Aksionov_CyberSecurity Training Courses_2023.pdf

КАТАЛОГ АВТОРСКИХ КУРСОВ И СЕМИНАРОВ
по информационной и кибербезопасности
(версия 1.0)
Вячеслав Аксёнов,
Enterprise Security Architect, vvaksionov@gmail.com
г. Минск, 2023

itsec.by 2
Содержание
1 ПЕРЕЧЕНЬ КУРСОВ И СЕМИНАРОВ .........................................................................................................3
2 ПРОГРАММЫ КУРСОВ..............................................................................................................................4
2.1 Обеспечение кибербезопасности и защита информации в организации ................................4
2.2 Разработка, внедрение и аудит системы менеджмента информационной безопасности в
соответствии с требованиями ISO/IEC 27001:2022 (СТБ ISO/IEC 27001-2016) ..................................8
2.3 Оценка и управление рисками информационной безопасности в организации ..................11
2.4 Аудит информационной безопасности........................................................................................13
2.5 Защита коммерческой тайны и организация конфиденциального делопроизводства.......15
2.6 Аттестация и эксплуатация систем защиты информации информационных систем............17
2.7 Формализация и внедрение процессов управления информационной безопасностью. ....20
2.8 Безопасность компьютерных сетей (создание, мониторинг, анализ защищенности и
расследование инцидентов). ..............................................................................................................23
2.9 Оценка защищенности информационных систем и ресурсов .................................................25
2.10 Обеспечение информационной безопасности банков Республики Беларусь .....................28
2.11 Противодействие киберугрозам в Банке ..................................................................................31
2.12 Безопасность облачных вычислений (Cloud Security)..............................................................34
3 ПРОГРАММЫ КРАТКИХ КУРСОВ, СЕМИНАРОВ И ПРАКТИКУМОВ....................................................37
3.1 Соответствие требованиям законодательства Республики Беларусь в области защиты
информации..........................................................................................................................................37
3.2 Стандарты в области информационной безопасности..............................................................38
3.3 CIS Critical Security Controls. Аудит и внедрение.........................................................................39
3.4 Проектирование, создание и аттестация системы защиты информации информационной
системы (практикум)............................................................................................................................40
3.5 ISO/IEC 27001:2022. Разработка и внедрение системы менеджмента информационной
безопасности.........................................................................................................................................41
3.6 ISO/IEC 27001:2022. Аудит системы менеджмента информационной безопасности. ..........42
3.7 Управление кибер-рисками ..........................................................................................................43
4 СВЕДЕНИЯ ОБ АВТОРЕ КУРСОВ И СЕМИНАРОВ ..................................................................................44

itsec.by 3
1 ПЕРЕЧЕНЬ КУРСОВ И СЕМИНАРОВ
Курсы:
− Обеспечение кибербезопасности и защита информации в организации.
− Разработка, внедрение и аудит системы менеджмента информационной
безопасности в соответствии с требованиями ISO/IEC 27001:2022 (СТБ ISO/IEC 27001-
2016).
− Оценка и управление рисками информационной безопасности в организации.
− Аудит информационной безопасности.
− Защита коммерческой тайны и организация конфиденциального делопроизводства.
− Аттестация и эксплуатация систем защиты информации информационных систем.
− Формализация и внедрение процессов управления информационной
безопасностью.
− Безопасность компьютерных сетей (создание, мониторинг, анализ защищенности и
расследование инцидентов).
− Оценка защищенности информационных систем и ресурсов.
− Обеспечение информационной безопасности банков Республики Беларусь.
− Противодействие киберугрозам в Банке.
− Безопасность облачных вычислений (Cloud Security).
Семинары:
− Соответствие требованиям законодательства Республики Беларусь в области
защиты информации.
− Стандарты в области информационной безопасности.
− CIS Critical Security Controls. Аудит и внедрение.
− Проектирование, создание и аттестация системы защиты информации
информационной системы (практикум).
− ISO/IEC 27001:2022. Разработка и внедрение системы менеджмента
информационной безопасности.
− ISO/IEC 27001:2022. Аудит системы менеджмента информационной безопасности.
− Управление кибер-рисками.
В разделах 2 и 3 представлены программы и описание курсов и семинаров.

itsec.by 4
2 ПРОГРАММЫ КУРСОВ
2.1 Обеспечение кибербезопасности и защита информации в организации
Продолжительность обучения: 40 академических часов (5 дней).
Аннотация
Данный курс рассматривает следующие темы:
− требования законодательства Республики Беларусь об информации,
информатизации и защите информации, положения отечественных и
международных стандартов в области кибербезопасности и защиты информации;
− практические аспекты и порядок выполнения работ по проектированию, созданию
и аттестации системы защиты информации;
− теоретические вопросы и практические аспекты разработки и внедрения системы
менеджмента информационной безопасности (СМИБ) в соответствии со стандартом
ISO/IEC 27001:2022;
− вопросы разработки программы, методики, процедуры аудита безопасности
предприятия;
− основы обеспечения защиты сведений, составляющих коммерческую тайну
организации основные подходы к менеджменту риска в организации и методы
оценки риска;
− особенности использования технологий облачных вычислений с учетом требований
законодательства Республики Беларусь и обеспечения их безопасности.
Целевая аудитория:
− руководители и сотрудники, отвечающие за обеспечение кибербезопасности,
управление киберрисками и защиту информации в организации;
− курс также будет интересен IT-аудиторам, аналитикам по вопросам
кибербезопасности, администраторам средств защиты, контроля и управления
безопасностью, специалистам, ответственных за разработку необходимых
нормативно-методических и организационно-распорядительных документов по
вопросам кибербезопасности и защиты информации.
ПРОГРАММА КУРСА
1. Правовые аспекты обеспечения кибербезопасности и защиты информации в
Республике Беларусь
− Основные понятия в области кибербезопасности и защиты информации.
− Иерархия нормативных правовых актов.
− Структура требований нормативных правовых актов.
− Зависимости между требованиями.
− Область применения и исключения.
− Правовой режим информации.
− Права и обязанности субъектов информационных отношений по защите
информации.
− Ответственность за правонарушения в области связи и информации, и преступления
против информационной безопасности.

itsec.by 5
− Лицензирование деятельности по технической и (или) криптографической защите
− Сертификация средств защиты информации и продукции по требованиям
безопасности информации.
2. Стандартизация в области кибербезопасности и защиты информации
− Информационные технологии и безопасность.
− Методы и средства безопасности.
− Критерии оценки безопасности информационных технологий.
− Требования к защите информации от несанкционированного доступа.
− Обеспечение информационной безопасности банков.
− Системы менеджмента информационной безопасности.
3. Управление киберрисками
− Международные стандарты менеджмента и оценки риска.
− Основные этапы менеджмента риска.
− Процесс менеджмента риска.
− Формат отчета об оценке рисков.
− Инструментальные средства оценки и анализа риска.
4. Проектирование и внедрение системы менеджмента информационной безопасности
(СМИБ) в соответствии с требованиями ISO/IEC 27001:2022
− Орг. структура: роли и сферы ответственности.
− Определение области применения СМИБ.
− Разработка политики информационной безопасности.
− Оценка рисков информационной безопасности.
− Определение целей и мер контроля СМИБ.
− Разработка плана внедрения проекта СМИБ.
− Разработка и внедрение обязательных документированных процедур.
5. Управление непрерывностью бизнеса
− Стандарты и подходы к управлению непрерывностью бизнеса.
− Постановка задачи для разработки программы управления непрерывностью
бизнеса.
− Разработка программы управления непрерывностью бизнеса.
6. Управление инцидентами информационной безопасности
− Подход к управлению инцидентами.
− Стандарты управления инцидентами.
− Предотвращение, реагирование, расследование.
7. Проектирование, создание, аттестация и эксплуатация системы защиты информации
− Требования к системе защиты информации и их формирование.
− Проектирование системы защиты информации.
− Создание системы защиты информации.

itsec.by 6
− Подготовка системы защиты информации к проведению аттестации. Аттестация.
− Эксплуатация системы защиты информации.
− Модернизация системы защиты информации.
8. Техническая и криптографическая защита информации
− Уровни защиты: периметр, сеть, среда виртуализации, системы, приложения,
данные.
− Защита информации от несанкционированного доступа.
− Мониторинг и управление событиями безопасности.
− Межсетевое экранирование.
− Обнаружение и предотвращение вторжений.
− Защита среды виртуализации.
− Антивирусная защита.
− Обнаружение уязвимостей и контроль соответствия.
− Контроль целостности.
− Защита от утечки конфиденциальной информации.
− Контроль доступа к периферийным устройствам.
− Криптографическая защита информации.
9. Основы обеспечения защиты сведений, составляющих коммерческую тайну
организации
− Основные термины и определения.
− Соотношение коммерческой тайны с другими видами тайн.
− Коммерческая тайна в системе обеспечения безопасности деятельности
организации.
− Правовые аспекты защиты коммерческой тайны.
− Ответственность за нарушение режима коммерческой тайны.
− Реализация режима коммерческой тайны в соответствии с требованиями
действующего законодательства.
10. Особенности защиты информации, обрабатываемой в облачной информационной
системе
− Архитектура системы защиты информации облачный информационной системы.
− Требования по обеспечению информационной безопасности к поставщику
облачных услуг.
− Требования по обеспечению информационной безопасности к потребителю
облачных услуг, условия размещения информационных систем в облачной
инфраструктуре.
− Особенности проектирования, создания и аттестации инфраструктуры
предоставления облачных услуг.
− Защита информации в информационной системе, размещенной в облаке.
− Особенности подтверждения соответствия системы защиты информации
информационных систем, размещенных в облачной инфраструктуре.
11. Проведение аудита безопасности
− Подходы к проведению аудита информационной безопасности.

itsec.by 7
− Задачи и содержание работ при проведении аудита информационной
безопасности.
− Подготовка организации к проведению аудита информационной безопасности.
− Планирование аудита информационной безопасности.
− Организация работ по проведению аудита информационной безопасности.
− Алгоритм проведения аудита информационной безопасности организации.
− Перечень данных, необходимых для проведения аудита информационной
− Подготовка отчетных документов.
12. Проведение тестирования на проникновение и оценки защищенности
− Обзор цели.
− Сбор информации.
− Обнаружение цели.
− Исследование цели.
− Анализ уязвимостей.
− Социальная инженерия.
− Эксплуатация цели.
− Эскалация привилегий.
− Поддержка доступа.
− Удаление следов.

itsec.by 8
2.2 Разработка, внедрение и аудит системы менеджмента информационной
безопасности в соответствии с требованиями ISO/IEC 27001:2022 (СТБ ISO/IEC 27001-
2016)
Аннотация
Курс предназначен для менеджеров по информационной безопасности, руководителей
подразделений защиты информации, также курс будет полезен IT – аудиторам и
ответственным за разработку и внедрение системы менеджмента информационной
безопасности (СМИБ). В курсе рассматривается проект по разработке и внедрению СМИБ в
соответствии требованиями ISO/IEC 27001:2022.
1. Структуры и стандарты построения систем информационной безопасности на
основании процессного подхода.
− Терминология в области информационной безопасности
− Основы процессного подхода в области информационной безопасности.
− Обзор стандартов и структур построения систем информационной безопасности
(ISO/IEC 2700x, COBIT for Information Security, CIS Critical Security Controls for Effective
Cyber Defense, NIST Special Publication 800-53. Revision 4 и др.)
− Документирование систем менеджмента информационной безопасности
(структура и меж-документные зависимости).
2. Проведение GAP –анализа на соответствие требованиям ISO/IEC 27001:2022
− Сбор первичных сведений об объекте и разработка плана обследования
− Проведение обследования на площадке
− Анализ собранной информации, разработка и отчетной документации по проекту
− Разработка Плана-графика внедрения СМИБ
− Определение состава документации СМИБ, необходимой для разработки или
модификации
3. Выполнение обязательных требований стандарта.
− Понимание организации и ее контекста
− Понимание потребностей и ожиданий заинтересованных сторон
− Определение области применения системы менеджмента информационной
− безопасности
− Лидерство и обязательства
− Политика
− Организационные функции, ответственность и полномочия
− Действия в отношении рисков и потенциальных возможностей
− Целевые показатели в сфере информационной безопасности и планирование их
− достижения
− Ресурсы
− Компетентность

itsec.by 9
− Осведомленность
− Коммуникация
− Документированная информация
− Планирование и управление функционированием
− Оценка рисков информационной безопасности
− Обработка рисков информационной безопасности
− Мониторинг, измерение, анализ и оценка
− Внутренний аудит
− Анализ системы руководством
− Несоответствия и корректирующие действия
− Непрерывное улучшение
4. Управление риском в СМИБ.
− Цели и задачи управления рисками
− Методика оценки рисков информационной безопасности
− Идентификация активов и оценка ценности активов
− Идентификация угроз и уязвимостей
− Определение уровня риска
− Разработка плана обработки рисков и положения о применимости средств
управления ИБ (SoA)
5. Разработка и внедрение процессов обеспечения информационной безопасности.
− Политики информационной безопасности
− Организация информационной безопасности
− Безопасность, связанная с персоналом
− Управление активами
− Управление доступом
− Криптография
− Физическая безопасность и защита от окружающей среды
− Операционная деятельность по обеспечению безопасности
− Безопасность сети
− Приобретение, разработка и сопровождение систем
− Взаимоотношения с поставщиками
− Управление инцидентами в области информационной безопасности
− Управление непрерывностью бизнеса
− Соответствие
6. Сертификация СМИБ.
− Проведение предварительного аудита перед выходом на сертификацию
− Международные и национальные органы по сертификации
− Прохождение сертификационного аудита
− Разработка Плана устранений несоответствий по результатам сертификации.
7. Соответствие законодательным и договорным требованиям.
− Защита коммерческой тайны

itsec.by 10
− Защита персональных данных
− Особенности внедрения СМИБ в банках
− Особенности СМИБ в составе системы безопасности критически важных объектов
информатизации
− Учет требований GDPR

itsec.by 11
2.3 Оценка и управление рисками информационной безопасности в организации
Продолжительность обучения: 24 академических часа (3 дня).
Аннотация
В рамках курса основное внимание уделяется практическим аспектам внедрения процесса
управления рисками информационной безопасности в организации и занятиям по
проведению оценки рисков информационной безопасности начиная от идентификации и
оценки ценности активов, и заканчивая разработкой отчета по результатам оценки рисков
информационной безопасности и плана обработки рисков.
В курсе рассматриваются:
− основные подходы к менеджменту риска в организации и методы оценки риска в
соответствии с ISO 31000:2018 и IEC 31010:2019;
− требования по оценке риска в отечественных и международных стандартах в
области систем менеджмента: ISO/IEC 27001, ISO/IEC 20000-1, ТТП ИБ 2.1 - 2020;
− методики оценки рисков информационной безопасности в соответствии с ISO/IEC
27005, СТБ 31.101.70-2016, ТТП ИБ 4.1 - 2020;
− проведение Data Protection Impact Assessment для выполнения требований GDPR.
− оценка рисков безопасности КВОИ в соответствии с требованиями Положения о
порядке технической и криптографической защиты информации, обрабатываемой
на критически важных объектах информатизации, утвержденного Приказом
Оперативно-аналитического центра при Президенте Республики Беларусь
20.02.2020 № 66;
− управление рисками в банках в соответствии с постановлением правления НБРБ №
550;
− подход к оценке рисков информационной безопасности при использовании
технологий «облачных вычислений».
Каждому слушателю будут предоставлены учебно-методические материалы,
позволяющие реализовать процесс управления рисками информационной безопасности в
своей организации.
Целевая аудитория
Курс предназначен для руководителей и специалистов подразделений ответственных за
обеспечение информационной безопасности в организации, аудит и контроль
обеспечения информационной безопасности, занимающихся оценкой информационных
рисков и их управлением.
1. Управление рисками информационной безопасности.
− Менеджмент рисков в организации. Цели и задачи управления рисками в
соответствии с ISO 31000:2018. Методы оценки риска в соответствии с IEC
31010:2019.

itsec.by 12
− Оценка рисков информационной безопасности в системах менеджмента. Системы
менеджмента информационной безопасности (ISO/IEC 27001). Системы управления
услугами (ISO/IEC 20000-1).
− Оценка и управление IT-рисками в банке. Система управления рисками в
банковской сфере (Постановление правления НБРБ № 550). Менеджмент рисков
информационной безопасности (ТТП ИБ 4.1 - 2020).
− Методики оценки рисков информационной безопасности. Оценка рисков
информационной безопасности банков в соответствии с ТТП ИБ 4.1 - 2020.
Управление рисками информационной безопасности в соответствии с ISO/IEC 27005.
Оценка рисков информационной безопасности в информационных системах в
соответствии с СТБ 34.101.70-2016.
− Проведение Data Protection Impact Assessment для выполнения требований GDPR.
− Оценка рисков безопасности КВОИ в соответствии с требованиями Положения о
порядке технической и криптографической защиты информации, обрабатываемой
на критически важных объектах информатизации, утвержденного Приказом
Оперативно-аналитического центра при Президенте Республики Беларусь
20.02.2020 № 66.
− Оценка рисков информационной безопасности при использовании технологий
«облачных вычислений».
2. Практикум проведения оценки рисков информационной безопасности.
− Практические аспекты внедрение процесса управления рисками информационной
− Идентификация активов и оценка ценности активов. Разработка реестра
информационных активов.
− Идентификация источников угроз и уязвимостей. Описание источников угроз.
Описание сценариев угроз. Описание возможных уязвимостей реализации угроз.
− Определение уровня риска. Определение возможности возникновения угрозы.
Определение вероятности реализации сценария. Определение значений
возможного ущерба. Определение значений уровней рисков. Разработка каталога
угроз и уязвимостей.
− Оформление отчёта по результатам оценки рисков.
− Разработка плана обработки рисков и положения о применимости средств
управления ИБ (SoA).

itsec.by 13
2.4 Аудит информационной безопасности
Аннотация
В данном курсе рассматриваются вопросы разработки программы, методики, процедуры
аудита информационной безопасности предприятия в соответствии с ISO 19011, ISO 27007,
ISO 27002 и лучшими практиками в области информационной безопасности.
Подробно изучаются все аспекты аудита - от общих высокоуровневых подходов к
планированию и проведению аудита до технических деталей аудита конкретных средств
управления информационной безопасностью. В ходе практических занятий проводится
последовательный аудит специально разработанной для курса информационной системы.
Целевая аудитория
Курс предназначен для руководителей и специалистов подразделений технической
защиты информации, IT-аудиторов, аналитиков по вопросам компьютерной безопасности,
администраторов средств защиты, контроля и управления безопасностью, специалистов,
ответственных за разработку необходимых нормативно-методических и организационно-
распорядительных документов по вопросам менеджмента информационной
1. Принципы и концепции аудита
− Основы построения систем информационной безопасности
− Основные понятия, определения, этапы, виды и направления аудита
информационной безопасности
− Правовое обеспечение аудита информационной безопасности
2. Процесс аудита
− Подходы к проведению аудита информационной безопасности
− Задачи и содержание работ при проведении аудита информационной безопасности
− Подготовка организации к проведению аудита информационной безопасности
− Планирование аудита информационной безопасности
− Организация работ по проведению аудита информационной безопасности
− Алгоритм проведения аудита информационной безопасности организации
− Перечень данных, необходимых для проведения аудита информационной
безопасности
− Подготовка отчетных документов
3. Стандарты аудита
− ISO 27007
− ISO 19011
4. Критерии аудита
− ISO/IEC 27001

itsec.by 14
− CIS Critical Security Controls
− NIST
− PCI DSS
− Законодательство в области защиты персональных данных
− Законодательство в области защиты коммерческой тайны
− Законодательство в области защиты критически важных объектов информатизации
5. Методики и инструменты оценки защищенности информационных систем и ресурсов
− Методики проведения оценки защищенности, уязвимости, моделирование угроз
− Сбор информации: Maltego, Nmap/ Zenmap
− Поиск и анализ уязвимостей: OpenVAS
− Эксплуатация/верификация уязвимостей: Metasploit/Armitage, SET, Hydra
− Аудит WEB приложений: OWASP ZAP
− Отчетность: Maltego (CaseFile)
6. Практические занятия
− Практическая работа №1. Сбор и анализ информации из общедоступных источников
− Практическая работа №2. Оценка защищенности информационных систем и
ресурсов
− Практическая работа №3. Процесс аудита информационной безопасности:
• Определение области проведения аудита.
• Определение критериев аудита.
• Разработка плана проведения аудита.
• Проведение установочной встречи.
• Анализ и экспертиза документации.
• Подготовка анкет-вопросников (чек-листов) для проведения аудита.
• Проведение интервью.
• Оформление отчета.

itsec.by 15
2.5 Защита коммерческой тайны и организация конфиденциального
делопроизводства
Продолжительность обучения: 16 академических часов (2 дня).
Аннотация
В рамках курса основное внимание уделяется практическим аспектам реализации
механизмов защиты коммерческой тайны, определенных Законом Республики Беларусь от
5 января 2013 г. № 16-З «О коммерческой тайне» и другими нормативными правовыми
актами.
Каждому слушателю будут предоставлены учебно-методические материалы,
позволяющие организовать и обеспечить защиту коммерческой в своей организации.
− требования законодательства Республики Беларусь в области защиты
коммерческой тайны и организации конфиденциального делопроизводства;
− порядок установления, изменения и отмены режима коммерческой тайны
организации;
− практические вопросы разработки внутренних регламентов и документов,
обеспечивающие реализацию режима коммерческой тайны;
− подход к организации конфиденциального делопроизводства;
− практические аспекты технической и криптографической защиты коммерческой
тайны.
1. Основы обеспечения защиты сведений, составляющих коммерческую тайну
− Основные термины и определения.
− Соотношение коммерческой тайны с другими видами тайн.
− Коммерческая тайна в системе обеспечения безопасности деятельности
− Правовые аспекты защиты коммерческой тайны.
2. Трудовые отношения, связанные с режимом коммерческой тайны в организации.
− Права и обязанности работников и работодателей.
− Содержание трудового договора (контракта) в части отношений, возникающих в
связи с режимом коммерческой тайны.
− Содержание обязательства о неразглашении коммерческой тайны, дополнительно
заключаемого по требованию нанимателя с работником, получающим доступ к
коммерческой тайне.
3. Реализация режима коммерческой тайны в соответствии с требованиями
действующего законодательства.
− Определение работников, ответственных за принятие мер по обеспечению
конфиденциальности сведений, составляющих коммерческую тайну.

itsec.by 16
− Определение состава сведений, подлежащих охране в режиме коммерческой
тайны.
− Ограничение доступа к коммерческой тайне.
− Контроль за соблюдением порядка обращения с носителями коммерческой тайны.
− Учет лиц, получивших доступ к коммерческой тайне.
− Регулирование отношений, связанных с доступом к коммерческой тайне
работников и контрагентов.
4. Техническая и криптографическая защиты коммерческой тайны в организации.
− Реализация комплекса мероприятий по технической защите коммерческой тайны.
− Технические требования по защите коммерческой тайны.
− Использование программных, программно-аппаратных и технических средств
− Особенности криптографической защиты коммерческой тайны.
5. Организация конфиденциального делопроизводства.
− Нормативно-правовые акты регламентирующие вопросы организации
конфиденциального делопроизводства.
− Особенности организации конфиденциального делопроизводства в Республике
Беларусь.
− Регламентация и ведение конфиденциального делопроизводства в организации.
6. Ответственность за нарушение режима коммерческой тайны.
− Дисциплинарная, материальная, административная, уголовная ответственность за
разглашение и утрату сведений, составляющих коммерческую тайну.
− Расследования случаев, связанных с разглашением информации, составляющей
коммерческую тайну.
− Алгоритм увольнения сотрудника за нарушение режима коммерческой тайны.

itsec.by 17
2.6 Аттестация и эксплуатация систем защиты информации информационных систем
Аннотация
выполнение требований по защите информации в информационных системах
В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и
этапах информационных систем с учетом требований нормативных правовых актов
Республики Беларусь об информации, информатизации и защите информации,
В рамках курса основное внимание уделяется практическим вопросам разработки
документации на систему защиты информации информационной системы.
1. Стадии создания информационных систем:
− Формирование требований.
− Разработка концепции.
− Техническое задание.
− Эскизный проект.
− Технический проект.
− Рабочая документация.
− Ввод в действие.
− Сопровождение.
2. Проведение обследования информационной системы:
− Сбор информации об информационной системе:
• состава используемых в системе аппаратных средств и программного
обеспечения;
• сведений о пользователях (субъектах) информационной системы;
• сведений о взаимодействии с внешними системами (объектами);
• сведений о взаимодействии объектов системы между собой;
• перечня обрабатываемой в системе информации.
− Проведение анализа документации на информационную систему и систему защиты
− Проведение анализа распределения ответственности в организации за обеспечение
− Категорирование информации, которая будет обрабатываться в информационной
системе, в соответствии с законодательством об информации, информатизации и
защите информации.
− Отнесение информационной системы к классу типовых информационных систем.
Оформление акта.
3. Проектирование системы защиты информации:

itsec.by 18
− Анализ структуры информационной системы и информационных потоков
(внутренних и внешних) в целях определения состава (количества) и мест
размещения элементов информационной системы (аппаратных и программных), ее
физических и логических границ.
− Разработка (корректировка) политики информационной безопасности.
− Разработка технического задания на создание системы защиты.
− Выбор средств технической и криптографической защиты информации.
− Разработка (корректировка) общей схемы системы защиты информации.
4. Создание системы защиты информации:
− Внедрение средств технической и криптографической защиты информации,
проверка их работоспособности и совместимости с другими объектами
информационной системы.
− Разработка (корректировка) документации на систему защиты информации по
перечню, определенному в техническом задании.
− Реализация организационных мер по защите информации.
5. Обеспечение технической и криптографической защиты информации в
информационных системах:
− Защита информации от несанкционированного доступа.
− Мониторинг и управление событиями безопасности.
− Межсетевое экранирование.
− Обнаружение и предотвращение вторжений.
− Защита среды виртуализации.
− Антивирусная защита.
− Обнаружение уязвимостей и контроль соответствия.
− Контроль целостности.
− Защита от утечки конфиденциальной информации.
− Контроль доступа к периферийным устройствам.
− Криптографическая защита информации.
6. Аттестация системы защиты информации и ввод в действие информационной
системы:
− Анализ исходных данных.
− Разработка программы и методики аттестации.
− Установление соответствия реального состава и структуры объектов
информационной системы общей схеме системы защиты информации.
− Проверка правильности отнесения информационной системы к классу типовых
информационных систем, выбора и применения средств защиты информации.
− Анализ разработанной документации на систему защиты информации собственника
(владельца) информационной системы на предмет ее соответствия требованиям
законодательства об информации, информатизации и защите информации.
− Ознакомление с документацией о распределении функций персонала по
организации и обеспечению защиты информации.
− Проведение испытаний системы защиты информации на предмет выполнения
установленных законодательством требований по защите информации.

itsec.by 19
− Внешняя и внутренняя проверка отсутствия либо невозможности использования
уязвимостей, сведения о которых подтверждены изготовителями (разработчиками).
− Оформление технического отчета и протокола испытаний.
− Оформление аттестата соответствия.
− Ввод в действие информационной системы.
7. Эксплуатация (сопровождение) ИС
− Контроль за соблюдением требований, установленных в нормативных правовых
актах, документации на систему защиты информации собственника (владельца)
− Контроль за порядком использования объектов информационной системы.
− Мониторинг функционирования системы защиты информации
− Выявление угроз (анализ журналов аудита), которые могут привести к сбоям,
нарушению функционирования информационной системы.
− Резервное копирование информации, содержащейся в информационной системе.
− Обучение (повышение квалификации) пользователей информационной системы.
− Предоставление сведений о состоянии технической защиты информации в
информационной системе.
− Обеспечение защиты информации в случае прекращения эксплуатации

itsec.by 20
2.7 Формализация и внедрение процессов управления информационной
безопасностью.
Аннотация
Курс предназначен для менеджеров и аналитиков информационной безопасности,
специалистов, ответственных за разработку необходимых нормативно-методических и
организационно-распорядительных документов по вопросам информационной
безопасности, также курс может быть полезным для IT-аудиторов.
В рамках курса будут рассмотрены:
− основные структуры для формализации и внедрения систем менеджмента
информационной безопасности, такие как: ISO/IEC 27001, COBIT for Information
Security и ITIL.
− вопросы формализации и внедрения процесса управления информационной
безопасностью, от основ процессного подхода в управлении информационной
безопасностью до разработки и внедрения процессов с высокой степенью
детализации и документирования,
− теоретические вопросы и практические аспекты разработки и внедрения системы
менеджмента информационной безопасности (СМИБ) в соответствии со стандартом
ISO/IEC 27001.
В ходе практических занятий слушатели:
− пройдут все этапы проекта по внедрению системы менеджмента от инициации
проекта до внедрения конкретных технических и программных средств
(рассмотрение технических и программных средств выходит за рамки курса, но при
необходимости слушатели получат консультации по данному вопросу),
− рассмотрят практические примеры удовлетворения требований стандарта ISO/IEC
27001.
− на основании предложенных шаблонов, разберут вопросы разработки таких
обязательных документов СМИБ, политика менеджмента информационной
безопасности, процедуры управления документацией, записями, внутреннего
аудита и др.).
Слушатели пройдут практические шаги формализации и внедрения следующих процессов
(в плоть до разработки конкретных метрик):
− управление программой аудита информационной безопасности (в соответствии со
стандартами ISO/IEC 27001, ISO/IEC 27007)
− Управление техническим соответствием (в соответствии со стандартом ISO/IEC
27002)
− Управление уязвимостями (в соответствии с NIST. Special Publication 800-40. Creating
a Patch and Vulnerability Management Program)
ПРОГРАММА КУРСА:

itsec.by 21
основании процессного подхода.
− Основы процессного подхода в области информационной безопасности.
− Стандарты и структуры построения систем информационной безопасности:
• ISO/IEC 2700x.
• COBIT for Information Security.
• ITIL.
• CIS Critical Security Controls.
• NIST Special Publication 800-53.
• Нормативные правовые акты.
2. Техническое писательство в области информационной безопасности
− Терминология в области информационной безопасности.
− Документирование систем менеджмента информационной безопасности
(структура и меж-документные зависимости).
− Разработка документации системы менеджмента информационной
безопасности (ISO 27001): политики, процедуры, инструкции, руководства,
стандарты.
3. Формализация и внедрение процесса управления уязвимостями (практическое
занятие).
− Стандарты, руководства, и лучшие практики, связанные с управлением
уязвимостями.
− Описание процесса.
− Разработка политики управления уязвимостями.
− Разработка процедур процесса управления уязвимостями.
− Разработка инструкций процесса управления уязвимостями.
− Автоматизация процесса управления уязвимостями.
4. Формализация и внедрение процесса/функции аудита информационной
безопасности (практическое занятие).
− Стандарты, руководства, и лучшие практики, связанные с аудитом
информационной безопасности.
− Описание процесса.
− Разработка политики аудита.
− Разработка процедур программы аудита.
− Разработка шаблонов записей по программе аудита.
− Автоматизация процесса аудита.
5. Формализация и внедрение функции/процесса управления техническим
соответствием информационных систем (практическое занятие)
− Стандарты, руководства, и лучшие практики, связанные контролем технического
соответствия.
− Общая структура функции управления техническим соответствием
информационных систем.
− Разработка политики контроля технического соответствия информационных
систем.
− Разработка процедуры контроля технического соответствия.
− Разработка стандартов конфигурирования оборудования и систем.

itsec.by 22
− Автоматизация функции управления техническим соответствием
информационных систем.

itsec.by 23
2.8 Безопасность компьютерных сетей (создание, мониторинг, анализ защищенности
и расследование инцидентов).
Аннотация
обеспечение информационной безопасности в организации. В курсе рассматриваются
эталонная модель взаимодействия открытых систем (OSI), стек протоколов TCP/IP,
теоретические и правовые основы обеспечения безопасности корпоративной сети
организации. В рамках курса основное внимание уделяется практическим вопросам
мониторинга безопасности сети и расследования инцидентов.
В ходе практических занятий изучается работа со следующими инструментами: Wireshark,
Splunk, NetworkMiner, OSSIM, Snorby, Xplico, Sguil.
1. Эталонная модель взаимодействия открытых систем (OSI).
− Прикладной уровень.
− Представительский уровень.
− Сеансовый уровень.
− Транспортный уровень.
− Сетевой уровень.
− Канальный уровень.
− Физический уровень.
− Функции и протоколы модели OSI.
− Совместная работа уровней.
2. Стек протоколов TCP/IP.
− Архитектура TCP/IP. Документы RFC.
− Организация взаимодействия со средой передачи в стеке TCP/IP. Протокол ARP.
− Сетевой уровень. Протокол IP. Маршрутизация. Протокол ICMP.
− Транспортный уровень. Протоколы TCP и UDP.
− Службы прикладного уровня. Архитектура и принципы работы. Протоколы
TELNET, FTP, SMTP, POP3, HTTP.
3. Защита корпоративной сети организации.
− Угрозы безопасности сети.
− Реализации системы защиты корпоративной сети организации.
− Управление безопасностью сети.
− Межсетевые экраны.
− Виртуальные частные сети.
− Системы обнаружения и предотвращения вторжений.
− Анализ защищенности и контроль соответствия.
4. Анализ защищенности корпоративной сети организации.
− Инвентаризация хостов.
− Инвентаризация служб/приложений и их версий.
− Инвентаризация операционных систем.
− Сканирование и эксплуатация уязвимостей.

itsec.by 24
− Отчетность.
5. Захват и анализ сетевого трафика с использованием Wireshark.
− Установка, настройка и использование Wireshark.
− Использование фильтров захвата трафика.
− Использование фильтров отображения.
− Использование базовых статистических инструментов.
− Использование продвинутых статистических инструментов.
− Expert Infos.
− Мониторинг безопасности сети.
6. Мониторинг безопасности корпоративной сети с использованием Security Onion.
− Мониторинг сетевого трафика: сбор, хранение, управление.
− Планирование внедрения системы.
− Установка и настройка системы, мониторинг сетевого трафика.
− Использование инструментов, вхродящих в состав системы (CLI, GUI).
− Эксплуатация системы.
7. Расследование инцидентов безопасности сети.
− Подход к управлению инцидентами.
− Стандарты управления инцидентами.
− Предотвращение, реагирование, расследование.
− Network Forensics Investigative Methodology (OSCAR).
− Определение стратегии. Источники собираемых свидетельств.
− Анализ сетевого трафика.
− Анализ информации IDS/IPS.
− Анализ журналов регистрации событий.
− Корреляция и интерпретация информации.

itsec.by 25
2.9 Оценка защищенности информационных систем и ресурсов
Аннотация
Курс предназначен для специалистов подразделений ответственных за аудит и контроль
обеспечения информационной безопасности в организации, оценку защищенности
информационных систем. В курсе рассматриваются основные подходы к проведению
тестирования на проникновения и оценки защищенности информационных систем:
OSSTMM, ISSAF, OWASP, EC-Council. В рамках курса основное внимание уделяется
практическим занятиям по проведению последовательного теста на проникновение
начиная от сбора информации о целевой системе, и заканчивая эксплуатацией и
разработкой отчета по результатам теста. В рамках курса подробно изучается работа со
следующими бесплатными инструментами с открытым исходным кодом: Netcat, Nmap,
OpenVAS, Metasploit Framework, w3af.
1. Методики тестирования на проникновение и оценки защищенности.
− Open Source Security Testing Methodology Manual (OSSTMM).
− Information Systems Security Assessment Framework (ISSAF).
− Open Web Application Security Project (OWASP).
− Security Assessment–Penetration Testing and Vulnerability Analysis Procedure P8
(ISACA).
− EC-Council Penetration-Testing Methodologies.
− Offensive-Security Penetration-Testing Methodology.
2. Классификация, виды и сценарии атак целевой системы.
− Атаки на защитные механизмы операционных систем.
− Управление скомпрометированными системами.
− Вирусы и вредоносное программное обеспечение.
− Использование социальной инженерии.
− Атаки, направленные на отказ в обслуживании.
− Перехват сеанса.
− Атаки на web-сервер, web-приложение.
− Атаки в беспроводных сетях.
− Атаки связанные с переполнением буфера.
− Определение вектора атаки и разработка сценария.
3. Алгоритм проведения тестирования на проникновение и оценки защищенности.
− Эксплуатация цели.
− Эскалация привилегий.
− Поддержка доступа.

itsec.by 26
− Удаление следов.
− Отчетность и действия после тестирования на проникновение.
4. Установка, настройка дистрибутива Kali Linux, и работа с базовыми
инструментами.
− Установка Kali Linux
− Настройка Kali Linux
5. Сбор информации о целевой системе.
− Использование поисковых систем.
− Продвинутый поиск в Google (Google Hacking).
− Сбор данных из социальных сетей.
− Сбор информации с веб-сайта.
− Сбор информации из почтовых систем.
− Конкурентная разведка.
− Сбор данных используя данные регистраторов.
− Сбор данных DNS.
− Сбор сетевой информации.
− Инструменты сбора информации.
6. Обнаружение/исследование. Netcat (практикум).
− Опции Netcat.
− Передача данных.
− Сбор банеров.
− Сканирование портов с Netcat.
− Использование Netcat для получения удаленного интерфейса к командному
интерпретатору shell на целевой системе.
7. Обнаружение/исследование цели. Nmap (практикум).
− Опции Nmap.
− Определение цели сканирования.
− Обнаружение хостов.
− Сканирование портов.
− Обнаружение служб и их версий.
− Определение операционной системы.
− Nmap Scripting Engine.
− Опции управления временем и производительностью.
− Обход FW/IDS.
− Вывод результатов.
8. Анализ уязвимостей. Nmap (практикум).
− Анализ уязвимостей операционных систем и приложений.
− Анализ уязвимостей веб-приложений.
− Анализ уязвимостей баз данных.
− Анализ уязвимостей почтовых серверов.
9. Анализ уязвимостей. OpenVAS (практикум).
− Установка, настройка и использование OpenVAS.
− Инвентаризация сети.
− Сканирование уязвимостей из внешней сети.
− Сканирование уязвимостей из внутренней сети.
− Сканирование уязвимостей операционных систем и приложений.

itsec.by 27
− Сканирование уязвимостей веб-приложений.
10. Эксплуатация уязвимостей. Metasploit Framework (практикум).
− Архитектура и модули Metasploit.
− Сбор информации о целевой системе.
− Сканирование уязвимостей.
− Эксплуатация целевой системы.
− Взаимодействие с целевой системой после эксплуатации.
− Поддержка доступа в целевую систему.
− Работа с графическим интерфейсом Armitage.
11. Эксплуатация уязвимостей. Armitage (практикум).
− Настройка и использование Armitage.
− Инвентаризация сети.
− Сканирование уязвимостей.
− Эксплуатация уязвимостей.
− Взаимодействие с целевой системой после эксплуатации.
12. Оценка защищенности и тестирование на проникновение веб-приложений.
− Компоненты веб-приложений.
− Уязвимости веб-приложений.
− Атаки на веб-приложение.
− Меры противодействия атакам.
− Инструменты.
13. Проведение оценки защищенности и тестирования на проникновение учебной
целевой системы (итоговая лабораторная работа).
− Сбор исходных данных.
− Планирование проведения тестирования на проникновение.
− Проведение тестирования на проникновение по рассмотренной в рамках курса
методике.
− Анализ результатов.
− Оформление отчета.

itsec.by 28
2.10 Обеспечение информационной безопасности банков Республики Беларусь
Аннотация
Курс предназначен для руководителей и специалистов структурных подразделений:
− обеспечивающих информационную безопасность и/или кибербезопасность
безопасность; ответственных за управление рисками информационной
безопасности, киберрисками, ИТ-рисками;
− ответственных за проведение аудита информационной безопасности (ИТ-аудита).
В рамках курса подробно рассматриваются следующие вопросы:
− построение системы менеджмента / обеспечения информационной безопасности в
банках и небанковских кредитно-финансовых организациях Республики Беларусь с
учетом требований национального законодательства в и международных
стандартов в области защиты информации и обеспечения кибербезопасности;
− формализация (документирование) и внедрение процессов управления и
обеспечения информационной безопасностью;
− решение задач разработки и внедрения программ и методик анализа и управления
информационными рисками (киберрисками) и интеграция управления
киберриском в общую систему корпоративного управления и управления рисками
Банка;
− практические подходы к сбору и анализ информации о киберугрозах и уязвимостях
информационной инфраструктуры банка;
− управление программой аудита информационной безопасности;
− особенности обеспечения кибербезопасности на критически важных объектах
информационной инфраструктуры Банка.
основании процессного подхода
− Основы процессного подхода в области информационной безопасности
− Технические требования и правила информационной безопасности в банковской
деятельности
− PCI DSS
− ISO/IEC 2700x
− CIS Critical Security Controls
− NIST Special Publication
− COBIT
− ITIL
− Формализация и внедрение процессов управления и обеспечения
информационной безопасностью
2. Менеджмент риска информационной безопасности (киберриска)
− Международные стандарты менеджмента и оценки риска

itsec.by 29
− ТТП ИБ 4.1 – 2020. Менеджмент рисков информационной безопасности
− Постановление правления НБ РБ № 550
− Основные этапы менеджмента риска ИБ
− Процесс менеджмента риска ИБ
− Взаимодействие подразделений Банка и распределение обязанностей по
управлению киберриском
− Интеграция управления киберриском в общую систему риск-менеджмента
− Стресс-тестирование риска информационной безопасности (киберриска)
− Формат отчета об оценке рисков
− Инструментальные средства оценки и анализа риска
− Оценка риска нарушения информационной безопасности (практическое занятие)
3. Управления программой аудита информационной безопасности Банка
− Международные стандарты проведения аудита информационной безопасности
− Сбор и анализ информации о киберугрозах и уязвимостях информационной
инфраструктуры Банка
− Использование специальных инструментов для поиска информации об уязвимостях
− Разработка программы аудита
− Алгоритм проведения аудита информационной безопасности и отчетность
− Определение целей, области и критериев аудита
− Планирование аудита
− Подготовка рабочих документов
− Наблюдения и свидетельства аудита
− Проведение аудита информационной безопасности (практическое занятие)
4. Разработка (совершенствование) системы менеджмента информационной
безопасности в Банке (ТТП ИБ 2.1-2020)
− Организация функционирования службы информационной безопасности
− Определение области действия системы обеспечения информационной
безопасности
− Определение подхода к оценке рисков информационной безопасности и
проведение оценки и обработки рисков
− Разработка документации, регламентирующей вопросы обеспечения
информационной безопасности (ТТП ИБ 6.1-2020)
− Планирование внедрения системы обеспечения информационной безопасности
− Реализация программ по обучению и повышению осведомленности в области
информационной безопасности
− Организация обнаружения и реагирования на инциденты безопасности (ТТП ИБ 7.1-
2020)
− Организация обеспечения непрерывности бизнеса и его восстановления после
прерываний
− Мониторинг, анализ функционирования системы обеспечения информационной
безопасности и контроль защитных мер
− Оценка соответствия требованиям (ТТП ИБ 5.1-2020)
− Разработка и планирование внедрения процесса системы менеджмента
информационной безопасности (практическое занятие)

itsec.by 30
5. Защита информации в информационных системах Банка
− Требования законодательства Республики Беларусь в области защиты информации
распространение и (или) предоставление которой ограничено
− Проектирование системы защиты информации информационных систем и ресурсов
Банка
− Создание (внедрение) системы защиты информации информационных систем и
ресурсов Банка
− Аттестация системы защиты информации информационных систем и ресурсов Банка
− Эксплуатация и модернизация системы защиты информации информационных
систем и ресурсов Банка
− Проект разработки и внедрения системы защиты информации (разбор
практического кейса)
6. Обеспечения кибербезопасности на критически важных объектах информационной
инфраструктуры Банка
− Требования законодательства Республики Беларусь в области защиты информации
обрабатываемой на критически важных объектах информатизации
− Проектирование системы информационной безопасности критически важных
объектов информатизации
− Создание системы информационной безопасности критически важных объектов
− Аудит системы информационной безопасности критически важных объектов
− Функционирование системы информационной безопасности критически важных
объектов информатизации
− Проект разработки и внедрения системы информационной безопасности
критически важного объекта информатизации (разбор практического кейса)

itsec.by 31
2.11 Противодействие киберугрозам в Банке
Аннотация
Курс предназначен для руководителей и сотрудников, отвечающих за обеспечение
кибербезопасности, управление киберрисками в Банке. Курс также будет интересен IT-
аудиторам, аналитикам по вопросам кибербезопасности, администраторам средств
защиты, контроля и управления безопасностью, специалистам, ответственных за
разработку необходимых нормативно-методических и организационно-распорядительных
документов по вопросам кибербезопасности и защиты информации.
− Практические подходы к сбору и анализ информации о киберугрозах и уязвимостях
− Интеграция управления киберриском в общую систему корпоративного управления
и управления рисками Банка.
− Практические аспекты противодействия киберугрозам и мониторинга
кибербезопасности информационной инфраструктуры Банка.
− Особенности обеспечения кибербезопасности на критически важных объектах
1. Классификация, виды и сценарии атак информационной инфраструктуры Банка.
− Атаки на защитные механизмы операционных систем.
− Управление скомпрометированными системами.
− Вирусы и вредоносное программное обеспечение.
− Использование социальной инженерии.
− Атаки, направленные на отказ в обслуживании.
− Перехват сеанса.
− Атаки на web-сервер, web-приложение.
− Атаки в беспроводных сетях.
− Атаки связанные с переполнением буфера.
2. Сбор и анализ информации о киберугрозах и уязвимостях информационной
инфраструктуры Банка.
3. Использование специальных инструментов для поиска информации об
уязвимостях.
− Использование анализатора сетевого трафика Wireshark.
− Использование Netcat.
− Использование Nmap.

itsec.by 32
− Обнаружение уязвимостей с использованием OpenVAS.
− Проверка защиты против атаки с использованием социальной инженерии.
− Эксплуатация уязвимостей с использованием Metasploit и Armitage.
− Обнаружение и эксплуатация уязвимостей веб-приложений.
− Комплексная оценка защищенности информационной инфраструктуры Банка.
4. Интеграция управления киберриском в общую систему корпоративного
управления и управления рисками Банка.
− Взаимодействие подразделений Банка и распределение обязанностей по
управлению киберриском.
− Разработка процедур управления киберриском.
− Разработка локальных правовых актов по управлению киберриском.
− Интеграция управления киберриском в общую систему рискменеджмента.
− Оценка эффективности управления киберриском.
5. Противодействие киберугрозам.
− Уровни защиты: периметр, сеть, среда виртуализации, системы, приложения,
данные, персонал.
− Инвентаризация авторизованного и неавторизованного оборудования.
− Инвентаризация авторизованного и неавторизованного программного
обеспечения.
− Безопасная конфигурация программного и аппаратного обеспечения ноутбуков,
рабочих станций и серверов.
− Безопасная конфигурация сетевого оборудования.
− Ограничение и контроль сетевых протоколов, портов и служб.
− Контроль и защита беспроводных устройств.
− Непрерывный анализ и устранение уязвимостей.
− Защита от вредоносного кода.
− Безопасность прикладного ПО.
− Возможность восстановления данных.
− Ведение, мониторинг и анализ журналов регистрации событий безопасности.
− Оценка навыков по безопасности и проведение тренингов для подтверждения
эффективности.
− Возможность реагирования на инциденты информационной безопасности.
− Тестирование на проникновение, упражнения и учения.
− Контроль использования административных привилегий.
− Контроль доступа на основе минимально необходимых прав.
− Мониторинг и контроль учетных записей.
− Предотвращение утечки данных.
− Защита периметра.
− Архитектура безопасности сети.
6. Мониторинг кибербезопасности информационной инфраструктуры Банка.
− Сбор и фильтрация информации мониторинга.
− Определение стратегии. Источники собираемых свидетельств.
− Анализ сетевого трафика.
− Анализ информации средств и систем защиты информации.
− Анализ журналов регистрации событий.
− Корреляция и интерпретация информации.

itsec.by 33
− Проверка соблюдения процедур обеспечения кибербезопасности работниками
Банка.
− Контроль и пересмотр процедур мониторинга.
7. Обеспечение кибербезопасности на критически важных объектах
− Обзор отечественных и международных требований по обеспечению
кибербезопасности критически важной инфраструктуры Банка.
− Правовое регулирование отношений в области обеспечения кибербезопасности
критически важной инфраструктуры Банка.
− Разработка системы безопасности критически важной инфраструктуры Банка.

Aksionov_CyberSecurity Training Courses_2023.pdf

Aksionov_CyberSecurity Training Courses_2023.pdf

Recommandé

Recommandé

Contenu connexe

Similaire à Aksionov_CyberSecurity Training Courses_2023.pdf

Similaire à Aksionov_CyberSecurity Training Courses_2023.pdf (20)

Plus de Вячеслав Аксёнов

Plus de Вячеслав Аксёнов (20)

Aksionov_CyberSecurity Training Courses_2023.pdf