Курс Планирование аудита ИС на основе риск-ориентированного подхода

Код: ITP231

Продолжительность курса

24 Академических часа

Стоимость курса

99 323 руб
Заказать

Аудитория

  • менеджеров и директоров ИТ-аудита, ИТ-аудиторов.

Содержание курса

Глава 1. Эффективное проведение ИТ-аудита на основе риск-ориентированного планирования
  • Определения риска: угрозы, уязвимости, подверженность рискам, обеспечение безопасности
  • Последствия рисков
  • Определение рисков по модели COSO ERM (управление рисками организации)
  • Соотношение затраты-риск
  • Анализ рисков по модели COSO
  • Стандарты оценки рисков по IIA/ISACA
  • Финансовые и операционные риски
  • ИТ-риски и уязвимости
  • Связь ИТ-рисков с бизнес-рисками
  • Анализ ИТ-рисков и стратегии планирования аудита
  • Риски ИТ-инфраструктуры
  • Всесторонний аудит: защита организации от рисков
  • Стандарты и основные положения ISACA: анализ рисков
Глава 2. Концепция разработки и анализа ИТ-рисков
  • Этапы оценки ИТ-рисков
  • Риски целостности, конфиденциальности и доступности информации
  • Создание пространства ИТ-аудита
  • Установка критериев ИТ-риска
  • Проведение анализов ИТ-рисков и влияние/вероятность
  • Основные концепции анализа ИТ-рисков
  • NIST 800-53: Руководство по управлению рисками информационных систем
  • Процесс оценки рисков OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)
Глава 3. Использование риск-ориентированных ИТ-стандартов и концепций
  • IIA GTAG (руководства по глобальному технологическому аудиту)
  • Средства управления безопасностью ISO-27002
  • Классификация рисков безопасности FIPS 199
  • Средства управления безопасностью NIST 800-53
  • Руководство по проведению анализа NIST 800-53A
  • Приведение в соответствии с COBIT
Глава 4. Использование COBIT
  • Цели контроля COBIT
  • Концепции и сфера применения COBIT
  • Таблица RACI (распределения ответственностей), цели/показатели и модель развития функциональных возможностей
  • Практические методики контроля COBIT
  • Руководство по обеспечению ИТ-безопасности
  • Драйвер стоимости / причины риска
  • COBIT on-line
  • COBIT PO 9: Анализ и управление ИТ-рисками
Глава 5. COSO Enterprise Risk Management (ERM) (управление рисками организации)
  • Определение ERM
  • Зачем использовать COSO ERM?
  • Цели и составляющие ERM
  • COSO в сравнении с COSO ERM
  • Определения риска
  • COSO ERM и технология
Глава 6. Определение рисков управления ИТ
  • Определение управления ИТ как часть управления организацией
  • Почему управление ИТ очень важно для организации
  • Риски управления ИТ, сферы ответственности и основные составляющие
  • Комитет по надзору ИТ
  • Управление информационной безопасностью
  • Риски управления ИТ по COBIT
  • Стандарты IIA и ISACA .
Глава 7. Риски информационной безопасности (ИБ)
  • Связь информационных рисков с конфиденциальностью, целостностью и доступностью
  • Определение рисков ИБ
  • Внутрисистемные риски
  • Управление пользовательским доступом
  • Классификация информации
  • Риски секретности
  • Риски аутентификации и однократной идентификации пользователя
  • Риски авторизации
  • Матрица несоответствий
  • Привилегированный доступ
  • Контрольный журнал
  • Управление пользовательскими учетными записями
  • Контроль состояния безопасности
  • Удаленный доступ
  • Конфиденциальные данные на ПК и АРМ
  • Риски социального инжиниринга
Глава 8. Риски целостности системы ПО
  • Риски ОС
  • Параметры ПО
  • Управление внесением изменений
  • Проверка уязвимости
  • Риски управления базами данных
Глава 9. Риски ИТ-инфраструктуры
  • Физическая безопасность
  • Контроль окружающей среды
  • Управление изменениями
  • Планирование восстановления после бедствия
  • Безопасность периметра сети
  • Шифрование
Глава 10. Риски системы бизнес приложений и планирование аудита
  • Жизненный цикл транзакций
  • Риски/контроль ввода, вывода и обработки данных
  • Риски вычислений у конечного пользователя
  • Нисходящее, риск-ориентированное планирование аудита бизнес-приложений
Глава 11. Риски системных разработок и заказов
  • Бизнес-риски проектов разработки
  • Определение рисков системных разработок и заказов
  • Управление проектами оценки
  • Роль ИТ-аудита в проектах системных разработок
  • Проблемы независимости ИТ-аудита
Глава 12. ИТ-аутсорсинг: определение рисков
  • Риски аутсорсинга
  • Риски офшорного аутсорсинга
  • Обеспечение строгих договорных соглашений
  • Как получить право на проведение аудита
  • Риски, связанные с отчетами SAS-70
  • Риски контроля договорных отношений
Глава 13. Разработка риск-ориентированного ежегодного плана ИТ-аудита
  • Применение стратегий ИТ-аудита
  • Создание пространства ИТ-аудита
  • Структурирование пространства аудита для противостояния рискам
  • Создание полноценного риск-ориентированного ежегодного плана ИТ-аудита