Курс: (ISM101) How to Manage an Information Security Program
(Методы управления программой обеспечения информационной безопасности)

Ориентирован на: менеджеров по информационной безопасности; менеджеров по информационным технологиям; специалистов по защите данных; администраторов по вопросам защиты; аудиторов информационных систем.
Предварительный уровень подготовки: базовая подготовка.
Продолжительность: 3 дня, 24 часа.
Методические материалы: методические материалы MIS Training Institute.
Бонус: справочник необходимой информации "Manager's Edition of the MIS Swiss Army Knife Reference Guide".

Программа курса

1. Основания для защиты информации
   • окружение для информационной безопасности
   • определение атрибутов программы информационной безопасности
   • угрозы в защите информации и области уязвимости
   • законодательные и регулирующие требования к защите и закрытости данных в США, в том числе Sarbanes-Oxley Act
   • международные требования, включая влияние ЕС на американский бизнес
   • крупные проблемы: хакеры, вирусы, телефонные мошенничества и незаконное использование ПО
2. Управление информационной безопасностью: стратегические составляющие
   • цикл управления безопасностью
   • категории средств управления информационной безопасностью
   • стратегические шаги в управлении безопасностью
   • общее управление и ежедневное администрирование
   • получение поддержки со стороны руководства и организационной поддержки
   • политики безопасности
   • оценка рисков
   • классификация и оценка информации
   • создание программы повышения сознания в области ИБ для персонала
   • эффект от вложений в безопасность
3. Критерии для защищенной системы
   • требования, касающиеся функциональных возможностей защиты
   • концепции управления доступом
   • журналы аудита защиты
   • стандарты безопасности: "Общие Критерии", NIST и другие
   • стандарты управления защитой: BS 7799, ISO 17799, ISF
4. Безопасность организации
   • интегрированная архитектура безопасности
   • компоненты архитектуры
   • управление защитой сети
   • безопасность сети: внутренние и внешние соединения, межсетевые экраны, шифрование (VPN и PKI), обнаружение и предотвращение вторжения, беспроводные сети
   • безопасность многопользовательского узла: безопасность системы, безопасность приложений
   • безопасность рабочей станции
   • системы безопасности организаций: аутентификация, службы каталогов, централизованное администрирование защиты, администрирование защиты в мультиплатформенных системах
   • мобильные вычисления
5. Физическая безопасность, защита оборудования и защита от воздействий окружающей среды
   • физическая безопасность
   • защита оборудования
   • безопасность носителей данных
   • средства контроля окружающей среды в распределенных системах
   • периметр физической защиты
6. Планирование восстановления/непрерывности бизнеса
   • элементы успешного плана действий в случае непредвиденных обстоятельств
   • роли и ответственность
   • анализ воздействия на бизнес
   • восстановление системы
   • восстановление на уровне организации
   • управление планом
   • средства и методики организации, тестирования и обновления плана
7. Текущие проблемы информационной защиты
   • закрытость информации (privacy)
   • электронная почта
   • мониторинг действий персонала
   • проблемы, связанные с небрежностью и халатностью
   • хищение/подмена учетных записей
   • криптография: международные проблемы
8. Информационная безопасность на уровне организации: будущее
   • поддержка со стороны руководства
   • связь безопасности и бизнеса
   • роль подразделения информационной безопасности
   • финансирование, комплектование персоналом и know-how
   • план из 12 шагов для достижения успеха
   • измерение успеха: показатели безопасности

Курс: (ISM215) Developing Information Security Policies and Awareness Programs
(Разработка политик информационной безопасности и программ повышения компетенции персонала)

Ориентирован на: менеджеров по информационной защите, особенно вновь назначенных; специалистов по информационной безопасности, которым необходимо обновить политики информационной безопасности или программы повышения компетенции персонала; системных и сетевых администраторов; менеджеров по информационным технологиям; аудиторов информационных систем.
Предварительный уровень подготовки: средний. Вы должны прослушать курс "Fundamentals of Information Security" или "How to Manage an Information Security Program", или иметь соответствующий опыт.
Продолжительность: 3 дня, 24 часа.
Методические материалы: методические материалы MIS Training Institute.

Программа курса

1. Политики безопасности: введение
   • почему необходимы политики безопасности
   • соответствие законодательным и нормативным требованиям: Sarbanes-Oxley, HIPAA, GLBA
   • получение поддержки менеджмента
   • соответствие политики корпоративной культуре
   • построение команды разработки политики
2. Политики, стандарты, процедуры и руководства
   • чем они являются
   • чем они отличаются
   • как они подкрепляют друг друга
3. Разработка политики
   • структура и формат
   • компоненты и стиль
   • обеспечение удовлетворяющей бизнес-потребностям отчетности по политике
   • что составляется первым: политика организации
   • матрица потенциальных политик: выделение целей политик и прослеживание их статуса
   • типовые политики
4. Процесс рецензирования и одобрения
   • рецензенты и корректировки
   • одобрение политик и их готовность к вводу в действие
5. Процесс ввода в действие
   • координация
   • методы ввода в действие
   • доведение до персонала и как добиться понимания
   • мониторинг соответствия и принуждение к выполнению
6. Аудит и поддержание политики
   • определение момента необходимости обновления политики
   • когда вводить в действие обновленные политики
7. Что составляет успешную программу "понимания персоналом"
   • осмысление существующего окружения и ожидающихся изменений
   • кто нуждается в обучении по безопасности и в какой мере
   • получение поддержки менеджмента
   • построение примера по подготовке персонала
8. Цели и показатели программы "понимания персоналом"
   • разработка показателей программы "понимания персоналом", базирующихся на измеримых целях
   • создание основного документа программы, поддержанного детализированным документом о ресурсах
9. Идентификация оптимальных для вашей организации средств, позволяющих добиться "понимания"
   • варианты коммуникации
   • использование видео для получения поддержки
   • возможные "продвигающие" подарки и сувениры, примеры метких выражений и лозунгов из области безопасности
10. Злободневные вопросы, которые необходимо включить в программу "понимания персоналом"
    • выбор тем из "Information Protection Shopping List"
    • использование Интернет и электронной почты
    • анализ рисков и управление паролями
11. Показатели для контроля успеха программы "понимания персоналом"
    • процессы и инструменты контроля
    • получение материала для создания долгосрочной программы

Курс: (ISM201) Information Risk Management
(Управление рисками информационных систем)

Ориентирован на: аудиторов информационных систем, менеджеров по аудиту, внешних аудиторов; сотрудников служб поддержки качества; специалистов по защите данных, администраторов безопасности ИС, менеджеров по информационной безопасности; системных программистов и системных аналитиков.
Предварительный уровень подготовки: средний. Вы должны прослушать курс "How to Manage an Information Security Program" или иметь соответствующий опыт.
Продолжительность: 3 дня, 24 часа.
Методические материалы: методические материалы MIS Training Institute.

Программа курса

1. Управление рисками информационных систем
   • четыре фазы управления рисками ИС
   • как процесс управления риска ИС вписывается в программу информационной защиты
   • партнеры в процессе управления рисками ИС и роли каждого из них
   • на пути от централизованной до децентрализованной обработки информации
     
2. Анализ рисков ИС
   • цикл анализа рисков и его компоненты
   • вопросы управления и восприятие процесса анализа рисков ИС
   • типы анализа риска ИС: количественный подход против качественного
   • инструментальное ПО для осуществления процесса анализа риска ИС
   • определение целей и возможностей анализа рисков ИС
   • положения, определяющие границы процесса анализа рисков ИС
   • роль владельца информации в процессе анализе рисков ИС
     
3. Разработка плана мероприятий
   • административная информация, требуемая для плана мероприятий
   • сбор информации о рисках и управлении
   • определение пунктов плана мероприятий соответствующих идентифицированным средствам управления
   • использование плана мероприятий в процессе утверждения и одобрения
   • распространение и защита плана мероприятий по анализу рисков
     
4. Активы ИС, риски, угрозы и уязвимости
   • идентификация активов при анализе рисков ИС
   • определение ценностей активов ИС
   • расположение по приоритетам, категоризация и документирование рисков ИС
   • раскрытие уязвимостей информации
     
5. Менеджмент-решение
   • достижение "приемлемого уровня риска"
   • идентификация средств управления при анализе рисков ИС
   • определение стоимости управления
   • категоризация и документирование средств управления для программы в целом
     
6. Осуществление управления и контроля
   • использование плана мероприятий для создания назначений, графиков и определения необходимых утверждений и одобрений
   • вовлечение аудита в процесс
     
7. Развитие
   • отслеживание процесса анализа рисков ИС: от старта до финиша
   • укрепление и расширение использования процесса анализа риска ИС
     
8. Анализ бизнес-воздействия (Business Impact Analysis, BIA)
   • процесс анализа бизнес-воздействия: компоненты и определения
   • BIA как ключ к успешной программе защиты данных
   • партнеры в процессе бизнес-воздействия и роли, которые играет каждый из них
     
9. Разработка плана мероприятий BIA
   • административная информация, требуемая для плана мероприятий
   • идентификация "критериев воздействия" и их важности для организации
   • точное определение ключевых бизнес-процессов и периодов наиболее интенсивной активности
   • разработка алгоритмов для вычисления бизнес-потерь
   • распространение и защита плана мероприятий по анализу бизнес-воздействия
     
10. Использование анализа бизнес-воздействия
    • создание расположенного по приоритетам списка приложений
    • построение организационных планов восстановления после сбоя и обеспечения непрерывности бизнеса с использованием результатов анализа бизнес-воздействия

Курс: ( ISG211 ) Business Continuity Planning: Avoiding the Big One
(Планирование непрерывности бизнеса)

Ориентирован на: аудиторов информационных систем, внешних аудиторов, менеджеров по аудиту; планировщиков восстановления после чрезвычайных ситуаций; специалистов служб поддержки качества; специалистов по защите данных, администраторов безопасности, менеджеров по информационной безопасности; системных программистов и системных аналитиков.
Предварительный уровень подготовки: средний. Вы должны прослушать курс "Fundamentals of Information Security" или "How to Manage an Information Security Program" или иметь соответствующий опыт.
Продолжительность: 3 дня, 24 часа.
Методические материалы: методические материалы MIS Training Institute.

Программа курса

1. Планирование чрезвычайных обстоятельств
   • определения восстановления после чрезвычайной ситуации, частичного выхода из строя и планирования возобновления бизнеса
   • выбор превентивного, а не реагирующего подхода при обеспечении доступности
   • обоснование стоимости ваших планов для менеджмента
   • поддержка планирования чрезвычайных обстоятельств в корпоративной политике
   • убеждение других подразделений в том, что они должны осуществлять и поддерживать план
     
2. Разработка плана восстановления после чрезвычайной ситуации (Disaster Recovery Plan, DRP)
   • анализ воздействия на бизнес (Business Impact Analysis, BIA) как основа для планирования восстановления
   • создание отчета по действиям BIA
   • идентификация "критериев воздействия" и их важность для организации
   • точное определение ключевых бизнес-процессов и периодов пиковой активности
   • определение целевого времени восстановления (Recovery Time Objective, RTO)
   • определение целевой точки восстановления (Recovery Point Objective, RPO)
   • создание списка приложений по приоритетности
     
3. Предотвращение чрезвычайных ситуаций
   • процедуры, которые должны осуществляться для предотвращения чрезвычайных ситуаций
   • обучение в целях предотвращения чрезвычайных ситуаций
   • внешние хранилища и восстановление
     
4. Решения для восстановления после чрезвычайной ситуации
   • разработка стратегий, основанных на величине потери вследствие воздействия, RTO и RPO
   • взвешивая за и против для различных стратегий восстановления
   • стратегии дублирования данных
   • стратегии телекоммуникации
   • определение внутренних и внешних требований к телекоммуникации
   • создание необходимой документации, включая списки ключевых поставщиков, внешние бизнес-контакты, процедуры восстановления приложений, операционную документацию и другое
     
5. Планирование восстановления после чрезвычайной ситуации и концепция командной работы
   • определение необходимых для выполнения плана групп
   • идентификация обязанностей в группе
   • создание контрольного списка группы и процесс его использования
     
6. Тренировки в рамках плана и тестирование плана
   • выбор членов группы и получение одобрения функционального и старшего руководства
   • разработка и проведение подготовки всех членов группы
   • анализ типов тестирования: "настольное", внутреннее востановление, внешнее восстановление, полная имитация
   • разработка целей тестирования и требуемых показателей
   • планирование по времени первоначального и периодического тестирования
   • создание плана тестирования и показателей успешности для измерения его эффективности
   • разработка дополнений, ревизии и модификации плана
   • тренировки по эвакуации и защите
     
7. Осуществление вашего плана
   • осуществление восстановления после чрезвычайной ситуации в процессе управления изменениями
   • введение восстановления после чрезвычайной ситуации в жизненный цикл разработки приложения
     
8. Планирование для частичного выхода из строя
   • разработка базы данных управления конфигурациями
   • шаги, необходимые для выполнении вашего плана по частичному выходу из строя
   • пересечения полного плана восстановления после чрезвычайной ситуации и плана для частичного выхода из строя
     
9. Планирование непрерывности бизнеса (Business Continuity Planning, BCP)
   • определение возможности выживания без использования локальных компонентов обработки данных
   • планирование потери персонала и/или документации в печатном виде
   • планирование физического перемещения
   • разработка плана коммуникации с внешним миром и с сотрудниками
   • решение и период временной обработки
   • планирование замены компонент обработки данных
   • планирование возвращения в исходное положение
     
10. Когда имеет место чрезвычайная ситуация
    • человеческий элемент: забота о ваших сотрудниках
    • справляясь с давлением ситуации
    • оценка вашего плана после события
      
11. Аудит вашего плана для сохранения его адекватности
    • совместная работа с внутренними и внешними аудиторами
    • аудит при существенных изменениях в технологиях и персонале
    • разработка анкет при аудите DRP или BCP
    • кого и когда интервьюировать при проведении аудита DRP или BCP
    • документирование результатов аудита и вытекающие действия

Курс: (ASG203) Network Security Essentials
(Основные принципы защиты сетей)

Ориентирован на: руководителей и аналитиков служб информационной безопасности; системных администраторов; планировщиков и стратегов IT-служб; IT-аудиторов
Предварительный уровень подготовки: средний. Вы должны прослушать курс Fundamentals of Information Security или "How to Manage an Information Security Program" или иметь соответствующий опыт.
Продолжительность: 3 дня, 24 часа.
Методические материалы: методические материалы MIS Training Institute.
Бонус: Вы получите сборник ПО сетевой защиты "The Network Security Software Sampler", контрольный перечень мероприятий по проверке сетевой защиты, рекомендации и контрольные перечни операций по сетевой защите, а также сравнительные таблицы функций защиты в основных, UNIX-подобных и других, операционных системах для локальных сетей. Вы также получите стандартное издание справочника ISI Swiss Army Knife.

Программа курса

1. Определение распределенной вычислительной среды
   
   • определение сети
   • сетевая терминология
   • вычислительные модели: централизованная и распределенная
   • сети с совместно используемыми данными
   • клиент/серверные вычисления
   • одноранговые приложения
   • место программ обеспечения безопасности и аудита сети

2. Сетевые стандарты и протоколы
   
   • определение протокола
   • стандарты передачи данных в сетях
   • правила передачи данных
   • модель взаимодействия открытых систем (Open Systems Interconnection модель, OSI-модель)
   • обычные сетевые протоколы
   • протокол TCP/IP
   • анализ уровней OSI
   • географическое подразделение сетей: персональные, локальные, глобальные
   • разбираясь в -нет: интернет, интранет и экстранет

3. Локальные сети (Local Area Network, LAN)
   • обычные среды передачи данных в сети: витая медная пара, оптоволокно
   • физическая топология сети: шина, кольцо, звезда, иерархическая
   • логическая топология: Ethernet, Token Ring, FDDI, ARCNet, LocalTalk
   • магистральные сети
   • беспроводные локальные и персональные сети

4. Глобальные сети (Wide Area Network, WAN)
   • связи в WAN и Интернет
   • коммутируемый доступ в Интернет
   • методы коммутации
   • арендованные цифровые линии
   • службы маршрутизации пакетов
   • резидентные сети

5. Сетевые устройства: функциональные возможности, управление и безопасность
   • позиционирование сетевых устройств согласно модели OSI
   • устройства внутреннего соединения сети: уровни 1 и 2
   • сетевые домены и сегментация
   • устройства внутреннего соединения сети: уровни 2-7
   • доступ к портам управления устройств сети
   • протокол SNMP

6. Анализ рисков для безопасности сети
   • определение безопасности для вашей сети
   • идентификация активов
   • категоризация угроз
   • анализ текущих угроз безопасности сети
   • отслеживание уязвимостей защиты сети
   • тестирование уязвимости сети
   • определение стратегии защиты сети

7. Безопасность периметра сети
   • цели вторжения хакера
   • стратегии защиты сети
   • предупреждающие баннеры
   • межсетевые экраны
   • системы обнаружения вторжения
   • безопасность удаленного/коммутируемого доступа

8. Безопасность и аудит файл-сервера
   • контрольные точки защиты локальной сети
   • уязвимости сервера
   • механизмы защиты
   • базовый контрольный перечень по защите сервера
   • особенности и недостатки защиты серверных операционных систем: Microsoft Windows NT/2000, варианты Unix, Novell NetWare
   • добавляемые компоненты защиты
   • инструментарий и методы проведения аудита сервера

9. Безопасность рабочей станции/клиента
   • вопросы безопасности рабочей станции
   • контроль доступа рабочей станции
   • разделение файлов в Windows
   • вирусы и другое злонамеренное ПО
   • проведение аудита безопасности рабочей станции

10. Безопасность служб каталогов
    • краткий обзор служб каталогов (Directory Services)
    • каталоги LDAP (Lightweight Directory Access Protocol)
    • система имен доменов DNS

11. Внедрение: стратегии защиты сети
    • определение "совершенной" защиты сети
    • практическая стратегия информационной защиты
    • план из 12 шагов для достижения успеха