Курсы Информационная безопасность

Стандарты ИСО/ISO

УпрИБ-001 СУИБ+Риски ИБ. Система управления информационной безопасностью.Управление рисками информационной безопасности. ИСО 27005


Продолжительность: 24 ч    

Описание курса

Продолжительность обучения: 24 часа / 3 дня с 09:00 до 18:00, формат очно (в Алматы) или онлайн.
Система управления информационной безопасностью (СУИБ) имеет целью ознакомление слушателей с современным подходом к обеспечению информационной безопасности (ИБ), раскрытие значения ИБ для успешного осуществления деятельности предприятия, пояснение основных этапов разработки и внедрения системы управления ИБ, ознакомление с основными положениями ведущих мировых стандартов по ИБ.
Данный Семинар был разработан в 2008 году на основе принятого в Казахстане в том же году международного стандарта ИСО/МЭК 27001 "Системы управления информационной безопасностью. Требования".
В настоящее время данный семинар адаптирован к действующей международной версии стандарта: ИСО/МЭК 27001:2022.
Стандарт ИСО/МЭК 27001 является обобщением мирового опыта в организации управления информационной безопасностью и определяет общую организацию, направления планирования, использование оценки риска, оценки эффективности, контроля улучшений и т.д. в контексте информационной безопасности.
Настоящий семинар позволяет руководителям и специалистам, прошедшим обучение, качественно подготовить СУИБ к прохождению сертификации в соответствии с требованиями международного стандарта ИСО/МЭК 27001.
Аудитория
Семинар предназначен для руководителей проектов по внедрению СУИБ, руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, сотрудников подразделений информационной безопасности и служб охраны, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.
Предварительная подготовка
Начальный семинар "Управление информационной безопасностью. Организация, подходы, принципы".
Опыт работы в подразделениях информационных технологий или информационной безопасности.
Форма проведения
Занятия семинара проводятся в форме лекций-семинаров. При разборе практических примеров используются приемы тренинга. Для практических занятий отводится 80% учебного времени.
Контроль усвоения слушателями материала семинара проводится с помощью финального тестирования.
Результаты семинара
По окончании настоящего семинара слушатели смогут:
• Сформировать план разработки и внедрения СУИБ у себя на предприятии
• Определить механизмы и подходы к управлению актуальных рисков ИБ
• Обоснованно подходить к выбору механизмов контроля требуемого уровня безопасности
• Оценить качество выполнения работ внутренними и внешними аудиторами ИБ.
Дополнительно
Каждый слушатель получает на руки презентации всех семинара в печатном виде.
В случае успешного завершения обучения слушателям выдаются фирменные сертификаты.

Программа курса

Часть 1. ВВЕДЕНИЕ В УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
• информация, информационная безопасность и защита информации
Определение ИБ, виды информации, соотношение понятий ИБ и ЗИ
• объекты защиты и угрозы
Виды классификаций активов, угроз, уязвимостей
• основные термины и определения ИБ
• риски ИБ и стратегии их обработки
Понятие, подходы и стратегии управления рисками. Факторы, определяющие риск
• комплексность и системность при управлении ИБ
Применение принципов комплексности и системности на практике.
• процессный подход в управлении ИБ
"Семейство" стандартов ИСО по системам управления. Понятие процессного подхода. История его использования и тенденции.
• назначение стандартов ИСО 27001 и ИСО 27002
Механизм взаимодействия и применения стандартов. Их структура. Термины и определения.

Часть 2. Разработка и внедрение Системы Управления Информационной Безопасностью
• Поддержка со стороны высшего руководства
• Область действия СУИБ и Политика ИБ
Определение границ СУИБ. Концепция и политика ИБ, методы их формирования.
• Инвентаризация активов
Инвентаризация активов, их оценка и ранжирование. Факторы, влияющие на ценность активов
• Анализ и оценка рисков
Выявление и оценка угроз, уязвимостей, возможного ущерба. Критерии оценки.
• Выбор и обоснование средств обработки рисков
Выбор стратегий и средств управления рисками. Рекомендации Стандарта, документ "Положение о применимости". Остаточные риски.
• Обязательные процессы управления ИБ
Основы построения СУИБ. Требования Стандарта.
• Завершение внедрения СУИБ
Документация СУИБ. Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.

Часть 3. Сопровождение и улучшение СУИБ
• Документация СУИБ
Структура документации. Обязательные документы, их назначение.
• Жизненный цикл PDCA
Цикл Деминга-Шухарта в применении к СУИБ
• Сертификация СУИБ
Этапы сертификационного процесса, сроки и ориентировочный бюджет.
• Аудит информационной безопасности
Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита. Ведение записей. Формулирование несоответствий.
• ISO 27001:2013. Что нового?
Сравнительный анализ казахстанского стандарта СТ РК ИСО/МЭК 27001:2008 и международного ISO/IEC 27001:2022

ЧАСТЬ 4. Введение в предмет "Управление рисками. ИСО 27005"
Понятия угрозы, уязвимости, объекта защиты и воздействия на бизнес, средств нейтрализации рисков, вероятности риска и сценария инцидента. Термины и определения.
• Значение рисков в современных комплексных системах корпоративного управления
Принцип комплексности и системности управления рисками в контексте корпоративного управления, его обоснование и отражение в ведущих международных стандартах ИСО семейства систем управления. Организационные, правовые и программно-технические механизмы нейтрализации рисков, их согласованное применение и критерии выбора.
• 1Введение в предмет "Управление рисками информационной безопасности"
Основные информационные угрозы и атаки, уязвимости систем безопасности и условия для их возникновения. Термины и определения.
• 2Основные механизмы и средства защиты ресурсов информационных систем
Идентификация и аутентификация, разграничение доступа, регистрация и аудит, контроль целостности, криптографические механизмы обеспечения конфиденциальности, целостности и аутентичности информации, контроль содержимого, обнаружение и противодействие атакам, анализ защищенности и др.
• 3 Значение рисков в современных системах информационной безопасности
Принцип комплексности и системности в контексте обеспечения ИБ, его обоснование и отражение в ведущих международных стандартах по информационной безопасности. Организационные, правовые и программно-технические механизмы безопасности, их согласованное применение и критерии выбора.
• Введение в процесс управления рисками ИБ
Понятие информационных рисков, остаточного и приемлемого рисков. Факторы, влияющие на изменение рисков. Основы управления информационными рисками. Понятие количественной и качественной оценки рисков, существующие программные реализации различных методов оценки рисков.
Понятие процесса управления рисками управления ИБ. Основные его стадии.
• Определение уровня рисков ИБ
Анализ и оценка рисков. Идентификация и ранжирование активов, угроз, уязвимостей, возможного ущерба. Практическое вычисление уровня рисков.
• Обработка рисков ИБ
Выбор стратегии управления рисками ИБ. Обоснование необходимых мер безопасности.
• Обмен информацией о рисках информационной безопасности
Процедуры по обмену информацией о рисках между должностными лицами и заинтересованными сторонами.
• Мониторинг и переоценка рисков ИБ
Построение системы контроля рисков, влияющих на них факторов и критериев их оценки.
• Экзамен
Оценка уровня усвоения слушателями материалов семинара.