Семинар

Анализ рисков информационных систем компаний

10 июня 2003 года (Москва)

Продолжительность семинара: 7 академических часов.

[программа] [условия участия] [оформление заявки] [контактная информация]

Компании "ЦИТ Форум" и "Домина Секьюрити" приглашают принять участие в семинаре "Анализ рисков информационных систем компаний"

Семинар ориентирован на

1. Менеджеров высшего звена управления компанией (ТОР-менеджеров), которые хотят получить ответы на следующие вопросы: Что такое аудит информационной безопасности? В чем его суть? Зачем и кому он нужен? Насколько он актуален для компании и ее бизнес - деятельности? Какова его стоимость и последующие затраты? Каковы последствия для компании? Какую роль играют инструментальные CASE-средства анализа и управления рисками? Кто и как его осуществляет? Какие существуют ограничения законодательного характера? Какие отечественные и западные методики и технологии аудита предпочтительно использовать? Как эффективно управлять информационной безопасностью компании в интересах бизнеса? Как подготовить свою компанию к аудиту и аккредитации в соответствии с требованиями международных стандартов ISO 15408, ISO 17799(BS 7799), BSI и CoBit.

2. Руководителей служб автоматизации (CIO) и служб информационной безопасности, которые желают получить объективную и независимую оценку текущего состояния информационной безопасности компании, оценить потенциальный экономический ущерб от возможных посягательств разного рода злоумышленников, выработать требования к корпоративной системе защиты информации, проверить адекватность и эффективность Политики безопасности компании, рассчитать необходимые затраты на совершенствование корпоративной системы защиты информации, и предпринять все необходимые меры организационно-управленческого и технического характера для повышения (адекватного обеспечения) уровня информационной безопасности компании

3. Ведущих специалистов в области безопасности компьютерных систем, IT-менеджеров, которые желают получить детальное представление об аудите информационной безопасности, достаточное для того, чтобы грамотно разбираться в этих вопросах, а возможно и руководить работами, связанными с аудитом информационной безопасности своей компании.

Семинар проводит компания Domina Security. Авторы семинара - кандидат технических наук И.Д. Медведовский, исполнительный директор компании Domina Security, автор серии книг "Атака на Internet", эксперт по информационной безопасности; а также - руководитель направления "Безопасность компьютерных систем" компании Конфидент, кандидат технических наук С.А. Петренко - опытный специалист-практик в области защиты информации, ведущий данного семинара. Автор и соавтор 8 книг и более 100 статей (Системы безопасности, Защита информации. Конфидент, Экспресс Электроника, CHIP-Россия, Мир Интернет, ReadMe, Data Communications. Сетевой журнал,Мир Связи. Connect), посвященных информационно-компьютерной безопасности. Из них - практические руководства и книги "Аудит безопасности Intranet", "Технологии защиты информации", "Информационная безопасность предприятия".

Программа

1. Актуальность аудита информационной безопасности

• Как оценить и управлять информационной безопасностью компании?
• Новые возможности развития компании
• Существующие методики аудита безопасности и их отличия (NIST (США), GAO and FISCAM(США), CASPR, OWASP, SCIP, SET, Best Practice (Symantec, ISS, Cisco Sestems, IBM, Microsoft).
• Специфика аудита информационной безопасности отечественных компаний.
• Соотношение международного и отечественного подходов и методов аудита безопасности (ISO 15408, ISO 17799(BS 7799), BSI и CoBit, SAC, COSO, SAS 55/78, РД Гостехкомиссии РФ)

2. Разновидности аудита безопасности компании

2.1. Комплексный анализ КИС и подсистемы информационной безопасности компании на методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков.

• Комплексная оценка соответствия типовым требованиям РД регулирующих органов РФ к системе информационной безопасности предприятия.
• Комплексная оценка соответствия типовым требованиям международных стандартов ISO 17799, ISO 15408 к системе информационной безопасности предприятия.
• Комплексная оценка соответствия специальных требований Заказчика к системе информационной безопасности предприятия.
• Анализ рисков. Уровень управления рисками на основе качественных оценок рисков.
• Анализ рисков. Уровень управления рисками на основе количественных оценок рисков.
• Инструментальное исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей.
• Инструментальное исследование защищенности точек доступа предприятия в Internet.

2.2. Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима информационной безопасности компании.

• Разработка концепции обеспечения информационной безопасности предприятия.
• Разработка корпоративной политики обеспечения информационной безопасности предприятия на организационно-управленческом, правовом, технологическом и техническом уровнях.
• Разработка плана защиты предприятия.
• Дополнительные работы по анализу и созданию методологического, организационно-управленческого, технологического, инфраструктурного и технического обеспечения режима информационной безопасности предприятия.

2.3. Организационно-технологический анализ КИС.

• Оценка соответствия типовым требованиям руководящих документов регулирующих органов РФ к системе информационной безопасности предприятия в области организационно-технологических норм.
• Анализ документооборота предприятия категории "конфиденциально" на соответствие требованиям концепции информационной безопасности; положению о коммерческой тайне, прочим внутренним требованиям предприятия по обеспечению конфиденциальности информации.
• Дополнительные работы по исследованию и оценке информационной безопасности объекта.
• Разработка элементов концепции обеспечения информационной безопасности предприятия.
• Разработка элементов корпоративной политики обеспечения информационной без-опасности предприятия на организационно-управленческом, правовом и технологическом уровне.

2.4. Экспертиза решений и проектов автоматизации и системной интеграции.

• Экспертиза решений и проектов автоматизации на соответствие требованиям по обеспечению информационной безопасности экспертно-документальным методом.
• Экспертиза проектов подсистем информационной безопасности на соответствие требованиям по безопасности экспертно-документальным методом.

2.5. Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации.

• Анализ документооборота пред-приятия категории "конфиденциально" на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям предприятия по обеспечению конфиденциальности информации.
• Поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровне.

2.6. Работы, поддерживающие практическую реализацию плана защиты.

• Разработка технического проекта модернизации средств защиты КИС по результатам проведенного комплексного аналитического исследования корпоративной сети.
• Разработка системы поддержки принятия решений по обеспечению информационной безопасности предприятия на основе CASE-систем и программных СППР.
• Подготовка предприятия к аттестации.
• Подготовка "под ключ" предпри-ятия к аттестации объектов информатизации заказчика на соответствие требованиям РД РФ.
• Подготовка предприятия к аттестации КИС на соответствие требованиям по безопасности международных стандартов ISO 15408, ISO 17799, стандарта ISO 9001 при обеспечении требований информационной безопасности предприятия.
• Разработка организационно-распорядительной и технологической документации.
• Разработка расширенного перечня сведений ограниченного распространения как части политики безопасности.
• Разработка пакета организационно-распорядительной документации (ОРД) в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровне.
• Поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровнях.

2.7. Повышение квалификации и переподготовка специалистов .

• Тренинги в области организационно-правовой составляющей защиты информации.
• Обучение основам экономической безопасности.
• Тренинги в области технологии защиты информации.
• Тренинги по применению продуктов (технических средств) защиты информации.
• Обучение действиям при попытке взлома информационных систем.

2.8. Сопровождение системы информационной безопасности после проведенного аудита безопасности оператора связи.

2.9. Ежегодная переоценка состояния информационной безопасности оператора связи.

3. Реорганизация и совершенствование корпоративной системы безопасности

• Основные цели и задачи системы защиты информации
• Модели построения системы информационной безопасности
• Алгоритмы и методы аудита безопасности
• Определение границ исследования
• Построение модели информационной технологии компании
• Выбор контрмер (firewall, VPN, IDS, PKI, антивирусы, СЛЗИ, СЗИ от НСД, средства централизованого управления безопасностью)
• Управление информационными рисками
• Оценка достигаемой защищенности

4. Инструментальные средства аудита безопасности компании (COBRA(Великобритания), RiskPAC(CSCI), CRAMM (Великобритания), MARION(Франция), RiskWatch (США), Авангард (ИСА РАН)

5. Примеры аудита безопасности отечественных компаний

• Пример 1. КИС небольшого предприятия
• Пример 2. КИС среднего предприятия
• Пример 3. КИС крупного предприятия

Условия участия

Стоимость участия в семинаре составляет:

• 10 июня в Москве - 180 USD (В стоимость включены обед и 2 кофе-брейка)

Место проведения

Москва - Академия Народного Хозяйства при правительстве РФ (пр-т. Вернадского, 82)

Начало семинара в 10:00.

Оформление заявки на участие

Поля, обозначенные синим цветом, надо обязательно заполнить
Фамилия Имя Отчество:
Город:
Телефон:
E-mail:
Категория:	Частное лицо Юридическое лицо
Анализ рисков инф.систем компаний (Москва, 10.06.2003)
Заполняется только юридическими лицами:
Точное название организации:
Физический адрес организации:
Юридический адрес организации:
ИНН:
Факс:
Количество участников:
Фамилия И.О. участника(ов) (полностью):
Форма оплаты:	безналичный расчет (по счету) наличными при регистрации

Контактная информация

По вопросам, связанным с участием, пишите по адресу manager@citforum.ru или звоните по телефону (095) 782-92-07.

См. также семинар

• "Практическое применение международного стандарта безопасности информационных систем ISO 17799"