Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!

Напоминаем, что продолжается регистрация на двухдневный семинар по курсам: "Практическое применение международного стандарта безопасности информационных систем ISO 17799" и "Анализ рисков информационных систем компании".
(Семинар состоится 15-16 октября 2003г. в Москве).

Вашему вниманию предлагаются два самых популярных курса 2002-2003 г.г, в ходе которых слушатели получат исчерпывающую информацию по указанным темам.

Семинар проводят специалисты компаний Digital Security и Инфотекс Интернет Траст, эксперты по информационной безопасности.
Зарегистрировавшимся на семинар по информации из данной рассылки - скидка 10% на участие.

Также компании Digital Security и Инфотекс Интернет Траст предлагают Вам широкий круг учебных курсов и справочников на CD-ROM. Используя их Вы в полном объеме получите достоверную, актуальную информацию на интересующую Вас тему, в удобной программной оболочке, с полезной дополнительной информацией и другими бонусами.

Компании Infotecs Internet Trust (IIT) и Digital Security 15-16 октября 2003 г. в Москве проводят двухдневный информационный семинар: "Практическое применение международного стандарта безопасности информационных систем ISO 17799" и "Анализ рисков информационных систем компании"

Участники будут ознакомлены с содержанием международного стандарта безопасности информационных систем, которому соответствуют информационные системы всех компаний Европы и США. Подробно будут рассмотрены практические аспекты внедрения стандарта ISO 17799 в реальную информационную систему компании и возникающие в связи с этим проблемы и возможные пути их решения. Каждый участник семинара бесплатно получит CD "Практическое применение ISO 17799: основные положения стандарта; сборник типовых решений и документов; комментарии к стандарту" и "Руководство по управлению информационными рисками корпоративных информационных систем Internet/Intranet"

Предлагаемые курсы ориентированы на:

Менеджеров высшего звена управления компанией (ТОР-менеджеров), которые хотят получить ответы на следующие вопросы: Что такое аудит информационной безопасности? В чем его суть? Зачем и кому он нужен? Насколько он актуален для компании и ее бизнес – деятельности? Какова его стоимость и последующие затраты? Каковы последствия для компании? Какую роль играют инструментальные CASE-средства анализа и управления рисками? Кто и как его осуществляет? Какие существуют ограничения законодательного характера? Какие отечественные и западные методики и технологии аудита предпочтительно использовать? Как эффективно управлять информационной безопасностью компании в интересах бизнеса? Как подготовить свою компанию к аудиту и аккредитации в соответствии с требованиями международных стандартов ISO 15408, ISO 17799(BS 7799), BSI и CoBit.

Руководителей служб автоматизации (CIO) и служб информационной безопасности, которые желают получить объективную и независимую оценку текущего состояния информационной безопасности компании, оценить потенциальный экономический ущерб от возможных посягательств разного рода злоумышленников, выработать требования к корпоративной системе защиты информации, проверить адекватность и эффективность Политики безопасности компании, рассчитать необходимые затраты на совершенствование корпоративной системы защиты информации, и предпринять все необходимые меры организационно-управленческого и технического характера для повышения (адекватного обеспечения) уровня информационной безопасности компании

Ведущих специалистов в области безопасности компьютерных систем, IT-менеджеров, которые желают получить детальное представление об аудите информационной безопасности, достаточное для того, чтобы грамотно разбираться в этих вопросах, а возможно и руководить работами, связанными с аудитом информационной безопасности своей компании.

Руководство по практическому применению международного стандарта безопасности информационных систем ISO 17799 и Руководство по управлению информационными рисками корпоративных информационных систем Internet/Intranet разработано коллективом экспертов по информационной безопасности компании Digital Security на основе многолетнего практического опыта. Коллективом авторов руководил технический директор компании, к.т.н. Илья Медведовский, автор книги "Атака на Интернет" и многочисленных публикаций по вопросам информационной безопасности.

Продолжительность семинара: 14 академических часов (2 дня по 7 часов).

Стоимость участия в двухдневном семинаре - 245 у.е., за участие в любом однодневном курсе - 145 у.е.

В стоимость включены обучение, комплект справочников по IT-Security на CD-ROM, раздаточный материал и кофе-брейки.
По окончании каждый участник получает сертификат.

Вы можете выбрать отдельные темы из двухдневной программы, которые Вас интересуют. Для уточнения стоимости, времени проведения и других деталей используйте окно "Комментарии" Анкеты участника.

Программа курса на 15 октября ("Практическое применение международного стандарта безопасности информационных систем ISO 17799")

1. Введение.
Назначение и основные разделы стандарта

2. Основные термины и определения

3. Политика безопасности

4. Организационные меры по обеспечению безопасности
Управление форумами по информационной безопасности
Координация вопросов, связанных с информационной безопасностью
Распределение ответственности за обеспечение безопасности

5. Классификация и управление ресурсами
Инвентаризация ресурсов
Классификация ресурсов

6. Безопасность персонала
Безопасность при выборе персонала
Тренинги персонала по вопросам безопасности
Реагирование на секьюрити инциденты и неисправности

7. Физическая безопасность

8. Управление коммуникациями и процессами
Рабочие процедуры и ответственность
Системное планирование
Защита от злонамеренного программного обеспечения (вирусов, троянских коней)
Управление внутренними ресурсами
Управление сетями
Безопасность носителей данных
Передача информации и программного обеспечения

9. Контроль доступа
Бизнес требования для контроля доступа
Управление доступом пользователя
Ответственность пользователей
Контроль и управление удаленного (сетевого) доступа
Контроль доступа в операционную систему
Контроль и управление доступом к приложениям
Мониторинг доступа и использования систем
Мобильные пользователи

10. Разработка и техническая поддержка вычислительных систем
Требования по безопасности систем
Безопасность приложений
Криптография
Безопасность системных файлов
Безопасность процессов разработки и поддержки

11. Управление непрерывностью бизнеса
Процесс управления непрерывного ведения бизнеса
Непрерывность бизнеса и анализ воздействий
Создание и внедрение плана непрерывного ведения бизнеса
Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса

12. Соответствие системы основным требованиям
Соответствие требованиям законодательства
Анализ соответствия политики безопасности
Анализ соответствия техническим требованиям
Анализ системного аудита

Программа курса на 16 октября ("Анализ рисков информационных систем компаний")

I. Актуальность аудита информационной безопасности

• Как оценить и управлять информационной безопасностью компании?
• Новые возможности развития компании
• Существующие методики аудита безопасности и их отличия (NIST (США), GAO and FISCAM(США), CASPR, OWASP, SCIP, SET, Best Practice (Symantec, ISS, Cisco Sestems, IBM, Microsoft).
• Специфика аудита информационной безопасности отечественных компаний.
• Соотношение международного и отечественного подходов и методов аудита безопасности (ISO 15408, ISO 17799(BS 7799), BSI и CoBit, SAC, COSO, SAS 55/78, РД Гостехкомиссии РФ)

II. Разновидности аудита безопасности компании

1. Комплексный анализ КИС и подсистемы информационной безопасности компании на методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков.
- Комплексная оценка соответствия типовым требованиям РД регулирующих органов РФ к системе информационной безопасности предприятия.
- Комплексная оценка соответствия типовым требованиям международных стандартов ISO 17799, ISO 15408 к системе информационной безопасности предприятия.
- Комплексная оценка соответствия специальных требований Заказчика к системе информационной безопасности предприятия.
- Анализ рисков. Уровень управления рисками на основе качественных оценок рисков.
- Анализ рисков. Уровень управления рисками на основе количественных оценок рисков.
- Инструментальное исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей.
- Инструментальное исследование защищенности точек доступа предприятия в Internet.

2. Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима информационной безопасности компании.
- Разработка концепции обеспечения информационной безопасности предприятия.
- Разработка корпоративной политики обеспечения информационной безопасности предприятия на организационно-управленческом, правовом, технологическом и техническом уровнях.
- Разработка плана защиты предприятия.
- Дополнительные работы по анализу и созданию методологического, организационно-управленческого, технологического, инфраструктурного и технического обеспечения режима информационной безопасности предприятия.

3. Организационно-технологический анализ КИС.
- Оценка соответствия типовым требованиям руководящих документов регулирующих органов РФ к системе информационной безопасности предприятия в области организационно-технологических норм.
- Анализ документооборота предприятия категории "конфиденциально" на соответствие требованиям концепции информационной безопасности; положению о коммерческой тайне, прочим внутренним требованиям предприятия по обеспечению конфиденциальности информации.
- Дополнительные работы по исследованию и оценке информационной безопасности объекта.
- Разработка элементов концепции обеспечения информационной безопасности предприятия.
- Разработка элементов корпоративной политики обеспечения информационной без-опасности предприятия на организационно-управленческом, правовом и технологическом уровне.

4. Экспертиза решений и проектов автоматизации и системной интеграции.
- Экспертиза решений и проектов автоматизации на соответствие требованиям по обеспечению информационной безопасности экспертно-документальным методом.
- Экспертиза проектов подсистем информационной безопасности на соответствие требованиям по безопасности экспертно-документальным методом.

5. Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации.
- Анализ документооборота предприятия категории "конфиденциально" на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям предприятия по обеспечению конфиденциальности информации.
- Поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровне.

6. Работы, поддерживающие практическую реализацию плана защиты.
- Разработка технического проекта модернизации средств защиты КИС по результатам проведенного комплексного аналитического исследования корпоративной сети.
- Разработка системы поддержки принятия решений по обеспечению информационной безопасности предприятия на основе CASE-систем и программных СППР.
- Подготовка предприятия к аттестации.
- Подготовка "под ключ" предприятия к аттестации объектов информатизации заказчика на соответствие требованиям РД РФ.
- Подготовка предприятия к аттестации КИС на соответствие требованиям по безопасности международных стандартов ISO 15408, ISO 17799, стандарта ISO 9001 при обеспечении требований информационной безопасности предприятия.
- Разработка организационно-распорядительной и технологической документации.
- Разработка расширенного перечня сведений ограниченного распространения как части политики безопасности.
- Разработка пакета организационно-распорядительной документации (ОРД) в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровне.
- Поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровнях.

7. Повышение квалификации и переподготовка специалистов.
- Тренинги в области организационно-правовой составляющей защиты информации.
- Обучение основам экономической безопасности.
- Тренинги в области технологии защиты информации.
- Тренинги по применению продуктов (технических средств) защиты информации.
- Обучение действиям при попытке взлома информационных систем.

8. Сопровождение системы информационной безопасности после проведенного аудита безопасности оператора связи.

9. Ежегодная переоценка состояния информационной безопасности оператора связи.
- Основные цели и задачи системы защиты информации
- Модели построения системы информационной безопасности
- Алгоритмы и методы аудита безопасности
- Определение границ исследования
- Построение модели информационной технологии компании
- Выбор контрмер (firewall, VPN, IDS, PKI, антивирусы, СЛЗИ, СЗИ от НСД, средства централизованого управления безопасностью)
- Управление информационными рисками
- Оценка достигаемой защищенности

III. Реорганизация и совершенствование корпоративной системы безопасности

• Основные цели и задачи системы защиты информации
• Модели построения системы информационной безопасности
• Алгоритмы и методы аудита безопасности
• Определение границ исследования
• Построение модели информационной технологии компании
• Выбор контрмер (firewall, VPN, IDS, PKI, антивирусы, СЛЗИ, СЗИ от НСД, средства централизованого управления безопасностью)
• Управление информационными рисками
• Оценка достигаемой защищенности

IV. Инструментальные средства аудита безопасности компании (COBRA (Великобритания), RiskPAC(CSCI), CRAMM (Великобритания), MARION(Франция), RiskWatch (США), Авангард (ИСА РАН)

V. Примеры аудита безопасности отечественных компаний

• Пример 1. КИС небольшого предприятия
• Пример 2. КИС среднего предприятия
• Пример 3. КИС крупного предприятия

Зарегистрировавшимся на семинар по информации из данной рассылки - скидка 10% на участие.

Для того чтобы принять участие в семинаре, заполните, пожалуйста, Анкету участника.

Семинар состоится 15-16 октября в 11-00 в офисе компании Инфотекс Интернет Траст по адресу: Ленинградский проспект, дом 80-5, Дигалта Сокол Центр.
Схему проезда к офису можно посмотреть здесь.

Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 

Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.