Audit IT – třídenní seminář pro interní auditory, kteří nejsou specialisty IT
9.10.2024 - 11.10.2024
variabilní symbol: 24235
ÚROVEŇ
Pro středně pokročilé, bude využívána technická terminologie.
URČENO PRO
Interní auditory.
CÍL SEMINÁŘE
Objasnit, jakými základními postupy lze auditovat útvar IS/IT.
OBSAH SEMINÁŘE
Úvodní otázky:
- Proč auditovat útvar IT?
- Outsourcing auditu, penetrační test, bezpečnostní management, nebo interní audit?
Legislativní základna auditu IT:
- Doporučení dle ISO 27001 / 27002.
- ISVS.
- Zákon o kybernetické bezpečnosti a vyhláška 316/2014 Sb. (stručný úvod).
- Nařízení GDPR a ochrana osobních údajů.
- Cíle a postupy pro tvorbu bezpečnostních politik v organizaci.
- Plán kontinuity a havarijní plán.
Fyzická bezpečnost:
- Zabezpečení výpočetních sálů a routerů.
- Zabezpečení proti připojení cizích síťových karet.
- Personální bezpečnost a sociální hacking.
- Sociální sítě (Facebook atd.).
Prověrka zabezpečení počítače:
- Zabezpečení počítače na fyzické úrovni – BIOS, bootování, šifrování.
- Viry, spyware a další havěť.
- Politiky (GROUP POLICY) a co zejména by neměly povolit.
Prověrka přístupových oprávnění:
- Potřebné úvodní informace (domény, servery, seznam zaměstnanců, používané aplikace).
- Lokální a globální uživatelé a skupiny.
- Jak získat seznam přístupů a skupin.
- Použití příkazů z příkazové řádky.
- Vyhodnocení práv pomocí MS Excel.
- Výběr uživatelů / skupin z MS WINDOWS.
- Přístupová oprávnění k aplikacím.
- Kdo práva povoluje a proč.
- Politika přístupových oprávnění v organizaci (omezení časů, komplexita apod.).
- Audit rolí na databázovém serveru.
- Přístupová práva v MS Share Point.
- Ochrana šifrováním.
Jednoduchá prověrka zabezpečení sítě:
- Pasivní a aktivní prvky sítí.
- Protokoly.
- MAC adresa a IP adresa.
- Topologie sítě.
- Použití základních příkazů z příkazové řádky (PING, IPCONFIG, TRACERT, NSLOOKUP, NET...).
- K čemu slouží demilitarizovaná zóna.
- Co jsou to otevřené porty a jak je nalézt.
- Údaje o Vaší síti ve veřejně dostupných zdrojích.
- K čemu slouží service packy a patche.
- Možnost nasazení security scanneru při auditu.
- Některé techniky často zneužívané hackery a obrana proti nim.
Prověrka řízení a organizace útvaru IT:
- Zálohování a zálohovací plány a jejich audit.
- Antiviry a jejich aktualizace.
- Helpdesk a vyřizování požadavků uživatelů.
- Projekty v IT.
- Fáze projektu, postup projektu, Ganttův diagram.
- Změnová řízení.
- Skladové hospodářství v IT.
- Veřejná výběrová řízení v IT.
- Práce bezpečnostních specialistů a nástroje a postupy, které mají k dispozici.
- Logování, jeho význam a jeho audit.
- Vzdálený přístup do organizace a jeho audit.
- Použití a zabezpečení elektronických podpisů a časových razítek.
Prověrka správy licencí:
- Druhy dokladů týkajících se počtu licencí.
- Softwarový audit pro ověření licenční politiky v organizaci.
- Jak zjistit počet skutečně nainstalovaných licencí.
Ochrana osobních údajů a utajovaných skutečností v IT:
- Legislativní požadavky – GDPR, zákon o ochraně utajovaných skutečností atd.
- Prověrka přístupů nového uživatele.
- Prověrka přístupů k jednotlivým nebezpečným kategoriím webových stránek.
- Opatření proti úniku utajovaných skutečností.
Součástí semináře jsou:
- Případové studie: plán prověrky, typická zjištění, formulace závěrů a možnosti jejich odstranění.
- Pravděpodobné chyby, které budeme zejména nacházet a vyhledávat.
- Procvičení na příkladech.
- Možnost procvičení příkladů na PC lektora nebo na doneseném notebooku.
ROZVRH SEMINÁŘE
09:00 - 16:00
Ing. Jan Bukovský
Ing. Jan Bukovský
Česká exportní banka, a.s.
![115-bukovsky-jan-foto.jpg](https://www.interniaudit.cz/file/8l/115-bukovsky-jan-foto.jpg?path=1%2F311.jpg&_af=resize-80x80-cover)
Po absolvování Fakulty elektrotechnické ČVUT spolupracoval při zavádění automatizovaných technologií v elektrotechnickém průmyslu. Od roku 1992 do roku 2001 působil v Komerční bance jako informatik i v různých funkcích v ekonomické oblasti. Od roku 2001 do roku 2007 pracoval jako interní auditor a vedoucí oddělení v odboru interního auditu České konsolidační agentury. V současné době působí v kumulované funkci jako inspektor IT bezpečnosti a manažer operačních rizik v České exportní bance. V ČIIA přednáší od počátku roku 2007 (audity IT, audit pohledávek, auditní postupy, operační rizika).
Cena semináře
Cena člen (prezenčně): 7 600,- Kč bez DPH (9 196,- Kč s DPH)
Cena nečlen (prezenčně): 9 500,- Kč bez DPH (11 495,- Kč s DPH)