Аннотация
Курс Сертифицированного аудитора информационных систем (CISA) охватывает все шесть областей экзамена CISA, предлагаемого Ассоциацией аудита и контроля информационных систем (ISACA). Экзамен CISA стал фактически отраслевым стандартом для аудита, контроля и безопасности ИТ. Курс помогает слушателям получить соответствующие, современные и достаточные знания для последующей самостоятельной подготовки и сдачи сертификационного экзамена CISA.
CISA является одним из самых популярных и востребованных ИТ-сертификатов, доступных на рынке, более 60 000 профессионалов имеют сертификат CISA. Сертификация CISA также неизменно признается одной из лучших профессиональных сертификаций, которую имеют ведущие аналитики во всем мире.
Экзамен CISA очень сложный, так как существует вероятность очень сильного сходства между двумя возможными ответами, и именно там ISACA проверяет вас на практическое понимание процесса аудита ИТ.
Аудитория:
- ИТ-специалисты по аудиту, контролю и обеспечению безопасности
- ИТ-консультанты, аудиторы и менеджеры
- Авторы политик безопасности
- Сотрудники, уполномоченные по вопросам конфиденциальности (privacy)
- Сотрудники информационной безопасности
- Инженеры сетевой безопасности
После успешного прохождения этого курса слушатели изучат:
- Процесс ИТ-аудита
- Модели управления и руководства IT
- Управление жизненным циклом систем и инфраструктуры
- Предоставление и поддержка ИТ-услуг
- Защита информационных активов
- Непрерывность бизнеса и аварийное восстановление
Предварительная подготовка
- Опыт системного администрирования, знакомство с основами работы с TCP/IP, понимание операционных систем UNIX, Linux и Windows на уровне базового системного администрирования и сопровождения.
- Данный курс принадлежит к категории «продвинутых», поэтому требует от слушателей наличия базовых знаний в области ИТ-безопасности, а также практического опыта не менее 3-5 лет.
Программа курса
Модуль 1 – Процесс аудита информационных систем
- Часть 1: Управление функцией аудита
Организация процесса аудита. Управление процессными ресурсами и способностями. Планирование аудита. Влияние законов и нормативных документов на планирование аудита ИБ.
- Часть 2: Свод требований (Standards) и рекомендаций (Guidelines) по организации и проведению аудитов ISACA
Отличие требований от рекомендаций. Перечни стандартов и рекомендаций. Техники, инструменты аудита и их соотношение со стандартами и рекомендациями.
Компоненты ITAF (Information Technololgy Assurance Framework). Общие стандарты ITAF (секция 2200). ITAF Performance стандарты (секция 2400). Стандарты отчетности (секция 2600). IT Assurance Guidelines (секция 3000).
- Часть 3: Анализ рисков и внутренний контроль
Цели и задачи внутреннего контроля и аудита. Связь с набором публикаций СOBIT (версия 5 и 2019). Модели общего контроля и контроля информационных систем
- Часть 4: Выполнение аудита ИС
Классификация по видам и типам аудита. Программы аудита. Методология аудита.
Обнаружение мошенничества. Аудит на основе рисков. Оценка и принятие решений на основе рисков. Цели аудита. Риски несоответствия требованиям и рекомендациям. Поиск свидетельств аудита. Опрос и наблюдение за персоналом при исполнении ими своих обязанностей. Техника репрезентативной выборки. Использование услуг внешних аудиторов и экспертов. Компьютерные методы аудита (CAAT). Оценка сильных и слабых сторон аудита. Сообщение результатов аудита. Контроль исполнения аудиторских предписаний. Аудиторская документация.
- Часть 5: Контроль самостоятельной оценки (Control Self-Assessment CSA)
Цели, преимущества и недостатки CSA. Роль аудитора в CSA. Технологическая составляющая CSA. Сравнение традиционного подхода и CSA.
- Часть 6: Совершенствование процесса аудита
Автоматизация процесса аудита и подготовки рабочих документов. Интегрированный Аудит. Модель постоянного совершенствования аудита. Управление непрерывностью процесса, интеграция с управлением программами и проектами, а также с процессом контроля изменений.
Модуль 2 – Руководство и управление корпоративным ИТ
- Часть 1: Корпоративное руководство предприятием и ИТ
Референтные модели руководства и управления предприятием и ИТ. Эталонная модель (referent (core) model) задач руководства и управления ИТ. Разделение задач руководства и управления. Фокус ответственности и отчетности.
- Часть 2: Задачи ИТ-мониторинга и обеспечения уверенности для Совета директоров и высшего руководства (IT Monitoring and Assurance Practices for Board and Senior Management)
Лучшие практики для управления ИТ. Основы руководства ИТ. Роль аудита в руководстве ИТ. Комитет по ИТ-стратегии. Система сбалансированных показателей в ИТ. Управление информационной безопасностью. Важность управления информационной безопасностью. Результаты управления безопасностью. Эффективное управление информационной безопасностью. Роли и обязанности высшего руководства и совета директоров. Архитектура предприятия
- Часть 3: Стратегическое управление ИТ. Модели зрелости и возможностей.
Стратегическое планирование. Структура и жизненный цикл стратегии. Каскад целей.
Задачи стратегического совета (комитета). Модели зрелости и возможностей.
- Часть 4: Распределение инвестиций в ИТ
ИТ-инвестиции и практика распределения. Управление ИТ-портфелем. Управление ИТ-портфелем и сбалансированная система показателей
- Часть 5: Политики и процедуры
Сопоставление политик предприятия и политики ИБ. Совокупность норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в ИТ. Политика информационной безопасности и стратегия предприятия в области ИБ. Особенности процесса обработки информации, аудит поведения ИС и ее пользователей в различных ситуациях. Административно-организационные меры, физические и программно-технические средства защиты. Определение архитектуры системы защиты. Процедуры и политики от общего к частному.
- Часть 6: Введение в управление рисками
Основы управления рисками. Разработка программы управления рисками. Процесс управления рисками. Методы анализа рисков.
- Часть 7: Практики управления ИС
Управление человеческими ресурсами. Управление организационными изменениями.
Практика финансового менеджмента. Управление качеством. Управление информационной безопасностью. Оптимизация производительности.
- Часть 8: Организационные структуры предприятия и распределение ответственности
Роли и обязанности. Распределение обязанностей. Контроль над разделением обязанностей. Методы компенсирующего контроля в случае отсутствия четких границ ответственности и полномочий. Документирование и управление работой по контракту.
- Часть 9: Планирование непрерывности бизнеса (BCP)
Планирование непрерывности бизнеса. Катастрофы и другие разрушительные события.
Процесс планирования непрерывности бизнеса. Политика непрерывности бизнеса.
Анализ влияния на бизнес. Классификация операций и анализ критичности процессов и операций. Разработка планов обеспечения непрерывности бизнеса. Компоненты BCP.
Тестирование BCP. Обслуживание BCP.
Модуль 3 – Приобретение, разработка и внедрение информационных систем
- Часть 1: Информационная поддержка бизнеса на уровне ИС
Управление портфелем/программой. Разработка и одобрение бизнес-кейса. Методы реализации преимуществ и осуществления потребностей заинтересованных сторон.
- Часть 2: Структура управления проектами
Контекст проекта и проектная среда. Организационные формы проекта. Проект Коммуникация и Культура. Цели проекта. Роли и обязанности групп и отдельных лиц в проекте.
- Часть 3: Практики управления проектами
Инициирование проекта. Планирование проекта. Пример управления проектом для разработки нового программного обеспечения. Оценка проекта.
Анализ функциональных точек (FPA). Функциональные точки. Формирование бюджета проекта и оценка стоимости разработки программного обеспечения. Планирование и установление сроков. Методология критического пути. Диаграммы Ганта. Методика оценки программы (PERT). Календарное планирование в проекте. Общее управление проектом. Контроллинг проекта. Управление использования ресурсов. Управление рисками. Закрытие проекта.
- Часть 4: Разработка бизнес-приложений
Разработка бизнес-приложений. Традиционный подход SDLC (Software Development Life Cycle — жизненный цикл разработки ПО). Фазы SDLC. Интегрированные системы управления ресурсами. Описание фаз SDLC. Риски, связанные с разработкой программного обеспечения.
- Часть 5: Таксономия бизнес-приложений
Электронная коммерция. Модели электронной коммерции. Архитектура электронной коммерции. Риски электронной коммерции. Требования к электронной коммерции.
Вопросы аудита и контроля электронной коммерции и лучшие практики. Компоненты PKI. Обмен электронными данными. Общие требования ЭОД. Традиционный ЭОД. Сетевой ЭОД. ЭОД Риски и Контроль. Управление в среде ЭОД. Эл. Почта. Проблемы безопасности электронной почты. Стандарты безопасности электронной почты
Системы торговых точек (POS). Электронный банкинг. Проблемы управления рисками в электронном банкинге. Электронные финансы. Платежные Системы. Модель электронных денег. Модель электронного чека. Модель электронного перевода. Электронный перевод средств. Управление в среде EFT. Банкоматы. Обработка изображений. Бизнес-аналитика. Система поддержки принятия решений (DSS). DSS фреймворки. Управление взаимоотношениями с клиентами (CRM). Управление цепочками поставок (SCM).
- Часть 6: Адаптивные подходы в управлении проектами разработки ПО
Адаптивные формы организации управления программным проектом. Agile Development.
Макетирование и создание прототипов. Быстрая разработка приложений (RAD).
- Часть 7: Таксономия методов разработки ПО
Разработка систем, ориентированных на данные. Разработка объектно-ориентированной системы. Компонентно-ориентированная разработка. Разработка веб-приложений. Реинжиниринг программного обеспечения. Обратный инжиниринг.
- Часть 8: Практика развития/приобретения инфраструктуры
Фазы проекта анализа физической архитектуры. Планирование внедрения инфраструктуры. Критические Факторы Успеха. Приобретение оборудования.
Приобретение системного программного обеспечения. Внедрение системного программного обеспечения. Процедуры контроля изменений системного программного обеспечения.
- Часть 9: Практики сопровождения ИС
Обзор процесса управления изменениями. Развертывание изменений. Документирование изменений. Тестирование измененных программ. Аудит изменений в программе. Экстренные Изменения. Несанкционированные изменения. Управление конфигурацией.
- Часть 10: Средства разработки систем и средства повышения производительности
Генераторы кода. Компьютерная инженерия программного обеспечения. Языки четвертого поколения (4GL)
- Часть 11: Проекты реинжиниринга и трансформации бизнес-процессов
Процесс сравнительного анализа. ISO 9126. Software Capability Maturity Model. ISO 33000 (ISO 15504 в прошлом). Улучшение Процессов Программного Обеспечения и Определение Возможностей Процесса.
- Часть 12: Контроль приложений
Входной контроль. Процедуры процесса и их контроль. Общий контроль процесса.
Процедуры контроля данных. Выходной контроль. Обеспечение гарантий, контроль качества.
- Часть 13: Аудит приложений
Аудит приложений. Модель оценки рисков для анализа элементов управления приложениями. Наблюдение и тестирование пользовательских процедур. Проверка целостности данных. Пример ссылочной и реляционной целостности. Целостность данных в онлайн-системах обработки транзакций. Системы тестирования приложений
Непрерывный онлайн-аудит. Методы онлайн-аудита.
- Часть 14: Аудит разработки, приобретения и обслуживания ИС
Управление проектом. Технико-экономическое обоснование. Определение требований.
Процесс приобретения программного обеспечения. Детальный дизайн и разработка. Тестирование. Фаза внедрения. Обзор после внедрения. Процедуры управления изменениями системы и методы миграции. Непрерывные практики Devops (непрерывная интеграция, тестирование, развертывание и т.д.)
Модуль 4 – Эксплуатация, обслуживание и поддержка информационных систем
- Часть 1: Поддержка ИС
Операционная поддержка ИБ. Управление услугами. Обслуживание инфраструктуры. Планирование и мониторинг использования ресурсов. Процесс обработки инцидентов. Управление проблемами. Обнаружение, документирование, контроль, разрешение и сообщение о нарушении согласованных норм эксплуатации ИС. Поддержка / Helpdesk. Процесс управления изменениями. Управление релизами. Управление информационной безопасностью в контексте операционной поддержки. Медиа санитизация.
- Часть 2: Аппаратные ресурсы ИС
Компоненты и архитектура компьютерного оборудования. Базовые корпоративные устройства. Специализированные устройства. Риски и контроль безопасности.
Определение радиочастотных устройств. Приложения RFID. RFID риски. RFID контроль безопасности. Программа обслуживания оборудования. Процедуры аппаратного мониторинга. Управление мощностями.
- Часть 3: Программные ресурсы ИС
Архитектура ИС - программное обеспечение и данные. Операционные системы.
Проблемы целостности программного обеспечения. Параметры ведения журнала и отчетности. Программное обеспечение для передачи данных. Управление данными
Организация файлов. Системы управления базами данных. Пример данных в СУБД
Архитектура СУБД. Архитектура метаданных СУБД. Структура базы данных. Модели базы данных. Модель реляционной базы данных. Элементы управления базой данных. Управление дисковой подсистемой. Вопросы лицензирования программного обеспечения. Управление цифровыми правами.
- Часть 4: Сетевая инфраструктура.
Архитектура корпоративной сети. Типы сетей. Сетевые сервисы. Сетевые стандарты и протоколы. Архитектура OSI. Уровни OSI. Применение модели OSI в сетевых архитектурах. Локальная сетью. Спецификации сетевых физических носителей. Внедрение WAN. Технологии LAN Media Access. Компоненты локальной сети. Диаграмма уровня OSI. Критерии выбора технологии LAN. Глобальные сети. WAN устройства. WAN Technologies. Беспроводные сети. Беспроводные глобальные сети. Беспроводная безопасность. Протокол беспроводных приложений. Риски беспроводной связи. Сервисы сети международного информационного обмена. Общая интернет-терминология. Сетевое администрирование и контроль. Метрики производительности сети. Проблемы управления сетью. Инструменты сетевого управления. Технология клиент / сервер.
- Часть 5: Планирование восстановления после сбоев.
Целевая точка восстановления (RPO) и целевое время восстановления (RTO). Стратегии восстановления. Методы аварийного восстановления приложений. Методы аварийного восстановления хранилища данных. Методы аварийного восстановления телекоммуникационных сетей. Методы защиты сети. Разработка планов аварийного восстановления. Организация и распределение обязанностей. Резервное копирование и восстановление. Контроль внешних хранилищ. Типы устройств и носителей резервного копирования. Процедуры периодического резервного копирования. Частота ротации.
Схемы резервного копирования.
Модуль 5 – Защита информационных активов
- Часть 1: Важность и необходимость информационной безопасности
Ключевые элементы управления информационной безопасностью. Управление информационной безопасностью - роли и обязанности. Инвентаризация и классификация информационных активов. Разрешительная система доступа.
Обязательный и дискреционный контроль доступа. Проблема управления конфиденциальностью и роль аудиторов ИС. Критические факторы успеха в управлении информационной безопасностью. Информационная безопасность и внешние участники информационного обмена. Определение рисков, связанных с внешними сторонами. Решение проблем безопасности при работе с клиентами. Решение вопросов безопасности и соглашений с третьими лицами. Кадровая безопасность. Проблема внутреннего нарушителя. Модель нарушителя. Проблемы и риски компьютерной преступности. Типы компьютерных преступлений. Пиринговые сети, мгновенный обмен сообщениями, утечка данных и веб-технологии. Обработка инцидентов безопасности.
- Часть 2: Логический доступ
Ознакомление с корпоративной ИТ-средой. Пути логического доступа. Общие точки логического проникновения. Программное обеспечение логического контроля доступа. Идентификация и Аутентификация. Особенности паролей. Рекомендации по идентификации и аутентификации. Токены, одноразовые пароли. Управление биометрией. Единая точка входа. Проблемы с авторизацией. Списки контроля доступа. Администрирование безопасности логического доступа. Удаленный доступ. Разделяемое сетевое подключение. Удаленный доступ с помощью мобильных устройств. Проблемы с доступом с помощью мобильных технологий. Права доступа к системным журналам. Инструменты для анализа аудита. Использование обнаружения вторжений. Хранение, извлечение, транспортировка и удаление конфиденциальной информации.
- Часть 3: Безопасность сетевой инфраструктуры
Безопасность ЛВС. Виртуализация. Безопасность клиента / сервера. Угрозы и риски безопасности беспроводной сети. Интернет-угрозы и безопасность. Угрозы сетевой безопасности. Аудит контроля безопасности в Интернете. Системы безопасности межсетевого экранирования. Распространенные атаки на брандмауэр. Примеры реализации брандмауэра. Обнаружения вторжений. Описание IDS и IPS развертывания. Использование шифрования. Вирусы. Технический контроль против вирусов. Voice Over IP.
- Часть 4: Аудит инфраструктуры управления информационной безопасностью
Аудит инфраструктуры управления информационной безопасностью. Аудит логического доступа. Методы тестирования безопасности
- Часть 5: Аудит безопасности сетевой инфраструктуры
Аудит удаленного доступа. Тест на проникновение в сеть. Типы тестов на проникновение. Разработка и авторизация сетевых изменений. Несанкционированные изменения. Компьютерная криминалистика. Цепочка доказательств.
- Часть 6: Контроль физического доступа, контроль внешних факторов и их воздействия
Контроль внешних факторов безопасности. Модель PESTLE. СКУД системы. Ограничение доступа на заданную территорию. Идентификация лица, имеющего доступ на заданную территорию. Аудит физического доступа.
Модуль 6 – Итоговое тестирование (опционально)
- Часть 1: Имитирование экзамена CISA. Итоговый тест.
В качестве практики в курс включены оценочный, промежуточные и итоговый тесты общим количеством в 100-200 вопросов формата и уровня сложности как на экзамене.
Курс Сертифицированного аудитора информационных систем (CISA) охватывает все шесть областей экзамена CISA, предлагаемого Ассоциацией аудита и контроля информационных систем (ISACA). Экзамен CISA стал фактически отраслевым стандартом для аудита, контроля и безопасности ИТ. Курс помогает слушателям получить соответствующие, современные и достаточные знания для последующей самостоятельной подготовки и сдачи сертификационного экзамена CISA.
CISA является одним из самых популярных и востребованных ИТ-сертификатов, доступных на рынке, более 60 000 профессионалов имеют сертификат CISA. Сертификация CISA также неизменно признается одной из лучших профессиональных сертификаций, которую имеют ведущие аналитики во всем мире.
Экзамен CISA очень сложный, так как существует вероятность очень сильного сходства между двумя возможными ответами, и именно там ISACA проверяет вас на практическое понимание процесса аудита ИТ.
Аудитория:
- ИТ-специалисты по аудиту, контролю и обеспечению безопасности
- ИТ-консультанты, аудиторы и менеджеры
- Авторы политик безопасности
- Сотрудники, уполномоченные по вопросам конфиденциальности (privacy)
- Сотрудники информационной безопасности
- Инженеры сетевой безопасности
После успешного прохождения этого курса слушатели изучат:
- Процесс ИТ-аудита
- Модели управления и руководства IT
- Управление жизненным циклом систем и инфраструктуры
- Предоставление и поддержка ИТ-услуг
- Защита информационных активов
- Непрерывность бизнеса и аварийное восстановление
Предварительная подготовка
- Опыт системного администрирования, знакомство с основами работы с TCP/IP, понимание операционных систем UNIX, Linux и Windows на уровне базового системного администрирования и сопровождения.
- Данный курс принадлежит к категории «продвинутых», поэтому требует от слушателей наличия базовых знаний в области ИТ-безопасности, а также практического опыта не менее 3-5 лет.
Программа курса
Модуль 1 – Процесс аудита информационных систем
- Часть 1: Управление функцией аудита
Организация процесса аудита. Управление процессными ресурсами и способностями. Планирование аудита. Влияние законов и нормативных документов на планирование аудита ИБ.
- Часть 2: Свод требований (Standards) и рекомендаций (Guidelines) по организации и проведению аудитов ISACA
Отличие требований от рекомендаций. Перечни стандартов и рекомендаций. Техники, инструменты аудита и их соотношение со стандартами и рекомендациями.
Компоненты ITAF (Information Technololgy Assurance Framework). Общие стандарты ITAF (секция 2200). ITAF Performance стандарты (секция 2400). Стандарты отчетности (секция 2600). IT Assurance Guidelines (секция 3000).
- Часть 3: Анализ рисков и внутренний контроль
Цели и задачи внутреннего контроля и аудита. Связь с набором публикаций СOBIT (версия 5 и 2019). Модели общего контроля и контроля информационных систем
- Часть 4: Выполнение аудита ИС
Классификация по видам и типам аудита. Программы аудита. Методология аудита.
Обнаружение мошенничества. Аудит на основе рисков. Оценка и принятие решений на основе рисков. Цели аудита. Риски несоответствия требованиям и рекомендациям. Поиск свидетельств аудита. Опрос и наблюдение за персоналом при исполнении ими своих обязанностей. Техника репрезентативной выборки. Использование услуг внешних аудиторов и экспертов. Компьютерные методы аудита (CAAT). Оценка сильных и слабых сторон аудита. Сообщение результатов аудита. Контроль исполнения аудиторских предписаний. Аудиторская документация.
- Часть 5: Контроль самостоятельной оценки (Control Self-Assessment CSA)
Цели, преимущества и недостатки CSA. Роль аудитора в CSA. Технологическая составляющая CSA. Сравнение традиционного подхода и CSA.
- Часть 6: Совершенствование процесса аудита
Автоматизация процесса аудита и подготовки рабочих документов. Интегрированный Аудит. Модель постоянного совершенствования аудита. Управление непрерывностью процесса, интеграция с управлением программами и проектами, а также с процессом контроля изменений.
Модуль 2 – Руководство и управление корпоративным ИТ
- Часть 1: Корпоративное руководство предприятием и ИТ
Референтные модели руководства и управления предприятием и ИТ. Эталонная модель (referent (core) model) задач руководства и управления ИТ. Разделение задач руководства и управления. Фокус ответственности и отчетности.
- Часть 2: Задачи ИТ-мониторинга и обеспечения уверенности для Совета директоров и высшего руководства (IT Monitoring and Assurance Practices for Board and Senior Management)
Лучшие практики для управления ИТ. Основы руководства ИТ. Роль аудита в руководстве ИТ. Комитет по ИТ-стратегии. Система сбалансированных показателей в ИТ. Управление информационной безопасностью. Важность управления информационной безопасностью. Результаты управления безопасностью. Эффективное управление информационной безопасностью. Роли и обязанности высшего руководства и совета директоров. Архитектура предприятия
- Часть 3: Стратегическое управление ИТ. Модели зрелости и возможностей.
Стратегическое планирование. Структура и жизненный цикл стратегии. Каскад целей.
Задачи стратегического совета (комитета). Модели зрелости и возможностей.
- Часть 4: Распределение инвестиций в ИТ
ИТ-инвестиции и практика распределения. Управление ИТ-портфелем. Управление ИТ-портфелем и сбалансированная система показателей
- Часть 5: Политики и процедуры
Сопоставление политик предприятия и политики ИБ. Совокупность норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в ИТ. Политика информационной безопасности и стратегия предприятия в области ИБ. Особенности процесса обработки информации, аудит поведения ИС и ее пользователей в различных ситуациях. Административно-организационные меры, физические и программно-технические средства защиты. Определение архитектуры системы защиты. Процедуры и политики от общего к частному.
- Часть 6: Введение в управление рисками
Основы управления рисками. Разработка программы управления рисками. Процесс управления рисками. Методы анализа рисков.
- Часть 7: Практики управления ИС
Управление человеческими ресурсами. Управление организационными изменениями.
Практика финансового менеджмента. Управление качеством. Управление информационной безопасностью. Оптимизация производительности.
- Часть 8: Организационные структуры предприятия и распределение ответственности
Роли и обязанности. Распределение обязанностей. Контроль над разделением обязанностей. Методы компенсирующего контроля в случае отсутствия четких границ ответственности и полномочий. Документирование и управление работой по контракту.
- Часть 9: Планирование непрерывности бизнеса (BCP)
Планирование непрерывности бизнеса. Катастрофы и другие разрушительные события.
Процесс планирования непрерывности бизнеса. Политика непрерывности бизнеса.
Анализ влияния на бизнес. Классификация операций и анализ критичности процессов и операций. Разработка планов обеспечения непрерывности бизнеса. Компоненты BCP.
Тестирование BCP. Обслуживание BCP.
Модуль 3 – Приобретение, разработка и внедрение информационных систем
- Часть 1: Информационная поддержка бизнеса на уровне ИС
Управление портфелем/программой. Разработка и одобрение бизнес-кейса. Методы реализации преимуществ и осуществления потребностей заинтересованных сторон.
- Часть 2: Структура управления проектами
Контекст проекта и проектная среда. Организационные формы проекта. Проект Коммуникация и Культура. Цели проекта. Роли и обязанности групп и отдельных лиц в проекте.
- Часть 3: Практики управления проектами
Инициирование проекта. Планирование проекта. Пример управления проектом для разработки нового программного обеспечения. Оценка проекта.
Анализ функциональных точек (FPA). Функциональные точки. Формирование бюджета проекта и оценка стоимости разработки программного обеспечения. Планирование и установление сроков. Методология критического пути. Диаграммы Ганта. Методика оценки программы (PERT). Календарное планирование в проекте. Общее управление проектом. Контроллинг проекта. Управление использования ресурсов. Управление рисками. Закрытие проекта.
- Часть 4: Разработка бизнес-приложений
Разработка бизнес-приложений. Традиционный подход SDLC (Software Development Life Cycle — жизненный цикл разработки ПО). Фазы SDLC. Интегрированные системы управления ресурсами. Описание фаз SDLC. Риски, связанные с разработкой программного обеспечения.
- Часть 5: Таксономия бизнес-приложений
Электронная коммерция. Модели электронной коммерции. Архитектура электронной коммерции. Риски электронной коммерции. Требования к электронной коммерции.
Вопросы аудита и контроля электронной коммерции и лучшие практики. Компоненты PKI. Обмен электронными данными. Общие требования ЭОД. Традиционный ЭОД. Сетевой ЭОД. ЭОД Риски и Контроль. Управление в среде ЭОД. Эл. Почта. Проблемы безопасности электронной почты. Стандарты безопасности электронной почты
Системы торговых точек (POS). Электронный банкинг. Проблемы управления рисками в электронном банкинге. Электронные финансы. Платежные Системы. Модель электронных денег. Модель электронного чека. Модель электронного перевода. Электронный перевод средств. Управление в среде EFT. Банкоматы. Обработка изображений. Бизнес-аналитика. Система поддержки принятия решений (DSS). DSS фреймворки. Управление взаимоотношениями с клиентами (CRM). Управление цепочками поставок (SCM).
- Часть 6: Адаптивные подходы в управлении проектами разработки ПО
Адаптивные формы организации управления программным проектом. Agile Development.
Макетирование и создание прототипов. Быстрая разработка приложений (RAD).
- Часть 7: Таксономия методов разработки ПО
Разработка систем, ориентированных на данные. Разработка объектно-ориентированной системы. Компонентно-ориентированная разработка. Разработка веб-приложений. Реинжиниринг программного обеспечения. Обратный инжиниринг.
- Часть 8: Практика развития/приобретения инфраструктуры
Фазы проекта анализа физической архитектуры. Планирование внедрения инфраструктуры. Критические Факторы Успеха. Приобретение оборудования.
Приобретение системного программного обеспечения. Внедрение системного программного обеспечения. Процедуры контроля изменений системного программного обеспечения.
- Часть 9: Практики сопровождения ИС
Обзор процесса управления изменениями. Развертывание изменений. Документирование изменений. Тестирование измененных программ. Аудит изменений в программе. Экстренные Изменения. Несанкционированные изменения. Управление конфигурацией.
- Часть 10: Средства разработки систем и средства повышения производительности
Генераторы кода. Компьютерная инженерия программного обеспечения. Языки четвертого поколения (4GL)
- Часть 11: Проекты реинжиниринга и трансформации бизнес-процессов
Процесс сравнительного анализа. ISO 9126. Software Capability Maturity Model. ISO 33000 (ISO 15504 в прошлом). Улучшение Процессов Программного Обеспечения и Определение Возможностей Процесса.
- Часть 12: Контроль приложений
Входной контроль. Процедуры процесса и их контроль. Общий контроль процесса.
Процедуры контроля данных. Выходной контроль. Обеспечение гарантий, контроль качества.
- Часть 13: Аудит приложений
Аудит приложений. Модель оценки рисков для анализа элементов управления приложениями. Наблюдение и тестирование пользовательских процедур. Проверка целостности данных. Пример ссылочной и реляционной целостности. Целостность данных в онлайн-системах обработки транзакций. Системы тестирования приложений
Непрерывный онлайн-аудит. Методы онлайн-аудита.
- Часть 14: Аудит разработки, приобретения и обслуживания ИС
Управление проектом. Технико-экономическое обоснование. Определение требований.
Процесс приобретения программного обеспечения. Детальный дизайн и разработка. Тестирование. Фаза внедрения. Обзор после внедрения. Процедуры управления изменениями системы и методы миграции. Непрерывные практики Devops (непрерывная интеграция, тестирование, развертывание и т.д.)
Модуль 4 – Эксплуатация, обслуживание и поддержка информационных систем
- Часть 1: Поддержка ИС
Операционная поддержка ИБ. Управление услугами. Обслуживание инфраструктуры. Планирование и мониторинг использования ресурсов. Процесс обработки инцидентов. Управление проблемами. Обнаружение, документирование, контроль, разрешение и сообщение о нарушении согласованных норм эксплуатации ИС. Поддержка / Helpdesk. Процесс управления изменениями. Управление релизами. Управление информационной безопасностью в контексте операционной поддержки. Медиа санитизация.
- Часть 2: Аппаратные ресурсы ИС
Компоненты и архитектура компьютерного оборудования. Базовые корпоративные устройства. Специализированные устройства. Риски и контроль безопасности.
Определение радиочастотных устройств. Приложения RFID. RFID риски. RFID контроль безопасности. Программа обслуживания оборудования. Процедуры аппаратного мониторинга. Управление мощностями.
- Часть 3: Программные ресурсы ИС
Архитектура ИС - программное обеспечение и данные. Операционные системы.
Проблемы целостности программного обеспечения. Параметры ведения журнала и отчетности. Программное обеспечение для передачи данных. Управление данными
Организация файлов. Системы управления базами данных. Пример данных в СУБД
Архитектура СУБД. Архитектура метаданных СУБД. Структура базы данных. Модели базы данных. Модель реляционной базы данных. Элементы управления базой данных. Управление дисковой подсистемой. Вопросы лицензирования программного обеспечения. Управление цифровыми правами.
- Часть 4: Сетевая инфраструктура.
Архитектура корпоративной сети. Типы сетей. Сетевые сервисы. Сетевые стандарты и протоколы. Архитектура OSI. Уровни OSI. Применение модели OSI в сетевых архитектурах. Локальная сетью. Спецификации сетевых физических носителей. Внедрение WAN. Технологии LAN Media Access. Компоненты локальной сети. Диаграмма уровня OSI. Критерии выбора технологии LAN. Глобальные сети. WAN устройства. WAN Technologies. Беспроводные сети. Беспроводные глобальные сети. Беспроводная безопасность. Протокол беспроводных приложений. Риски беспроводной связи. Сервисы сети международного информационного обмена. Общая интернет-терминология. Сетевое администрирование и контроль. Метрики производительности сети. Проблемы управления сетью. Инструменты сетевого управления. Технология клиент / сервер.
- Часть 5: Планирование восстановления после сбоев.
Целевая точка восстановления (RPO) и целевое время восстановления (RTO). Стратегии восстановления. Методы аварийного восстановления приложений. Методы аварийного восстановления хранилища данных. Методы аварийного восстановления телекоммуникационных сетей. Методы защиты сети. Разработка планов аварийного восстановления. Организация и распределение обязанностей. Резервное копирование и восстановление. Контроль внешних хранилищ. Типы устройств и носителей резервного копирования. Процедуры периодического резервного копирования. Частота ротации.
Схемы резервного копирования.
Модуль 5 – Защита информационных активов
- Часть 1: Важность и необходимость информационной безопасности
Ключевые элементы управления информационной безопасностью. Управление информационной безопасностью - роли и обязанности. Инвентаризация и классификация информационных активов. Разрешительная система доступа.
Обязательный и дискреционный контроль доступа. Проблема управления конфиденциальностью и роль аудиторов ИС. Критические факторы успеха в управлении информационной безопасностью. Информационная безопасность и внешние участники информационного обмена. Определение рисков, связанных с внешними сторонами. Решение проблем безопасности при работе с клиентами. Решение вопросов безопасности и соглашений с третьими лицами. Кадровая безопасность. Проблема внутреннего нарушителя. Модель нарушителя. Проблемы и риски компьютерной преступности. Типы компьютерных преступлений. Пиринговые сети, мгновенный обмен сообщениями, утечка данных и веб-технологии. Обработка инцидентов безопасности.
- Часть 2: Логический доступ
Ознакомление с корпоративной ИТ-средой. Пути логического доступа. Общие точки логического проникновения. Программное обеспечение логического контроля доступа. Идентификация и Аутентификация. Особенности паролей. Рекомендации по идентификации и аутентификации. Токены, одноразовые пароли. Управление биометрией. Единая точка входа. Проблемы с авторизацией. Списки контроля доступа. Администрирование безопасности логического доступа. Удаленный доступ. Разделяемое сетевое подключение. Удаленный доступ с помощью мобильных устройств. Проблемы с доступом с помощью мобильных технологий. Права доступа к системным журналам. Инструменты для анализа аудита. Использование обнаружения вторжений. Хранение, извлечение, транспортировка и удаление конфиденциальной информации.
- Часть 3: Безопасность сетевой инфраструктуры
Безопасность ЛВС. Виртуализация. Безопасность клиента / сервера. Угрозы и риски безопасности беспроводной сети. Интернет-угрозы и безопасность. Угрозы сетевой безопасности. Аудит контроля безопасности в Интернете. Системы безопасности межсетевого экранирования. Распространенные атаки на брандмауэр. Примеры реализации брандмауэра. Обнаружения вторжений. Описание IDS и IPS развертывания. Использование шифрования. Вирусы. Технический контроль против вирусов. Voice Over IP.
- Часть 4: Аудит инфраструктуры управления информационной безопасностью
Аудит инфраструктуры управления информационной безопасностью. Аудит логического доступа. Методы тестирования безопасности
- Часть 5: Аудит безопасности сетевой инфраструктуры
Аудит удаленного доступа. Тест на проникновение в сеть. Типы тестов на проникновение. Разработка и авторизация сетевых изменений. Несанкционированные изменения. Компьютерная криминалистика. Цепочка доказательств.
- Часть 6: Контроль физического доступа, контроль внешних факторов и их воздействия
Контроль внешних факторов безопасности. Модель PESTLE. СКУД системы. Ограничение доступа на заданную территорию. Идентификация лица, имеющего доступ на заданную территорию. Аудит физического доступа.
Модуль 6 – Итоговое тестирование (опционально)
- Часть 1: Имитирование экзамена CISA. Итоговый тест.
В качестве практики в курс включены оценочный, промежуточные и итоговый тесты общим количеством в 100-200 вопросов формата и уровня сложности как на экзамене.