«Руководство по управлению информационными рисками корпоративных информационных систем Internet/Intranet»

Руководство по управлению информационными рисками корпоративных информационных систем Internet/Intranet разработано экспертами по информационной безопасности компании «Digital Security» на основе многолетнего положительного опыта осуществления практических работ в данной области.

Содержание диска

Тема I. Основные цели и задачи аудита безопасности и анализа рисков компании

Актуальность аудита безопасности и анализа рисков компании. Как оценить уровень безопасности КИС? Возможные виды аудита безопасности КИС.
В этом разделе:

• рассматриваются основные понятия, связанные с анализом рисков и аудитом информационной безопасности;
• анализируются те проблемы, которые компании могут решить, проводя аудит безопасности своих информационных систем;
• описываются новые возможности, которые предоставляет аудит безопасности; руководителям, ИТ-специалистам и рядовым сотрудникам предприятий;
• кратко описываются существующие виды и направления аудита безопасности.

Тема 2. Возможные методики аудита безопасности КИС

• Новое поколение стандартов информационной безопасности
• Стандарты ISO/IEC 17799:2000 (BS 7799-1:2000) и BS 7799-2:2000
• Стандарт COBIT 3rd Edition
• Стандарт ISO/IEC 15408

В данном разделе курса рассматриваются наиболее современные стандарты в области информационной безопасности и их влияние на методику проведения аудита безопасности. В соответствие с рассмотренными стандартами, обеспечение информационной безопасности в любой компании предполагает следующее.
Во-первых, определение целей обеспечения информационной безопасности компьютерных систем.
Во-вторых, создание эффективной системы управления информационной безопасностью.
В-третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям.
В-четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния.
В-пятых, использование методик проведения аудита информационной безопасности (с обоснованной системой метрик и мер), позволяющих объективно оценить текущее состояние дел.

Тема 3. Возможные алгоритмы аудита безопасности КИС

• Анализ информационных рисков компании
• Методы оценивания информационных рисков компании
• Табличные методы оценки рисков
• Пример методики анализа рисков на качественном уровне (матрица рисков)
• Роль анализа рисков в процессе создания корпоративной системы информационной безопасности (на примере модели LifeCycle Security)
• Возможная методика реорганизации корпоративной системы безопасности
• Проектирование системы обеспечения безопасности объекта

Раздел начинается описанием особенностей проведения аудита безопасности в российских условиях. Далее подробно рассматриваются основные подходы к проведению аудита безопасности, описываются конкретные методики оценки информационных рисков. В частности, приводится описание метода табличной оценки рисков, описывается подход к проведению оценки рисков на качественном уровне с помощью матрицы рисков. На примере разработанной компанией Axent модели LifeCycle Security показывается то место, которое занимает этап анализа рисков в процессе построения комплексной системы информационной безопасности. Приводится возможная методика реорганизации корпоративной системы безопасности и описывается каркас методики проведения аудита безопасности корпоративной информационной системы.

Тема 4. Аналитический обзор инструментальных средств для анализа рисков и защищенности корпоративных систем Intranet/Internet

• Инструментальные проверки уровня безопасности компании
• Internet Scanner и System Security Scanner
• Сканер уязвимости Symantec NetRecon
• Система централизованного управления безопасностью Enterprise Security Manager
• Сканер уязвимости системы безопасности Cisco Secure Scanner (NetSonar)
• Сканер Retina
• Сканер Xspider
• Пример использования средств активного аудита.
• Инструментальные средства анализа рисков
• Использование «матрицы рисков» (MS IT Advisor for Risk Management)
• CRAMM
• Количественный подход к анализу рисков на примере RiskWatch
• Выбор оптимальной стратегии защиты компании

В первой части раздела приводится описание ряда популярных средств инструментальной проверки уровня защищенности информационной системы. Указываются особенности каждого из программных продуктов, называются их сильные и слабые стороны. Для иллюстрации возможностей, которые предоставляет названный инструментарий, приводится упрощенный пример анализа безопасности сети небольшого предприятия.
Вторая часть раздела посвящена программным средствам анализа рисков и методикам, которые они реализуют. На примере таких пакетов, как MS IT Advisor for Risk Management, CRAMM, RiskWatch показываются возможные подходы к оценке рисков - качественный, смешанный и количественный.
Заканчивается раздел описанием одного из возможных подходов к решению задачи выбора оптимального проекта. Представленный подход базируется на математических методах теории принятия решений.

Тема 5. Требования и содержание отчетных документов для анализа рисков компании

• Разработка концепции, эскизного проекта, руководящих и специальных нормативных документов
• Структура концепции информационной безопасности
• Предложения по структуре эскизного проекта
• Требования по составу информации, предоставляемой предприятием для проведения аналитических работ
• Формы для самостоятельного определения уровней рисков, соответствующих показателям ценности ресурсов, угроз и уязвимостей
• Заключительный раздел курса посвящен вопросам, связанным с «документальным сопровождением» процесса аудита информационной безопасности. Описываются и те данные, которые предприятие должно подготовить для проведения аудита, и те документы, которые разрабатываются по результатам проведенной проверки.
• Рекомендуемый список литературы по теме
• Ресурсы Интернет
• Индекс избранных документов RFC

Руководство может быть использовано в качестве практического руководства по управлению информационными рисками корпоративных информационных систем Intranet/Internet.

Авторы курса - эксперты компании «Digital Security»:

• кандидат технических наук И.Д. Медведовский, исполнительный директор компании Digital Security, автор серии книг «Атака на Internet», эксперт по информационной безопасности;
• руководитель направления «Безопасность компьютерных систем» компании Конфидент, кандидат технических наук С.А. Петренко - опытный специалист-практик в области защиты информации. Автор и соавтор 8 книг и более 100 статей (Системы безопасности, Защита информации. Конфидент, Экспресс Электроника, CHIP-Россия, Мир Интернет, ReadMe, Data Communications. Сетевой журнал, Мир Связи. Connect), посвященных информационно-компьютерной безопасности. Из них - практические руководства и книги «Аудит безопасности Intranet», «Технологии защиты информации», «Информационная безопасность предприятия»;
• Нестеров Сергей Александрович, кандидат технических наук, преподаватель кафедры Системного анализа и управления Санкт-Петербургского государственного политехнического университета. Автор более 15 научных статей и публикаций.

М6425 Конфигурирование служб каталогов Windows Server 2008 R2 Active Directory

Этот пятидневый курс создан для IT-специалистов, которые работают со службами каталогов Windows Server 2008 R2 Active Directory. С его помощью специалисты приобретут знания и навыки по конфигурации служб каталогов Windows Server 2008 R2 Active Directory в распределенной среде, внедрять групповые политики, выполнять резервное копирование, отслеживать и устранять неполадки.
Описание тренинга

М10135 Настройка, управление и устранение неисправностей в Microsoft Exchange Server 2010

Этот пятидневный курс предоставляет слушателям знания и навыки по работе и настройке среды сообщений в Microsoft Exchange Server 2010. Этот курс не требует предыдущего опыта работы с Exchange Server. Однако же студенты должны иметь опыт управления Windows Server и Active Directory или службами каталогов Active Directory Domain Services (AD DS). Этот курс научит вас, как настроить Exchange Server 2010, а также оптимизировать развертывание Exchange Server.
Описание тренинга

M2710 Анализ требований и построение архитектуры информационных систем на базе Microsoft .NET

Данный курс позволит слушателям приобрести необходимые знания и навыки для планирования, разработки, тестирования и внедрения информационных систем на базе Microsoft .NET.
Описание тренинга

М6421 Конфигурирование и диагностика сетевой инфраструктуры Windows Server 2008

На этом курсе слушатели получат знания и навыки по настройке и устранению неполадок в сетевой инфраструктуре Windows Server 2008 и Windows Server 2008 R2. Курс рассматривает вопросы сетевых технологий, таких как DNS, DHCP, IPv4 и IPv6, Network Policy server, технологии защиты сетевого доступа (Network Access Protection - NAP) и настройки защищенного доступа к сети.
Описание тренинга

Project (I) Управление проектами с использованием Microsoft Project: Часть 1

Данный курс раскрывает основные возможности Microsoft Project при создании, реализации и контроле плана проекта.
Описание тренинга

Project (II) Детальный анализ и реализация проектов с использованием Project: Часть 2

Данный курс позволяет рассмотреть методы оптимизации, реализации и контроля плана проекта с использованием Microsoft Project .
Описание тренинга

VS5-ICM VS5-ICM VMware vSphere: Установка, настройка, управление V5

Данный курс, является практическим и посвящен установке, настройке и управлению VMware VMware vSphere, состоящей из Vmware ESXi и VMware vCenter Server. Курс основан на ESXi 5.0 и vCenter Server 5.0. Прослушивание курса дает право сдать экзамен на получение статуса VMware Сertified Professional 5. Студенты прослушавшие этот курс могут регистрироваться на несколько более продвинутых курсов vSphere.
Описание тренинга

ITIL-Sec Управление Информационной Безопасностью

В рамках курса Управление Информационной Безопасностью рассматриваются современные методы организации работы служб информационной безопасности компаний на основе передового опыта, описанного в библиотеке ITIL (IT Infrastructure Library) и практик международного стандарта ISO/IEC 17799 (Информационные технологии - практические правила управления информационной безопасностью). Курс предназначен для получения слушателями необходимых знаний для эффективной организации процесса обеспечения информационной безопасности и приведение в соответствие с международными стандартами практик Службы Информационной безопасности предприятия
Описание тренинга

CVOICE v8.0 Реализация Cisco голосовой связи и QoS V8.0

Курс дает слушателям понимание важных аспектов пакетной телефонии, рассказывая о технологиях, одинаково применимых как в масштабах предприятия, так и в инфраструктуре провайдеров. Он рассказывает о голосовых шлюзах, характеристиках этапов VoIP звонка, базовом конфигурировании IP телефонов в IP PBX Cisco Unified Communication Manager Express, дает знания о гейткиперах и шлюзах CiscoUnified Border Element. Курс также обучает слушателей основам технологии QoS, необходимой для обеспечения соответствующего качества передачи голоса в конвергентных сетях.
Описание тренинга

М6234 Внедрение и администрирование Аналитических Сервисов Microsoft SQL Server 2008

Этот трехдневный курс расскажет слушателям как реализовать решения для анализа данных. Курс также будет полезен тем, кто обладает знаниями в объёме программы, но хочет их систематизировать, а также повысить свою эффективность за счёт новых приёмов и методов работы.
Описание тренинга

NT-DPM2010 Установка и администрирование System Center Data Protection Manager 2010

Описание тренинга

М80290 Управление маркетингом в Microsoft Dynamics® CRM 2011

Этот курс расскажет о том, как с помощью Microsoft Dynamics CRM повысить эффективность Вашего отдела маркетинга и расскажет, как использовать такие вещи, как рекламные кампании, маркетинговые списки и шаблоны кампаний в Microsoft Dynamics CRM. В курсе также рассматриваются темы связанные с кампаниями и маркетинговыми списками в кампаниях, а также как связать документы по продажам, целевые продукты и прайс-листы с маркетинговыми кампаниями.
Описание тренинга

М80291 Управление продажами в Microsoft Dynamics® CRM 2011

Этот курс знакомит с возможностями управления продажами в Microsoft Dynamics CRM, которые позволяют отслеживать и управлять процессом продаж. Курс дает представление об использовании каталога продукции и информации о процессе продаж. Курс также представляет о некоторых из инструментов, используемых для анализа и представления информации о продажах.
Описание тренинга

NT-PM101 Методология управления проектами

Программа курса позволяет получить системные структурированные базовые знания по методологии управления проектами. Основная цель данного курса - получение и систематизация знаний в области управления проектами и выработка базовых навыков по проектному менеджменту. Курс создан в соответствии с 4ой редакцией общепризнанного стандарта PMBoK, разработанным PMI. Упражнения по ходу курса помогут слушателям закрепить теоретические знания и, в тоже время, спроецировать их на текущие практические задачи.
Описание тренинга

М10747 Администрирование System Center 2012 Configuration Manager

Этот 5 дневный тренинг посвящен продукту Microsoft System Center Configuration Manager 2012, предназначенному для управления ИТ-инфраструктурой на основе Windows. Это новая версия самого популярного инструмента для автоматизации ряда процессов управления программным обеспечением. Мощная функциональность Microsoft System Center Configuration Manager позволит Вам развертывать и обновлять серверы и мобильные устройства в физических, виртуальных и мобильных средах. Использование Microsoft System Center Configuration Manager обеспечит Вам полный контроль и управление ИТ-средой, повышение безопасности и производительности систем.
Описание тренинга

М6451 Планирование, развертывание и поддержка Microsoft System Center Configuration Manager 2007

На этом пятидневном курсе слушатели будут иметь возможность получить знания и навыки по планированию, развертыванию и поддержке Configuration Manager 2007. Основное внимание на курсе уделяется сайтам и клиентам, настройке програмного обеспечения, развертыванию операционных систем. Также на нем будет рассматриваться поддержка удаленных инструментов и управление мобильными устройствами.
Описание тренинга

CIPT1 Внедрение Cisco Unified Communications Manager, Часть 1 (CIPT1) V8.0

Курс Implementing Cisco Unified Communications Manager, Part 1 (CIPT1) v8.0 готовит слушателей к внедрению продукта Cisco Unified Communications Manager врамках модели одного офиса. В курсе рассматривается, главным образом, Cisco Unified Communications Manager версии 8.0, который предназначен для маршрутизации и обработки звонка в решениях Cisco Unified Communications.
Описание тренинга

NT-BSDAdm Инсталляция, администрирование и поддержка FreeBSD

Курс посвящён основным вопросам по администрированию FreeBSD-системы, начиная с использования элементарных команд пользователя и заканчивая нетривиальными вопросами сопровождения системы. Он может быть условно разделён на две части: первая -- использование Unix систем, и вторая -- администрирование FreeBSD-системы. В первой части изучаются основные инструменты администратора системы: командный интерпретатор, редактор vi, программы для работы с файлами, процессами, символьными потоками и ряд других. Во второй -- собственно система, её основные элементы, их назначение и использование.
Описание тренинга

NT-LAdm Инсталляция, администрирование и поддержка Linux-систем

Курс посвящён основным вопросам администрирования Linux-системы, начиная с использования элементарных команд пользователя и заканчивая нетривиальными вопросами сопровождения системы. Он может быть условно разделён на две части: первая -- использование Linux/Unix систем, и вторая -- администрирование Linux-системы. В первой части изучаются основные инструменты администратора системы: командный интерпретатор, редактор vi, программы для работы с файлами, процессами, символьными потоками и ряд других. Во второй -- собственно система, её основные элементы, их назначение и использование.
Описание тренинга