- •Тема 1. Основные понятия дисциплины. Классификация объектов защиты информации (зи), угроза, уязвимость, риски.
- •Защита информации в интрасетях.
- •Атаки на интрасети.
- •Этапы реализации атак.
- •Основные методы распознавания атак и их признаки.
- •Тема 2. Классификация типичных атак. Сценарий и уровни атак.
- •Тема 3. Сканирование сетей цели и предназначения. Защита от сканирования. Сниферы.
- •Система обнаружения атак. Анализ журнала безопасности (аудита) компьютерных систем.
- •Тема 4. Мэ, их классификация. Классы защищенности мэ. Схемы подключения мэ. Шлюзы сетевого и прикладного уровней.
- •Схемы расстановки мэ и реализуемые при этом функции по защите.
- •Классы защищенности мэ.
- •Тема 5. Виртуальные частные сети (vpn). Способы построения vpn. Обзор протоколов, используемых при создании vpn.
- •Протоколы сетевой безопасности.
- •Протокол аутентификации.
- •Тема 6. Система обнаружения атак. Основы построения соа. Системы соа на уровне узла и сети. Архитектура соа.
- •Архитектура соа.
- •Архитектура сенсоров.
- •Архитектура детекторов.
- •Тема 7. Централизованный контроль удаленного доступа.
- •Использование ras для уд.
- •Тема 8. Определение требований к системе защиты (сз).
- •Тема 9. Нормативная база анализа защищенности. Стандарты iso 15408, iso 17799, nist. Подходы cobit, octave.
- •Тема 10. Понятие аудита безопасности. Концепция аудита безопасности ис россии. Требования к аудиторам. Стандартизация в области аудита безопасности ис.
- •Права, обязанности и ответственность аудитора.
- •Аттестация объектов информатизации по требованиям иб.
- •Методы проведения аттестационных испытаний ои по требованиям иб.
- •Тема 11. Руководящие документы гостехкомисии россии.
- •Рд «свт. Мэ. Защита от нсд. Показатели защищенности от нсд» 97г.
Тема 10. Понятие аудита безопасности. Концепция аудита безопасности ис россии. Требования к аудиторам. Стандартизация в области аудита безопасности ис.
Аудит ИБ – это вид деятельности, заключающийся в сборе и оценке фактов ,касающихся функционирования технологий и осуществления ИБ, независимым лицом. Направлен на снижение до приемлемого уровня информационного риска. Вместе с тем А. обеспечивает не только проверку достоверностей показателей защищенности, но и разработку рекомендации по повышению эффективности защиты.
Цель А: решение конкретной задачи, в которой определяются системой нормативного регулирования аудиторской деятельности, договорными обязательствами аудитора и клиента. Аудиторами могут являться, как лицензированные частные лица, предоставляющие услуги по обеспечению ИБ, так федеральные службы.
Целями А могут быть:
1. Проверка достоверности документации.
2. Проведение анализа деятельности и подготовка рекомендаций по повышению качества представляемых услуг.
3. Проверка качества обеспечиваемой ИБ и так далее.
Действующая в РФ система нормативного регулирования аудиторской деятельности включает 3 основных уровня:
указы президента РФ, постановления правительства РФ и другие законодательные акты, призванные обеспечить эффективное функционирование А.
стандарты аудиторской деятельности.
методики, инструкции, положения, и другие документы, составляемые с целью разъяснения стандартов оказания помощи в их технической реализации и выработки способов выполнения аудита. Эти документы разрабатываются, как самими аудиторскими фирмами, так и федеральными службами, чтобы обеспечить единый подход к проведению проверок и контролю их результата в целом.
Аудиторские стандарты - формируют единые базовые требования к качеству и надежности аудита, и обеспечивает определенный уровень гарантии результатов.
Основная цель АС обеспечить всех А и пользователей, их услуг единообразным пониманием основных принципов и целей аудита.
Стандарты служат основанием для оценки качества проведения аудита и определения меры ответственности аудиторов при недобросовестном выполнении проверки.
Все стандарты рассматриваются и утверждаются на заседаниях комиссии по аудиторской деятельности при президенте РФ.
Существует 39 стандартов аудита разделенные на 3 группы:
1. Общие стандарты - представляют собой свод профессиональных требований относительно квалификации аудитора в независимости точки зрения аудитора, по вопросам выполняемой работы.
2. Стандарт проведения аудиторской проверки.
3. Стандарт составления отчета.
Виды аудита:
внешний - проводится независимой аудиторской фирмой с целью объективной оценки, достоверности качества имеющегося уровня ИБ.
внутренний - его цель: оценка эффективности функционирования системы. Достигается в процессе контроль со стороны специального органа.
Различия между внешним и внутренним аудитом вытекают из их основных задач. Если основной задачей внутреннего аудита является подготовка информационных материалов о состоянии данного объекта ИС, то задачей внешнего является подготовка соответствующего заключения о соответствии методов по повышению уровня ИБ.