Программа курса:

1. Введение в ИТ аудит

- аспекты ИТ

- цели ИТ аудита

- задачи ИТ аудита

- результаты ИТ аудита

- факторы, важные для развития ИТ и функции ИТ-аудита

- анализ и оценка текущего состояния ИТ

2. Организация и стандарты

- стандарты в области ИТ

- обзор международных стандартов, подходов и лучших практик

- стандарт CobiT

- взаимосвязи компонентов CobiT

- COSO Integrated Framework

- ITIL

- семейство ISO 27000 –COSO

- методика аудита Самрук-Казына

- сертификации

3. Основы информационных технологий

- роль ИТ в Компании

- связь между бизнес целями, ИТ целями и ИТ процессами

- подход к ИТ аудиту

- подготовка к ИТ аудиту

- сбор доказательств

- интервью/анкетирование

- блок-схемы

- уровни контроля ИТ(Приложение, СУБД, ОС)

- что такое ИТ контроли?

- идентификация ИТ контроля

- категории контролей

- первичный обзор контроля

- методы тестирования контрольных процедур

- недостатки контролей

- компенсирующие мероприятия

4. Инфраструктурные контроли

- физический периметр безопасности

- средства управления физическим доступом

- защита от внешних и экологических угроз

- расположение и защита оборудования

- обслуживание оборудования

- защита оборудования, находящегося за пределами рабочего места

- безопасная ликвидация и вынос имущества

5.Сетевые технологии и контроли

- управления доступом в сеть

- средства управления сетью

- защита сетевых услуг

- политика в отношении использования сетевых услуг

- аутентификация пользователя для внешних соединений

- идентификация оборудования в сетях

- защита портов

- разделение в сетях

6. Общие ИТ контроли

- разработка программного обеспечения

- что есть «изменение»?

- формирование и согласование требований

- разработка и тестирование в тестовой среде

- перенос изменений и мониторинг

- разделение полномочий

- логический доступ

- управление доступом пользователей

- управление паролями

- ограничение доступа к привилегированным ИТ функциям

- разграничения обязанностей

- доступ сотрудников сторонних организаций и удаленный доступ

- обеспечение физической безопасности ресурсов

- общие настройки безопасности

- BCP, DRP, резервирование

- управление резервным копированием и восстановлением данных

- управление ресурсами и мощностями

- управление проблемами и инцидентами

7. Транзакционные контроли

- программа аудита базы данных Oracle

- программа аудита SAP

8. Риск ориентированный подход

- основные категории ИТ-рисков

- управление рисками

- процесс управления ИТ-рисками

- количественная и качественная оценка рисков

- меры реагирования на риски

- примеры стратегии реагирования на риск

- как идентифицировать риск?

- описание риска

- примеры

9. Введение в программные контроли

- автоматические контроли в бизнес-процессах

- типы автоматических контролей

- примеры автоматических контролей в бизнес-процессах

10. Тестирование программных контролей

- контроли доступа и ввода данных

- контроли передачи данных и файлов

- контроли обработки данных

- контроль выходных данных

11. Документирование тестов

- документирование: управление изменениями

- документирование: управление доступом

- результаты аудита

- примерная структура отчета по ИТ Аудиту

- допустимый стиль при документации результатов аудита