поддержки
11. Управление непрерывностью бизнеса
Процесс управления непрерывного ведения бизнеса
Непрерывность бизнеса и анализ воздействий
Создание и внедрение плана непрерывного ведения бизнеса
Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса
12. Соответствие системы основным требованиям
Соответствие требованиям законодательства
Анализ соответствия политики безопасности
Анализ соответствия техническим требованиям
Анализ системного аудита

Лекторы:

Платонов Владимир Владимирович
профессор Кафедры Информационной Безопасности Санкт-Петербургского Государственного Технического Университета
кандидат технических наук
эксперт по информационной безопасности - практик, лектор, автор многочисленных публикаций.

Монин Александр Сергеевич
Магистр Техники и Технологии
эксперт по информационной безопасности - практик, лектор, автор нескольких публикаций по ИБ.

Контактное лицо: не указано
Компания: "Domina Security" Consulting & Educations
Добавлен: 13:42, 23.09.2003

Другие пресс-релизы данного раздела: