УпрИБ-002 СУИБ+Аудит. Система управления информационной безопасностью. Аудит информационной безопасности. ИСО/МЭК 27001

Этот комбинированный курс имеет целью ознакомление слушателей с современным подходом к обеспечению информационной безопасности (ИБ), раскрытие значения ИБ для успешного осуществления деятельности предприятия, пояснение основных этапов разработки и внедрения системы управления ИБ, ознакомление с основными положениями ведущего международного стандарта в области информационной безопасности ИСО/МЭК 27001.

В настоящее время данный курс адаптирован к действующей международной версии стандарта: ИСО/МЭК 27001:2022.

Стандарт ИСО/МЭК 27001 является обобщением мирового опыта в организации управления информационной безопасностью и определяет общую организацию, направления планирования, использование оценки риска, оценки эффективности, контроля улучшений и т.д. в контексте информационной безопасности.

Аудит – это ключевой момент любой Системы Менеджмента, на котором лежит ответственность за преодоление любых препятствий на всех этапах жизненного цикла Системы Менеджмента.

Настоящий курс является первым шагом на пути практического изучения деятельности аудитора информационной безопасности по стандарту ИСО/МЭК 27001

Аудитория
------------
* руководители проектов по внедрению СУИБ,
* руководители структурных подразделений организаций
* руководители и специалисты ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ,
* сотрудники подразделений информационной безопасности и служб охраны,
* представители аналитических служб, риск-менеджеры и сотрудники служб внутреннего аудита.

Предварительная подготовка
-----------------------------
** Знания в объеме курса "Управление информационной безопасностью. Организация, подходы, принципы".
** Опыт работы в подразделениях информационных технологий или информационной безопасности.

Форма проведения
--------------------
Занятия курса проводятся в форме лекций-семинаров. При разборе практических примеров используются приемы тренинга. Для практических занятий отводится 80% учебного времени.

Контроль усвоения слушателями материала курса проводится с помощью финального тестирования.

По окончании настоящего курса слушатели смогут:
---------------------------------------------------------
* Сформировать план разработки и внедрения СУИБ у себя на предприятии
* Определить механизмы и подходы к управлению актуальных рисков ИБ
* Сформировать план разработки и внедрения у себя на предприятии системы контроля эффективности информационной безопасности
* Определить механизмы и подходы к проведению оценки соответствия применимым требованиям ИБ
* Обоснованно подходить к выбору механизмов контроля требуемого уровня безопасности
* Оценить качество выполнения работ внутренними и внешними аудиторами ИБ

Часть 1. ВВЕДЕНИЕ В УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
-------------------------------------------------------------------
* информация, информационная безопасность и защита информации
Определение ИБ, виды информации, соотношение понятий ИБ и ЗИ

* объекты защиты и угрозы
Виды классификаций активов, угроз, уязвимостей

* основные термины и определения ИБ
* риски ИБ и стратегии их обработки
Понятие, подходы и стратегии управления рисками. Факторы, определяющие риск

* комплексность и системность при управлении ИБ
Применение принципов комплексности и системности на практике.

* процессный подход в управлении ИБ
Семейство стандартов ИСО по системам управления. Понятие процессного подхода. История его использования и тенденции.

* назначение стандартов ИСО 27001 и ИСО 27002
Механизм взаимодействия и применения стандартов. Их структура. Термины и определения.

Часть 2. Разработка и внедрение Системы Управления Информационной Безопасностью
-----------------------------------------------------------------------------------------------
* Поддержка со стороны высшего руководства
* Область действия СУИБ и Политика ИБ
* Определение границ СУИБ. Концепция и политика ИБ, методы их формирования.

* Инвентаризация активов
Инвентаризация активов, их оценка и ранжирование. Факторы, влияющие на ценность активов

* Анализ и оценка рисков
Выявление и оценка угроз, уязвимостей, возможного ущерба. Критерии оценки.

* Выбор и обоснование средств обработки рисков
Выбор стратегий и средств управления рисками. Рекомендации Стандарта, документ ПОЛОЖЕНИЕ О ПРИМЕНИМОСТИ. Остаточные риски.

* Обязательные процессы управления ИБ
Основы построения СУИБ. Требования Стандарта.

* Завершение внедрения СУИБ
Документация СУИБ. Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.

Часть 3. Сопровождение и улучшение СУИБ
-----------------------------------------------
Документация СУИБ
Структура документации. Обязательные документы, их назначение.

Жизненный цикл PDCA
Цикл Деминга-Шухарта в применении к СУИБ

Сертификация СУИБ
Этапы сертификационного процесса, сроки и ориентировочный бюджет.

Аудит информационной безопасности
----------------------------------
* Планирование аудита.
**** Международный стандарт по проведению аудита систем управления ИСО 19011.
* Подготовка аудитора.
* Документы. Сбор свидетельств.
* Техника аудита. Источники получения информации. Техники проведения интервью.
* Требования к оформлению записей.
* Формулирование несоответствий.
* Отчетность аудитора, структура, формирование.

ЭКЗАМЕН: Оценка уровня усвоения слушателями материалов курса.