Курсы Информационная безопасность

Процессы управления информационной безопасностью и БКС

УпрИБ-003 Система управления информационной безопасностью. СТ РК ISO/IEC 27001-2015. Подготовка к аттестации ИС


Продолжительность: 40 ч    Дата проведения: 27.05.2019 - 31.05.2019    

Описание курса

Задачи курса:
* ознакомление слушателей с современным подходом к обеспечению информационной безопасности (ИБ) в Республике Казахстан, с положениями ведущих мировых стандартов по ИБ,
* разъяснение значения ИБ для успешного осуществления деятельности предприятия,
* пояснение основных этапов разработки и внедрения системы управления ИБ с целью аттестации имеющихся Информационных систем на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам, согласно Постановлению Правительства Республики Казахстан от 23 мая 2016 года № 298, с учетом Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных Постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832.

Аудитория:
• Специалисты и руководители подразделений IT, принимающие участие в процессе предоставления IT-сервисов, требуемых для их компаний.
• Администраторы систем и сетей, системные аналитики и проектировщики.
• Руководители любого уровня, взаимодействующие с руководителями IT, ИБ или планирующие такое взаимодействие.
• Руководители проекта по внедрению Системы управления информационной безопасностью (СУИБ), руководители структурных подразделений организации, специалисты подразделений, отвечающие за обеспечение информационной безопасности, сотрудники подразделений информационной безопасности и служб охраны, представители аналитических служб, риск-менеджеры.

Предварительная подготовка
* Общие сведения о технических, программных средствах и сетевой инфраструктуре. Знакомство со стандартом ИСО/МЭК 27000 «Системы менеджмента информационной безопасности. Общий обзор и терминология».

По окончании курса слушатели смогут:
• Определить область действия СУИБ, политику ИБ, План работ создания и внедрения СУИБ в своей Организации, с учетом аттестации имеющихся ИС на соответствие их требованиям информационной безопасности.
• Определить механизмы и подходы по работе с актуальными рисками ИБ. Обосновывать выбор практических решений для требуемого уровня безопасности.
• Оценивать качество внешних аудитов по ИБ и обеспечить организацию внутренних аудитов.
• Разработать и совершенствовать планы непрерывности бизнеса.

Программа курса

Основные понятия СУИБ
• Информация, виды информации, информационная безопасность, способы защиты информации.
• Объекты защиты (активы) и угрозы. Понятия активов, угроз, уязвимостей. Другие основные термины и определения ИБ
• Риски ИБ понятия, подходы, стратегии управления рисками и их обработки.
• Типовые риски при обеспечении бесперебойной работы Информационных систем Подходы к Управлению ИБ Стандарты ИСО. Назначение стандартов ИСО 27000, 27001, ИСО 27002, 27005 и другие.
• Механизм взаимодействия и применения стандартов. Структура. Термины. Определения.

Построение и внедрение СУИБ
• Поддержка при построении СУИБ со стороны руководства. Область действия СУИБ и Политика ИБ.
• Определение Области действия СУИБ (границ СУИБ), на примерах обеспечения бесперебойной работы Информационных систем, Концепция и политика ИБ, методы и примеры их формирования.
• Инвентаризация активов. Создание Реестра активов Организации, их оценка и ранжирование (На примерах обеспечения бесперебойной работы Информационных систем). Определение ценности активов.
• Типовые уязвимости защиты активов в организациях, аттестующих на ИБ ИС. Оценка угроз, возможного ущерба. Критерии оценки.
• Анализ и оценка рисков.
• Способы борьбы с рисками, снижение вероятностей из реализации, способы снижения ущерба при реализации рисков. Выбор стратегий и рекомендации Стандартов. Обоснование необходимости принятия документов:
• Положение о работе с активами Инструкция по обеспечению сохранности коммерческой и служебной тайны Правила работы в местах общего доступа
• Правила приема, внутреннего распорядка и увольнения работников Порядок доступа в офис План непрерывности бизнеса
• Правила проведения внутреннего аудита Политика защиты прав интеллектуальной собственности Правила управления несоответствиями Правила анализа СУИБ со стороны руководства
• Положение по модификации ИС и другие, их роль в построении СУИБ. Остаточные риски.
• Завершение внедрения СУИБ.
• Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.

Функционирование СУИБ и улучшение защиты активов
• Рабочая документация СУИБ, исполнение созданных процедур. Структура документации. Проверка исполнения документации СУИБ аудиторами уполномоченной организации. Проверка на уязвимость программно-аппаратных средств защиты информации сканерами безопасности. Подготовка к аттестации ИС.
• Сертификация СУИБ. Этапы сертификационного процесса, сроки и ориентировочный бюджет.
• Аудит информационной безопасности, обработка инцидентов ИБ, Планы непрерывности бизнеса.
• Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита. Ведение записей. Формулирование несоответствий.
• Отличия СТ РК ISO/IEC 27001-2015 от СТ РК ИСО/МЭК 27001-2008. Сравнительный анализ.

Экзамен. Оценка уровня усвоения слушателями материалов курса.