Система управления информационной безопасностью. Риски информационной безопасности ИСО/МЭК 27001, 27005 — SynergyCom

Система управления информационной безопасностью. Риски информационной безопасности ИСО/МЭК 27001, 27005

Код курса: СУИБ+Риски Продолжительность: 5 дней (40 часов)

Аннотация
Настоящий курс имеет целью ознакомление слушателей с современным подходом к обеспечению информационной безопасности (ИБ), понятию и управлению рисками ИБ, раскрытие значения ИБ для успешного осуществления деятельности предприятия, пояснение основных этапов разработки и внедрения системы управления ИБ и рисками ИБ.
Данный курс адаптирован к действующим международным версиям стандартов ИСО/МЭК 27001:2013 и ИСО/МЭК 27005:2011.
Эти стандарты является обобщением мирового опыта в организации управления информационной безопасностью и определяет общую организацию, направления планирования, использование оценки риска, оценки эффективности, контроля улучшений и т.д. в контексте информационной безопасности.

Аудитория
Курс предназначен для руководителей проектов по внедрению СУИБ, руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, сотрудников подразделений информационной безопасности и служб охраны, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.

Предварительная подготовка
Начальный курс «Управление информационной безопасностью. Организация, подходы, принципы».
Опыт работы в подразделениях информационных технологий или информационной безопасности.

Форма проведения
Занятия курса проводятся в форме лекций-семинаров. При разборе практических примеров используются приемы тренинга. Для практических занятий отводится 80% учебного времени.
Контроль усвоения слушателями материала курса проводится с помощью финального тестирования.

Результаты курса
По окончании настоящего курса слушатели смогут:
• Сформировать план разработки и внедрения СУИБ у себя на предприятии
• Определить механизмы и подходы к управлению актуальных рисков ИБ
• Обоснованно подходить к выбору механизмов контроля требуемого уровня безопасности
• Оценить качество выполнения работ внутренними и внешними аудиторами ИБ.
• Ориентироваться
• в проблемах информационных рисков
• в современных технологиях управления рисками
• Выявлять актуальные угрозы, имеющиеся уязвимости и определять приоритетные направления деятельности по нейтрализации рисков у себя в компании.

  • информация, информационная безопасность и защита информации

Определение ИБ, виды информации, соотношение понятий ИБ и ЗИ

  • объекты защиты и угрозы

Виды классификаций активов, угроз, уязвимостей

  • основные термины и определения ИБ
  • риски ИБ и стратегии их обработки

Понятие, подходы и стратегии управления рисками. Факторы, определяющие риск

  • комплексность и системность при управлении ИБ

Применение принципов комплексности и системности на практике.

  • процессный подход в управлении ИБ

«Семейство» стандартов ИСО по системам управления. Понятие процессного подхода. История его использования и тенденции.

  • назначение стандартов ИСО 27001 и ИСО 27002

Механизм взаимодействия и применения стандартов. Их структура. Термины и определения.

  • Поддержка со стороны высшего руководства
  • Область действия СУИБ и Политика ИБ

Определение границ СУИБ. Концепция и политика ИБ, методы их формирования.

  • Инвентаризация активов

Инвентаризация активов, их оценка и ранжирование. Факторы, влияющие на ценность активов

  • Понятие процесса управления рисками управления ИБ. Основные его стадии.

Понятие информационных рисков, остаточного и  приемлемого рисков. Факторы, влияющие на изменение рисков. Основы управления информационными рисками. Понятие количественной и качественной оценки рисков, существующие программные реализации различных методов оценки рисков.

  • Выбор и обоснование средств обработки рисков

Выбор стратегий и средств управления рисками. Рекомендации Стандарта, документ «Положение о применимости». Остаточные риски.

  • Значение рисков в современных системах информационной безопасности

Принцип комплексности и системности в контексте обеспечения ИБ, его обоснование и отражение в ведущих международных стандартах по информационной безопасности. Организационные, правовые и программно-технические механизмы безопасности, их согласованное применение и критерии выбора.

  • Обязательные процессы управления ИБ

Основы построения СУИБ. Требования Стандарта.

  • Завершение внедрения СУИБ

Документация СУИБ. Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.

  • Документация СУИБ

Структура документации. Обязательные документы, их назначение.

  • Жизненный цикл PDCA

Цикл Деминга-Шухарта в применении к СУИБ

  • Сертификация СУИБ

Этапы сертификационного процесса, сроки и ориентировочный бюджет.

  • Аудит информационной безопасности

Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита. Ведение записей. Формулирование несоответствий.

  • «Экзамен»

Оценка уровня усвоения слушателями материалов курса.

Обучение
25 ноября 2024 Алматы

Направления обучения

Поиск по сайту