ИБ01 – Система управления информационной безопасностью и риски (ISO 27001, 27005)
ИБ01 - Система управления информационной безопасностью и риски (ISO 27001, 27005)
Аннотация
Основными задачами курса являются: ознакомление слушателей с современными взглядами и подходами к обеспечению информационной безопасности (ИБ), понятию и управлению рисками ИБ, раскрытие значения ИБ для успешного осуществления деятельности предприятия, пояснение основных этапов разработки и внедрения системы управления ИБ и рисками ИБ.
Данный курс адаптирован к действующим международным версиям стандартов ИСО/МЭК 27001:2022 и ИСО/МЭК 27005:2018.
Эти стандарты являются обобщением мирового опыта в организации управления информационной безопасностью и определяет общую организацию, направления планирования, использование оценки риска, оценки эффективности, контроля улучшений и т.д. в контексте информационной безопасности.
Аудитория
Курс предназначен для руководителей проектов по внедрению СУИБ, руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, сотрудников подразделений информационной безопасности и служб охраны, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.
Предварительная подготовка
Начальный курс «Управление информационной безопасностью. Организация, подходы, принципы».
Опыт работы в подразделениях информационных технологий или информационной безопасности.
Форма проведения
Занятия курса проводятся в форме лекций-семинаров. При разборе практических примеров используются приемы тренинга. Для практических занятий отводится 80% учебного времени.
Контроль усвоения слушателями материала курса проводится с помощью финального тестирования.
Результаты курса
По окончании курса слушатели смогут:
Сформировать план разработки и внедрения СУИБ у себя на предприятии
Определить механизмы и подходы к управлению актуальных рисков ИБ
Внедрить у себя в организации (при необходимости скорректировать имеющийся) процесс управления рисками ИБ
Обоснованно подходить к выбору механизмов контроля требуемого уровня безопасности
Оценить качество выполнения работ внутренними и внешними аудиторами ИБ.
Ориентироваться в проблемах информационных рисков, в современных технологиях управления рисками
Выявлять актуальные угрозы, имеющиеся уязвимости и определять приоритетные направления деятельности по нейтрализации рисков у себя в компании
Программа курса
1. Информация, информационная безопасность и защита информации
Определение ИБ, виды информации, соотношение понятий ИБ и ЗИ
2. Объекты защиты и угрозы
Виды классификаций активов, угроз, уязвимостей
3. Основные термины и определения ИБ
Риски ИБ и стратегии их обработки
Понятие, подходы и стратегии управления рисками. Факторы, определяющие риск
4. Комплексность и системность при управлении ИБ
Применение принципов комплексности и системности на практике.
5. Процессный подход в управлении ИБ
«Семейство» стандартов ИСО по системам управления. Понятие процессного подхода. История его использования и тенденции.
6. Назначение стандартов ИСО 27001 и ИСО 27002
Механизм взаимодействия и применения стандартов. Их структура. Термины и определения.
7. Область действия СУИБ и Политика ИБ
Определение границ СУИБ. Концепция и политика ИБ, методы их формирования.
8. Процесс управления рисками ИБ. Основные этапы, их разработка и реализация.
Идентификация рисков ИБ, их оценка, анализ, оценивание и обработка.
9. Инвентаризация активов
Инвентаризация активов, их оценка и ранжирование. Факторы, влияющие на ценность активов
10. Понятие процесса управления рисками управления ИБ. Основные его стадии.
Понятие информационных рисков, остаточного и приемлемого рисков. Факторы, влияющие на изменение рисков. Основы управления информационными рисками. Понятие количественной и качественной оценки рисков, существующие программные реализации различных методов оценки рисков.
11. Процесс управления рисками ИБ. Основные этапы, их разработка и реализация.
Идентификация рисков ИБ, их оценка, анализ, оценивание и обработка.
12. Инвентаризация активов
Инвентаризация активов, их оценка и ранжирование. Факторы, влияющие на ценность активов
13. Понятие процесса управления рисками управления ИБ. Основные его стадии.
Понятие информационных рисков, остаточного и приемлемого рисков. Факторы, влияющие на изменение рисков. Основы управления информационными рисками. Понятие количественной и качественной оценки рисков, существующие программные реализации различных методов оценки рисков.
14. Выбор и обоснование средств обработки рисков
Выбор стратегий и средств управления рисками. Рекомендации Стандарта, документ «Положение о применимости». Остаточные риски.
15. Значение рисков в современных системах информационной безопасности
Принцип комплексности и системности в контексте обеспечения ИБ, его обоснование и отражение в ведущих международных стандартах по информационной безопасности. Организационные, правовые и программно-технические механизмы безопасности, их согласованное применение и критерии выбора.
16. Обязательные процессы управления ИБ
Основы построения СУИБ. Требования Стандарта.
17. Завершение внедрения СУИБ
Документация СУИБ. Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.
18. Жизненный цикл PDCA
Цикл Деминга-Шухарта в применении к СУИБ
19. Сертификация СУИБ
Этапы сертификационного процесса, сроки и ориентировочный бюджет.
20. Аудит информационной безопасности
Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита. Ведение записей. Формулирование несоответствий.
21. Экзамен
Оценка уровня усвоения слушателями материалов курса.