«Практические аспекты проведения аудита ИБ компании»
17 мая 2007 года компания «ДиалогНаука» проводит в своем офисе бесплатный семинар для специалистов по информационной безопасности и руководителей ИТ-подразделений предприятий: «Практические аспекты проведения аудита информационной безопасности компании». Участники семинара ознакомятся с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Программа семинара:
9.45 — 10.00: Регистрация участников и приветственный кофе.
10.00 — 11.30: Секция №1
Что такое аудит информационной безопасности?
• Цели и задачи аудита безопасности.
• Объекты аудита безопасности.
• Причины, по которым может проводиться аудит безопасности.
• Конечные потребители, заинтересованные в получении результатов .аудита.
Виды аудита информационной безопасности.
• Аудит интернет-узлов компаний (penetration testing).
• Инструментальный анализ защищенности автоматизированной системы.
• Аудит, направленный на оценку соответствия системы правления информационной безопасности требованиям стандарта ISO 27001.
• Комплексная оценка рисков информационной безопасности.
Основные этапы работ по проведению аудита безопасности.
• Состав и порядок проведения работ.
• Длительность работ по проведению аудита безопасности.
• Функциональные роли участников проекта по проведению аудита безопасности.
• Регламент проведения аудита безопасности.
Методы сбора исходной информации для проведения аудита.
• Состав исходных данных, необходимых для проведения аудита.
• Методы сбора исходных данных.
• Типовые анкеты для сбора исходных данных.
• Особенности использования инструментальных средств для сбора исходной информации.
11.30 — 12.00: Кофе-брейк.
12.00 — 14.00: Секция №2
Методики проведения аудита информационной безопасности.
• Понятие качественной и количественной оценки рисков информационной безопасности.
• Критерии оценки уровня информационной безопасности предприятия.
• Методика оценки рисков OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation).
• Методика проведения аудита на основе Международного стандарта ISO 17799 (ISO 27001).
• Особенности применения инструментальных средств оценки рисков на примере программного комплекса Microsoft Security Assessment Tool (MSAT).
Результаты проведения аудита.
• Структура отчёта с результатами проведения аудита.
• Пример типового отчета.
• Дальнейшие действия, которые могут быть предприняты по результатам аудита.
Сертификация и аттестация автоматизированных систем предприятия.
• Подготовка к сертификации автоматизированной системы на соответствие требованиям Международного стандарта ISO 27001.
• Аттестация автоматизированных систем на соответствие требованиям руководящих документов ФСТЭК
Программа семинара:
9.45 — 10.00: Регистрация участников и приветственный кофе.
10.00 — 11.30: Секция №1
Что такое аудит информационной безопасности?
• Цели и задачи аудита безопасности.
• Объекты аудита безопасности.
• Причины, по которым может проводиться аудит безопасности.
• Конечные потребители, заинтересованные в получении результатов .аудита.
Виды аудита информационной безопасности.
• Аудит интернет-узлов компаний (penetration testing).
• Инструментальный анализ защищенности автоматизированной системы.
• Аудит, направленный на оценку соответствия системы правления информационной безопасности требованиям стандарта ISO 27001.
• Комплексная оценка рисков информационной безопасности.
Основные этапы работ по проведению аудита безопасности.
• Состав и порядок проведения работ.
• Длительность работ по проведению аудита безопасности.
• Функциональные роли участников проекта по проведению аудита безопасности.
• Регламент проведения аудита безопасности.
Методы сбора исходной информации для проведения аудита.
• Состав исходных данных, необходимых для проведения аудита.
• Методы сбора исходных данных.
• Типовые анкеты для сбора исходных данных.
• Особенности использования инструментальных средств для сбора исходной информации.
11.30 — 12.00: Кофе-брейк.
12.00 — 14.00: Секция №2
Методики проведения аудита информационной безопасности.
• Понятие качественной и количественной оценки рисков информационной безопасности.
• Критерии оценки уровня информационной безопасности предприятия.
• Методика оценки рисков OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation).
• Методика проведения аудита на основе Международного стандарта ISO 17799 (ISO 27001).
• Особенности применения инструментальных средств оценки рисков на примере программного комплекса Microsoft Security Assessment Tool (MSAT).
Результаты проведения аудита.
• Структура отчёта с результатами проведения аудита.
• Пример типового отчета.
• Дальнейшие действия, которые могут быть предприняты по результатам аудита.
Сертификация и аттестация автоматизированных систем предприятия.
• Подготовка к сертификации автоматизированной системы на соответствие требованиям Международного стандарта ISO 27001.
• Аттестация автоматизированных систем на соответствие требованиям руководящих документов ФСТЭК