Курс: ITG241 Intermediate IT Audit School. Школа аудиту ІС. Середній рівень. Курси MIS Training Institute в навчальному центрі Мікроінформ

1. Програми з аудиту інформаційних систем

Програми з аудиту інформаційних систем

Орієнтований на: ревізорів інформаційних систем, зовнішніх аудиторів, фінансових і операційних аудиторів, аудиторів бізнес-додатків; фахівців з контролю якості; керівників і менеджерів по аудиту; менеджерів і аналітиків з інформаційної безпеки.
Попередній рівень підготовки: середній. Необхідно прослухати курс " ITG101 IT Auditing and Controls "Або" ITG111 Making the Transition from IT to IT Audit ", Або мати еквівалентні знання і відповідний практичний досвід. Передбачається знання основної термінології та концепцій контролю ІС.
Тривалість: 4 дні, 32 години.
Методичні матеріали: методичні матеріали навчального центру.
Бонус: на додаток до матеріалів курсу учасники отримають стандартне видання довідника "MIS Swiss Army Knife Reference", в якому перераховані сотні цінних ресурсів з інформаційної безпеки і аудиту ІС.

програма курсу

1. Оцінка ризиків і планування аудиту
   • загрози для ІС, ризики та наслідки
   • визначення ризику
   • оцінка ризиків ІС
   • ризики інфраструктури ІС
   • баланс вартість / ризик
   • класифікація інформації
   • інструментарій оцінки ризиків ІС
2. Управління відповідністю: положення, стандарти і моделі
   • типи законів
   • проблеми відповідності нормативам
   • нормативні положення і стандарти в США і міжнародні
   • розкрадання конфіденційної інформації, шифрування і інші важливі питання регулювання державного / регіонального рівня
   • створення і використання моделей ІС, і моделей аудиту та безпеки ІС
   • застосування COBIT ® 4.1, ISO 27001/27002, ITIL, GAO / FISMA та інших стандартів в якості основи для моделі аудиту ІС
   • облік вимог щодо відповідності в плані аудиту
3. Керівництво (governance) ІТ
   • ризики, службова відповідальність і складові керівництва ІТ
   • комітет по керівництву (нагляду) ІТ
   • керівництво інформаційною безпекою
   • політики, стандарти і процедури інформаційної безпеки
   • організаційна структура / службові обов'язки по ІТ
   • розподіл обов'язків
   • стандарти аудиту IIA і ISACA для керівництва ІТ
   • аутсорсинг ІТ-операцій і розробки
   • процедури і контрольні переліки аудиту
4. Контроль логічного доступу
   • загальні питання контролю доступу
   • контроль логічного доступу
     • ідентифікація, аутентифікація і управління обліковими записами користувачів
     • авторизація та контроль доступу користувачів
     • журнали аудиту та моніторинг
     • адміністрування захисту
   • контроль доступу для розподілених багаторівневих додатків
   • безпеку мобільних пристроїв і додатків
   • процедури і контрольні переліки аудиту
5. демістифікація шифрування
   • концепції шифрування
   • управління ключами шифрування
   • цифрові підписи
   • інфраструктура відкритих ключів та засвідчують центри
   • додатки шифрування
   • визначення рамок аудиту коштів контролю шифрування
   • процедури і контрольні переліки аудиту
6. Безпека інфраструктури мережі
   • мережева термінологія
   • ризики безпеки і стратегії захисту мережі
   • моделі протоколів OSI і мереж TCP / IP
   • аналіз ризиків додатків TCP / IP
   • управління мережевою адресацією
   • міжмережеві екрани, демілітаризовані зони і захист периметра
   • системи виявлення / запобігання вторгнення
   • безпеку віддаленого доступу і віртуальних приватних мереж
   • безпеку бездротових локальних мереж
   • процедури і контрольні переліки аудиту
   • джерела інструментарію захисту та аудиту мереж
7. ПО операційної системи
   • типи системного ПО
   • ОС серверів і робочих станцій
   • віртуалізація і Гіпервізор
   • цілісність і ризики для системного ПО
   • контроль логічного доступу в операційних системах
   • аудит політик безпеки ОС: параметри ПО
   • керування виправленнями
   • контроль привілейованих користувачів і програм
   • процедури і контрольні переліки аудиту
   • джерела інструментарію захисту та аудиту ОС
8. Системи управління базами даних (СКБД)
   • реляційні бази даних і архітектури СУБД
   • мова структурованих запитів
   • словник даних / головний каталог і інші ключові точки контролю СУБД
   • ролі і ризики систем і додатків СУБД
   • ризики управління базами даних
   • засоби контролю доступу та засоби відновлення СУБД
   • процедури і контрольні переліки аудиту
   • джерела інструментарію захисту та аудиту СУБД
9. Управління змінами та розробкою системи
   • моделі життєвого циклу розробки системи (System Development Life Cycle, SDLC)
   • розробка системи: бізнес-ризики
   • роль аудиту, забезпечення проекту персоналом, і стратегії аудиту SDLC
   • оцінка управління проектом
   • проекти збірки систем
   • швидка розробка додатків і обчислення кінцевих користувачів
   • скорочення можливостей для атак: уразливості і засоби захисту Web-додатків
   • управління конфігурацією і контроль змін в розподіленої обчислювальної середовищі
   • процедури і контрольні переліки аудиту
   • джерела кращої практики і інструментарію безпечної розробки та тестування ПЗ
10. Планування безперервності бізнесу і відновлення після надзвичайної ситуації
    • планування безперервності бізнесу в порівнянні з плануванням відновлення після надзвичайної ситуації
    • аналіз впливу на бізнес
      • пріоритети відновлення додатків
      • цільові точки відновлення
      • цільове час відновлення
    • плани відновлення і методи їх тестування
    • альтернативи розміщення і телекомунікацій на час відновлення
    • засоби контролю перенесених в інше місце обробки і зберігання даних
    • уроки, витягнуті з подій 11 вересня, урагану "Катріна" і інших великих стихійних лих
    • процедури і контрольні переліки аудиту
11. Здійснення аудиту ІС

• стратегії планування аудиту ІС
• інструментальні засоби і методики тестування засобів контролю ІС
• джерела кращої практики аудиту, контрольних переліків та інші ресурси з аудиту ІС