 |
|
|
|
Курсы по информационной безопасности
|
|
Программы для специалистов по аудиту информационных систем
 Курс:
( ITG101 ) IT Auditing and Controls"
"Средства контроля и проведение аудита информационных систем"
Ориентирован на: финансовых аудиторов, аудиторов операций, аудиторов бизнес-приложений, внешних аудиторов, которым необходим базовый курс по аудиту информационных систем; начинающих аудиторов информационных систем.
Предварительный уровень подготовки: начальный уровень. Курс рассчитан на специалистов с ограниченной подготовкой в области информационных технологий, или не имеющих такой подготовки.
Продолжительность: 3 дня, 24 часа.
Методические материалы: методические материалы учебного центра.
Бонус: словарь MIS Training Institute "Information Technology & Audit Acronym Dictionary", разъясняющий значение сотен терминов в области информационных технологий и аудита информационных систем.
Программа курса
- Введение в аудит информационных систем
- цели и задачи аудита
- роль информационных технологий в организации
- управление и риски для безопасности в автоматизированной среде
- что такое средство контроля?
- определение средства внутреннего контроля
- процессы и контрольные точки
- физическое пространство и логическое пространство
- идентификация контрольных точек
- Планирование аудита информационных систем (ИС)
- определение внутреннего аудита
- цели аудита ИС
- стратегии аудита ИС
- что такое приложение
- средства контроля: приложений и общие
- анализ средств контроля при аудите ИС
- категории средств контроля ИС
- готовность результатов аудита
- формирование группы аудита
- Аудиторские организации и стандарты
- поддержание объективности аудита
- что такое стандарт?
- Американский институт дипломированных независимых бухгалтеров AICPA (American Institute of Certified Public Accountants) и Положения о стандартах аудита SAS (Statement on Auditing Standards)
- Главное бюджетно-контрольное управление США (General Accounting Office, GAO) и другие организации по сертификации
- Институт внутренних аудиторов IIA (The Institute of Internal Auditors)
- Комиссия Трэдуэя
- интегрированная модель Комитета спонсорских организаций комиссии Тредуэя COSO (Committee of Sponsoring Organizations of the Treadway Commission) Integrated Framework
- Ассоциация аудита и контроля информационных систем ISACA (Information Systems Audit and Control Association) и Институт руководства ИТ (IT Governance Institute)
- CObIT: Control Objectives for Information and Related Technology (Цели контроля для информационных и смежных технологий)
- стандарт безопасности ISO 27002
- Руководство (governance) и средства контроля в ИТ
- что такое руководство ИТ?
- руководство информационной безопасностью
- политики и процедуры ИТ
- разделение обязанностей и аутсорсинг
- руководство и контроль
- Основы информационных технологий
- почему нужно изучать технологии?
- аппаратные компоненты компьютеров и центральный процессор
- два класса компьютеров
- программное обеспечение, прикладные программы и обработка данных
- распределенные системы и технология клиент-сервер
- модель взаимодействия открытых систем OSI (Open Systems Interconnection)
- обслуживание и безопасность
- Сетевые технологии и средства контроля
- риски работы в сети
- проведение аудита сетей
- что такое сеть?
- локальные сети (Local Area Network, LAN), глобальные (Wide-Area Network, WAN) и городские (Metropolitan Area Network, MAN)
- физическая среда сети (кабели)
- цели аудита кабельной системы
- протоколы LAN
- подключение к WAN и протоколы WAN
- протоколы MAN
- цели аудита LAN/WAN/MAN
- сетевые устройства
- цели аудита сетевых устройств
- объединенные сети
- Интернет
- сети интранет и экстранет
- риски использования Интернет для бизнеса
- использование межсетевых экранов
- коммуникации посредством Интернет
- адресация протокола Интернет IP (Internet Protocol)
- адресация служб (процессов)
- приложения Интернет
- всемирная паутина World Wide Web (WWW)
- технологии веб-страниц
- цели аудита Интернет-приложений
- Совместно используемые средства контроля, общие и приложений
- логическая защита
- классификация данных
- логические средства контроля доступа: вход в систему
- шифрование: доступ к информации
- удаленный доступ, ПК и мобильные устройства
- управление защитой информации
- управление изменениями
- цели управления изменениями
- контроль изменений ПО
- управление исправлениями ПО
- лицензирование ПО
- непрерывность бизнеса/восстановление после чрезвычайной ситуации
- определение плана по непрерывности бизнеса/восстановлению после чрезвычайной ситуации (BCP/DRP, Business Continuity/Disaster Recovery Plan)
- анализ воздействия на бизнес (BIA, Business Impact Analysis)
- стратегия восстановления после чрезвычайной ситуации
- поддержание адекватности плана BCP/DRP
- технологии разработки систем
- жизненный цикл разработки системы SDLC (Software Development Life Cycle), быстрая разработка приложений RAD (Rapid Application Development), модули закупок систем планирования ресурсов предприятия ERP (Enterprise Resource Planning)
- привлечение внутреннего аудита
- стратегия аудита
- Средства контроля приложений
- что такое приложение?
- риски бизнес-приложений
- проведение аудита приложений
- транзакции: фокус аудита
- средства контроля жизненного цикла транзакции
- вычисления конечных пользователей
- хранилища данных
- будущее приложений
- Технологии и средства контроля баз данных
- управление информацией
- программно-ориентированная модель
- вопросы аудита при программно-ориентированном подходе
- модель, ориентированная на данные
- что представляет собой база данных?
- терминология баз данных
- системы управления базами данных (СУБД)
- типы баз данных
- вопросы аудита баз данных
- Общие средства контроля инфраструктуры
- средства контроля операций
- операции в ИС
- средства контроля операционной системы
- системные утилиты
- обзор средств контроля системного ПО
- физическая безопасность
- средства контроля окружающей среды
|
