Мероприятие находится в архиве, регистрация закрыта

Курс повышения квалификации

Код 41638

  • Новые классы угроз. Каналы несанкционированного доступа к информации. Методы и технические средства защиты информации. Новые требования нормативно-методических документов и законодательства РФ в области ИБ и защиты персональных данных. Оценка рисков и экономическое обоснование выбора мер противодействия. Практические рекомендации по созданию системы защиты информации

    Для кого

    Для руководителей и специалистов предприятий, подразделений служб безопасности, информационных технологий, всех заинтересованных специалистов

    Программа

    1. Требования законодательства РФ, нормативно-методических документов к обеспечению защиты конфиденциальной информации и персональных данных. Действующая в РФ система сертификация средств и аттестации объектов информатизации. Информационная безопасность России в цифровой экономике.
    2. Ответственность за нарушение безопасности информационных систем.
    3. Угрозы и риски информационной безопасности. Анализ актуальных угроз ИБ. Анализ и оценка рисков ИБ. Модели нарушителя. Возможные последствия внешних атак и действий внутренних нарушителей. Возможные каналы несанкционированного доступа к информации. Новые классы угроз, связанные с использованием облачных вычислений и мобильных технологий.

    Методы и средства защиты информации

    1. Криптографические методы защиты информации. Алгоритмы шифрования, хэширования, электронной подписи. Средства криптографической защиты информации и их применение в корпоративной информационной системе (КИС). Криптопровайдеры. Инфраструктура открытых ключей (PKI) КИС. Сервисы, необходимые для функционирования PKI (CRL, OCSP, TSP). Интеграция PKI в КИС. Защита данных с помощью Block chain.
    2. Применение электронной подписи с использованием сертифицированных средств. Сертификат ключа проверки подлинности электронной подписи. Удостоверяющий центр. Хранение электронных юридически значимых документов.
    3. Технические средства защиты информации.
      • Системы контроля и управления доступом. Контролируемые каналы утечки информации. Создаваемые каналы утечки информации. Особенности реализации и интеграции с КИС.
      • Программно-аппаратные средства обеспечения информационной безопасности распределенных и изолированных информационных систем. Методы и протоколы авторизации. Безопасность удаленного доступа. Особенности защиты сетевых и распределенных ИС. Firewall, VPN, VLAN, NAT. Организация защиты ресурсов при использовании разделяемой памяти. Распределенные файловые системы и их безопасность. Особенности защиты кластеров. Центр обработки данных, система хранения данных, сеть хранения данных. Характеристики, используемые протоколы, организация защиты.
      • Средства защиты электронной почты.
      • Безопасность виртуальных и облачных систем. Специфика угроз в виртуальной среде. Способы доставки приложений. Стратегии перевода в облако. Cloud-based бизнес-модели. Угрозы, атаки при использовании облаков.
      • Средства обеспечения безопасности мобильных устройств. Принципы построения мобильных операционных систем (ОС). Защищаемые ресурсы. Особенности модели нарушителя мобильных ОС. Интеграция мобильных устройств в корпоративные сети. Политика BYOD. Enterprise Mobility Management. Virtual DLP.
    4. Практические занятия по темам 4–6 программы. Занятия проводятся в специализированном классе на ПК.

    Комплексная защита объектов информатизации

    1. Информационная безопасность автоматизированных систем. Угрозы в АСУ. Оценивание и контроль защищенности АСУ. Типовой набор средств защиты информации АСУ.
    2. Информационная безопасность на объектах критической информационной инфраструктуры. Требования 187-ФЗ.
    3. Защита персональных данных (ПД) и сведений, составляющих коммерческую тайну. Каналы несанкционированного распространения ПД. Меры по защите ПД в соответствии с требованиями Постановлений Правительства РФ, приказов ФСТЭК и с рекомендациями Роскомнадзора. Согласие на обработку ПДн. Необходимые условия защиты коммерческой тайны по уровням иерархической модели ИС.
    4. «Человеческий фактор» и социальная инженерия. Виды угроз негативного воздействия на персонал. Способы формирования и трансформации убеждений и ценностей персонала. Новые угрозы, связанные с популярностью социальных сетей.

    Управление информационной безопасностью

    1. Разработка политики информационной безопасности в организации. Разработка внутренних нормативных документов в области ИБ.
    2. Управление рисками информационной безопасности. Оценка, оценивание и управление рисками. Управление инцидентами. Тестирование систем защиты.
    3. Журналирование и расследование инцидентов ИБ. Протоколы и системы журналирования. DLP-системы. Honey net.
    4. Экономическая эффективность систем защиты. Информационная безопасность как инструмент увеличения доходности бизнеса.
    5. Технология аудита защиты информации. Содержание и последовательность основных этапов аудита. Выбор технических средств активного аудита.
    6. Типичные ошибки проектов защиты информации. Выбор поставщиков технических средств защиты информации.
    7. Практические рекомендации по созданию автоматизированной системы защиты информации в соответствии с рекомендациями комплекса стандартов ISO 2700Х-2013.