Курсы Информационная безопасность

Процессы управления информационной безопасностью и БКС

УпрИБ-004 Управление рисками информационной безопасности. ИСО 27005


Продолжительность: 40 ч    

Описание курса

Задачи курса:
* ознакомление слушателей с современными взглядами и подходами к управлению рисками информационной безопасности (ИБ),
* раскрытие значения рисков для успешного обеспечения информационной безопасности предприятия,
* пояснение основных этапов разработки и внедрения системы управления рисками ИБ,
* ознакомление с основными положениями ведущих мировых стандартов по ИБ.

Данный Курс был разработан в 2008 году на основе международного стандарта ИСО/МЭК 27005 "Управление рисками информационной безопасностью" по заказу АО ДБ "Сбербанк России" и предназначен для продолжения обучения после курсов "Управление информационной безопасностью. Организация, подходы, принципы" и "Система управления информационной безопасностью. ИСО/МЭК 27001»"

Аудитория
* руководители структурных подразделений организаций,
* руководители и специалисты ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ,
* сотрудники подразделений информационной безопасности и служб охраны,
* представители аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.

Предварительная подготовка
* практический опыт, как в вопросах комплексных систем ИБ, так и специализирующихся в какой-либо отдельной области обеспечения ИБ.
* Знание слушателями основ современных информационных технологий желательно, но не обязательно.

Обучение по настоящему курсу рекомендуется проходить после курсов "Управление информационной безопасностью. Организация, подходы, принципы" или "Система Управления Информационной безопасностью. ИСО/МЭК 27001".

Форма проведения: занятия курса проводятся в форме лекций-семинаров. При разборе практических примеров используются приемы тренинга. Для практических занятий отводится 50% учебного времени.

По окончании настоящего курса слушатели смогут:
• Ориентироваться в проблемах информационных рисков и в современных технологиях управления рисками
• Выявлять актуальные угрозы, имеющиеся уязвимости и определять приоритетные направления деятельности по нейтрализации рисков у себя в компании
• Обоснованно подходить к выбору необходимых средств защиты информации

Программа курса

• Введение в предмет "Управление рисками информационной безопасности"
Основные информационные угрозы и атаки, уязвимости систем безопасности и условия для их возникновения. Термины и определения.

• Основные механизмы и средства защиты ресурсов информационных систем
Идентификация и аутентификация, разграничение доступа, регистрация и аудит, контроль целостности, криптографические механизмы обеспечения конфиденциальности, целостности и аутентичности информации, контроль содержимого, обнаружение и противодействие атакам, анализ защищенности и др.

• Значение рисков в современных системах информационной безопасности
Принцип комплексности и системности в контексте обеспечения ИБ, его обоснование и отражение в ведущих международных стандартах по информационной безопасности. Организационные, правовые и программно-технические механизмы безопасности, их согласованное применение и критерии выбора.

• Введение в процесс управления рисками ИБ
Понятие информационных рисков, остаточного и приемлемого рисков. Факторы, влияющие на изменение рисков. Основы управления информационными рисками. Понятие количественной и качественной оценки рисков, существующие программные реализации различных методов оценки рисков.
Понятие процесса управления рисками управления ИБ. Основные его стадии.

• Определение уровня рисков ИБ
Анализ и оценка рисков. Идентификация и ранжирование активов, угроз, уязвимостей, возможного ущерба. Практическое вычисление уровня рисков.

• Обработка рисков ИБ
Выбор стратегии управления рисками ИБ. Обоснование необходимых мер безопасности.

• Обмен информацией о рисках информационной безопасности
Процедуры по обмену информацией о рисках между должностными лицами и заинтересованными сторонами.

• Мониторинг и переоценка рисков ИБ
Построение системы контроля рисков, влияющих на них факторов и критериев их оценки.