Безопасность по стандартам ISO

НАПРАВЛЕНИЕ

ИБ01 - Система управления информационной безопасностью ISO 27001 и управление рисками ISO 27005

Длительность: 5 дней (40 часов)
Код курса: ИБ01

Стоимость обучения.
Очный формат: 383 500 ₸

Обучение проходит только в очном формате,
так как в курсе много практических заданий
на общее взаимодействие между слушателями в группе.

Записаться

Аннотация
Основными задачами курса являются: ознакомление слушателей с современными взглядами и подходами к обеспечению информационной безопасности (ИБ), понятию и управлению рисками ИБ, раскрытие значения ИБ для успешного осуществления деятельности предприятия, пояснение основных этапов разработки и внедрения системы управления ИБ и рисками ИБ.
Данный курс адаптирован к действующим международным версиям стандартов ИСО/МЭК 27001:2022 и ИСО/МЭК 27005:2018.
Эти стандарты являются обобщением мирового опыта в организации управления информационной безопасностью и определяет общую организацию, направления планирования, использование оценки риска, оценки эффективности, контроля улучшений и т.д. в контексте информационной безопасности.

Аудитория
Курс предназначен для руководителей проектов по внедрению СУИБ, руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, сотрудников подразделений информационной безопасности и служб охраны, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.

Предварительная подготовка
Начальный курс «Управление информационной безопасностью. Организация, подходы, принципы».
Опыт работы в подразделениях информационных технологий или информационной безопасности.

Форма проведения
Занятия курса проводятся в форме лекций-семинаров. При разборе практических примеров используются приемы тренинга. Для практических занятий отводится 80% учебного времени.
Контроль усвоения слушателями материала курса проводится с помощью финального тестирования.

Результаты курса
По окончании курса слушатели смогут:
Сформировать план разработки и внедрения СУИБ у себя на предприятии
Определить механизмы и подходы к управлению актуальных рисков ИБ
Внедрить у себя в организации (при необходимости скорректировать имеющийся) процесс управления рисками ИБ
Обоснованно подходить к выбору механизмов контроля требуемого уровня безопасности
Оценить качество выполнения работ внутренними и внешними аудиторами ИБ.
Ориентироваться в проблемах информационных рисков, в современных технологиях управления рисками
Выявлять актуальные угрозы, имеющиеся уязвимости и определять приоритетные направления деятельности по нейтрализации рисков у себя в компании

Программа курса

1. Информация, информационная безопасность и защита информации
Определение ИБ, виды информации, соотношение понятий ИБ и ЗИ

2. Объекты защиты и угрозы
Виды классификаций активов, угроз, уязвимостей

3. Основные термины и определения ИБ
Риски ИБ и стратегии их обработки
Понятие, подходы и стратегии управления рисками. Факторы, определяющие риск

4. Комплексность и системность при управлении ИБ
Применение принципов комплексности и системности на практике.

5. Процессный подход в управлении ИБ
«Семейство» стандартов ИСО по системам управления. Понятие процессного подхода. История его использования и тенденции.

6. Назначение стандартов ИСО 27001 и ИСО 27002
Механизм взаимодействия и применения стандартов. Их структура. Термины и определения.

7. Область действия СУИБ и Политика ИБ
Определение границ СУИБ. Концепция и политика ИБ, методы их формирования.

8. Процесс управления рисками ИБ. Основные этапы, их разработка и реализация.
Идентификация рисков ИБ, их оценка, анализ, оценивание и обработка.

9. Инвентаризация активов
Инвентаризация активов, их оценка и ранжирование. Факторы, влияющие на ценность активов

10. Понятие процесса управления рисками управления ИБ. Основные его стадии.
Понятие информационных рисков, остаточного и приемлемого рисков. Факторы, влияющие на изменение рисков. Основы управления информационными рисками. Понятие количественной и качественной оценки рисков, существующие программные реализации различных методов оценки рисков.

11. Процесс управления рисками ИБ. Основные этапы, их разработка и реализация.
Идентификация рисков ИБ, их оценка, анализ, оценивание и обработка.

12. Инвентаризация активов
Инвентаризация активов, их оценка и ранжирование. Факторы, влияющие на ценность активов

13. Понятие процесса управления рисками управления ИБ. Основные его стадии.
Понятие информационных рисков, остаточного и приемлемого рисков. Факторы, влияющие на изменение рисков. Основы управления информационными рисками. Понятие количественной и качественной оценки рисков, существующие программные реализации различных методов оценки рисков.

14. Выбор и обоснование средств обработки рисков
Выбор стратегий и средств управления рисками. Рекомендации Стандарта, документ «Положение о применимости». Остаточные риски.

15. Значение рисков в современных системах информационной безопасности
Принцип комплексности и системности в контексте обеспечения ИБ, его обоснование и отражение в ведущих международных стандартах по информационной безопасности. Организационные, правовые и программно-технические механизмы безопасности, их согласованное применение и критерии выбора.

16. Обязательные процессы управления ИБ
Основы построения СУИБ. Требования Стандарта.

17. Завершение внедрения СУИБ
Документация СУИБ. Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.

18. Жизненный цикл PDCA
Цикл Деминга-Шухарта в применении к СУИБ

19. Сертификация СУИБ
Этапы сертификационного процесса, сроки и ориентировочный бюджет.

20. Аудит информационной безопасности
Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита. Ведение записей. Формулирование несоответствий.

21. Экзамен
Оценка уровня усвоения слушателями материалов курса.

ИБ03 - Управление рисками информационной безопасности (ISO 27005)

Длительность: 5 дней (40 часов)
Код курса: ИБ03

Стоимость обучения.
Очный формат: 344 500 ₸

Записаться

Аннотация
Основными задачами курса являются: ознакомление слушателей с современными взглядами и подходами к обеспечению информационной безопасности (ИБ), раскрытие значения рисков для успешного обеспечения информационной безопасности предприятия, пояснение основных этапов разработки и внедрения системы управления рисками ИБ, ознакомление с основными положениями ведущих мировых стандартов по ИБ.

Аудитория
Курс предназначен для руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, сотрудников подразделений информационной безопасности и служб охраны, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.

Предварительная подготовка
Курс рассчитан на слушателей, имеющих практический опыт, как в вопросах комплексных систем ИБ, так и специализирующихся в какой-либо отдельной области обеспечения ИБ.

Знание слушателями основ современных информационных технологий желательно, но не обязательно.

Обучение по настоящему курсу рекомендуется проходить после курсов «Управление информационной безопасностью. Организация, подходы, принципы» или «Система Управления Информационной безопасностью. ИСО/МЭК 27001».

Форма проведения
Занятия курса проводятся в форме лекций-семинаров. При разборе практических примеров используются приемы тренинга. Для практических занятий отводится 50% учебного времени.

Результаты курса
По окончанию курса слушатели смогут:

Ориентироваться:

в проблемах информационных рисков

в современных технологиях управления рисками

Выявлять актуальные угрозы, имеющиеся уязвимости и определять приоритетные направления деятельности по нейтрализации рисков у себя в компании

Обоснованно подходить к выбору необходимых средств защиты информации

Дополнительно
Каждый слушатель получает на руки презентации всех частей курса в печатном виде.

В случае успешного завершения обучения слушателям выдаются фирменные сертификаты.

Программа курса
1. Введение в предмет «Управление рисками Информационной безопасности»
Основные информационные угрозы и атаки, уязвимости систем безопасности и условия для их возникновения. Термины и определения.

2. Основные механизмы и средства защиты ресурсов информационных систем
Идентификация и аутентификация, разграничение доступа, регистрация и аудит, контроль целостности, криптографические механизмы обеспечения конфиденциальности, целостности и аутентичности информации, контроль содержимого, обнаружение и противодействие атакам, анализ защищенности и др.

3. Значение рисков в современных системах Информационной безопасности
Принцип комплексности и системности в контексте обеспечения ИБ, его обоснование и отражение в ведущих международных стандартах по информационной безопасности. Организационные, правовые и программно-технические механизмы безопасности, их согласованное применение и критерии выбора.

4. Введение в процесс управления рисками ИБ
Понятие информационных рисков, остаточного и приемлемого рисков. Факторы, влияющие на изменение рисков. Основы управления информационными рисками. Понятие количественной и качественной оценки рисков, существующие программные реализации различных методов оценки рисков.

Понятие процесса управления рисками управления ИБ. Основные его стадии.

5. Определение уровня рисков ИБ
Анализ и оценка рисков. Идентификация и ранжирование активов, угроз, уязвимостей, возможного ущерба. Практическое вычисление уровня рисков.

6. Обработка рисков ИБ
Выбор стратегии управления рисками ИБ. Обоснование необходимых мер безопасности.

7. Обмен информацией о рисках информационной безопасности
Процедуры по обмену информацией о рисках между должностными лицами и заинтересованными сторонами.

8. Мониторинг и переоценка рисков ИБ
Построение системы контроля рисков, влияющих на них факторов и критериев их оценки.

ИБ04 - Аудит информационной безопасности (ISO 27001)

Длительность: 5 дней (40 часов)
Код курса: ИБ04

Стоимость обучения.
Очный формат: 344 500 ₸

Записаться

Аннотация
Аудит – это ключевой момент любой Системы Менеджмента, на котором лежит ответственность за преодоление любых препятствий на всех этапах жизненного цикла Системы Менеджмента.

Настоящий курс является первым шагом на пути практического изучения деятельности аудитора информационной безопасности по стандарту ИСО/МЭК 27001.

Стандарт ИСО/МЭК 27001 является обобщением мирового опыта в организации управления информационной безопасностью и определяет общую организацию, направления планирования, использование оценки риска, оценки эффективности, контроля улучшений и т.д. в контексте информационной безопасности.

Аудитория
Курс предназначен для руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, сотрудников подразделений информационной безопасности и служб охраны, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.

Потенциальные кандидаты:
Те, кто собирается внедрять СУИБ в соответствии с требованиями ИСО/МЭК 27001;

Консультанты по разработке и внедрению СУИБ;

Профессионалы в области IT-технологий и ISO 9001

Предварительная подготовка
Опыт работы в подразделениях информационных технологий или информационной безопасности.

Курсы «Управление информационной безопасностью. Организация, подходы, принципы» и «Система Управления Информационной Безопасностью. ИСО 27001»

Форма проведения
Обучение предусматривает проведение теоретических занятий, практическую работу в группах, а также ролевые игры. Основные занятия курса проводятся в форме лекций-семинаров. При разборе практических примеров используются приемы тренинга. Для практических занятий отводится не менее 50% учебного времени.

Контроль усвоения слушателями материала курса проводится с помощью финального тестирования.

Результаты курса
По окончании настоящего курса слушатели смогут:

Сформировать план разработки и внедрения у себя на предприятии системы контроля эффективности информационной безопасности

Определить механизмы и подходы к проведению оценки соответствия применимым требованиям ИБ

Оценить качество выполнения работ внутренними и внешними аудиторами ИБ.

Программа курса
Программа курса включает в себя материалы из области разработки, внедрения и проведения аудита СУИБ, рассматриваются проблемы и сложности, часто встречающихся при работе по этим направлениям.

Основными разделами курса являются:
Информационная безопасность. Подходы, принципы, организация.

ИСО/МЭК27001 и ИСО/МЭК 27002 (17799)

Управление рисками информационной безопасности

Международный стандарт по проведению аудита систем управления ИСО 19011

Место аудита безопасности в процессах СУИБ

Проведение аудита по стандарту ИСО/МЭК 27001

Техника аудита по стандарту ИСО/МЭК 27001

Разработка плана

Процессы аудита

Управление командой аудиторов

Техника интервьюирования

Отчётность аудитора. Структура, формирование.

ИБ05 - Система управления противодействием коррупции (ISO 37001)

Длительность: 5 дней (40 часов)
Код курса: ИБ05

Стоимость обучения.
Очный формат: 344 500 ₸

Записаться

Аннотация
В 2016 году Международная Организация по Стандартизации ИСО выпускает новый стандарт из «семейства систем управления» — ИСО 37001 «Система управления антикоррупционными мероприятиями».

Коррупция значительно замедляет общее развитие бизнеса во многих странах и секторах экономики. Систематическое взяточничество снижает темпы экономического роста и выступает препятствием для инвестиционных потоков. Оно стимулирует рост бедности и социального неравенства. И, что самое главное, коррупцию очень трудно искоренить.

Стандарт ИСО 37001 предназначен для упрощения решения этой серьезной задачи путем использования международного опыта в области антикоррупционных инициатив. Стандартописывает «Систему Управления Противодействием Коррупции» (СУПК), определяет общую организацию, направления планирования, использование оценки рисков, оценки эффективности, контроля улучшений и т.д. в контексте борьбы со взяточничеством.Он применим для любых организаций независимо от их размера, формы собственности и области деятельности.

Настоящий курс предназначен для представления концепции антикоррупционных мероприятий, выявления преимуществ использования СУПК, пояснения ключевых требования стандарта ИСО 37001 и возможностей его использования в РК, освещения основных этапов разработки, внедрения и сопровождения СУПК.

Аудитория
Курс предназначен для лиц, которые отвечают за управление антикоррупционными мероприятиями, соблюдении в компании норм корпоративной этики, корпоративное управление, риски и обеспечение соответствие, системы управления, человеческие ресурсы, закуп, а также лиц, кто управляет бизнес-партнерами или выбирает их, особенно при работе в условиях высоких рисков взяточничества.

В число рекомендуемых должностей входят: руководители высшего и среднего звена, HR-менеджеры, юристы, риск-менеджеры и менеджеры по обеспечению соответствия, менеджеры по закупу, группы расследования внутренних нарушений, внутренние аудиторы, а также иные, которым требуется повысить уровень своей компетенции в области антикоррупционных мероприятий.

Предварительная подготовка
Фиксированных требований к предварительной подготовке слушателей нет. Однако приветствуется опыт управленческой деятельности, работы с системами управления ИСО, в подразделениях контроля, аудита и/или риск-менеджмента.

Форма проведения
Занятия курса проводятся в аудиторной форме путем сочетания лекций, практических занятий в группах и живого обсуждения. Для практических занятий не менее 60% учебного времени.

Контроль усвоения слушателями материала курса проводится с помощью ряда промежуточных и финального тестирований.

Результаты курса
По окончанию настоящего курса слушатели смогут:

оценить текущие риски взяточничества в своей организации

помочь бизнесу осознать ключевые понятия и выгоды применения СУПК

разработать и реализовать в своей организации проект по внедрению СУПК с использованием цикла PDCA

определить и реализовать процессы поддержания функционирования и непрерывного улучшения СУПК

Дополнительно
Каждый слушатель получает на руки презентации всего курса в печатном виде.

В случае успешного завершения обучения слушателям выдаются фирменные сертификаты.

Программа курса
Часть 1. Введение управление противодействием коррупции
«происхождение» стандарта ИСО 37001

История и условия возникновения Стандарта. Понятие коррупции, ее виды и проблемы борьбы.

объекты защиты и угрозы

Защищаемые активы, угроз, уязвимостей

риски АК и стратегии их обработки

Понятие, подходы и стратегии управления рисками. Факторы, определяющие риск

комплексность и системность при управлении АК

Применение принципов комплексности и системности на практике.

процессный подход в управлении СУПК

«Семейство» стандартов ИСО по системам управления. Понятие процессного подхода. История его использования и тенденции. Цикл PDCA

использование цикла PDCA в Стандарте

Соответствие разделов Стандарта циклу PDCA. Его структура и возможность интеграции с иными стандартами «семейства систем управления» ИСО

Часть 2. Разработка и внедрение Системы Управления Противодействием Коррупции
Определение контекста организации

Определение границ СУПК. Область действия, понимание потребностей заинтересованных сторон, оценка антикоррупционных рисков. Учет антикоррупционного законодательства РК.

Лидерство

Антикоррупционная политика. Организационная структура и распределение ролей СУПК.

Планирование и поддержка

Выбор стратегий и обработка антикоррупционных рисков. Выбор средств управления АК. Необходимые ресурсы, работа с персоналом, коммуникации.

Завершение внедрения СУПК

Документация СУПК. Критерии оценки средств управления АК.

Часть 3. Сопровождение и улучшение СУПК
Поддержание функционирования СУПК

Обострение проблем. Обработка событий и инцидентов СУПК (случаев взяточничества, создания условий для них). Финансовые и нефинансовые средства управления.

Оценка исполнения и улучшение СУПК

Аудит, анализ со стороны руководства. Мониторинг, измерения, анализ и оценивание. Формулирование несоответствий. Коррекция и корректирующие действия.

Сертификация СУПК

Выгоды сертификации, ее основные этапы и длительность. Участники процесса сертификации.

«Экзамен»

Оценка уровня усвоения слушателями материалов курса.

ИБ06 - Система управления рисками (ISO 31000)

Длительность: 5 дней (40 часов)
Код курса: ИБ06

Стоимость обучения.
Очный формат: 344 500 ₸

Записаться

Аннотация
Настоящий учебный курс имеет целью ознакомление слушателей с современным принятым в ИСО (Международная организация по сертификации) подходом к управлению рисками, раскрытие значения рисков для успешного функционирования инфраструктуры предприятия, пояснение основных этапов разработки и внедрения системы управления рисками, ознакомление с возможностями автоматизации процесса управления рисками.

Данный Курс разработан на основе международного стандарта ИСО 31000 «Управление рисками. Принципы и руководящие указания».

Аудитория
Курс предназначен для руководителей структурных подразделений организаций, руководителей и специалистов, отвечающих за обеспечение безопасности и/или техническую поддержку, сотрудников подразделений информационной безопасности и служб охраны, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.

Предварительная подготовка
Курс рассчитан на слушателей, имеющих практический опыт, например,

в вопросах поддержки и сопровождения комплексных инфраструктурных систем,

в отдельных специализированных областях обеспечения безопасности,

стратегического планирования,

руководства организациями и отдельными структурными подразделениями

Форма проведения
Занятия курса проводятся в форме лекций-семинаров. При разборе практических примеров используются приемы тренинга. Для практических занятий отводится 50% учебного времени.

Результаты курса
По окончании настоящего курса слушатели смогут:
Ориентироваться:

в вопросах идентификации, анализа рисков и оценивания рисков

в современных технологиях обработки рисками

в вопросах разработки своих методик для оценки рисков в различных областях

Выявлять актуальные угрозы, имеющиеся уязвимости и определять приоритетные направления деятельности по нейтрализации рисков у себя в компании

Обоснованно подходить к выбору необходимых средств нейтрализации рисков
Дополнительно
Каждый слушатель получает на руки презентации всех частей курса в печатном виде.

В случае успешного завершения обучения слушателям выдаются фирменные сертификаты.

Программа курса
1. Введение в предмет «Управление рисками»
Понятия угрозы, уязвимости, объекта защиты и воздействия на бизнес, средств нейтрализации рисков, вероятности риска и сценария инцидента. Термины и определения.

·Значение рисков в современных комплексных системах корпоративного управления

Принцип комплексности и системности управления рисками в контексте корпоративного управления, его обоснование и отражение в ведущих международных стандартах ИСО семейства систем управления. Организационные, правовые и программно-технические механизмы нейтрализации рисков, их согласованное применение и критерии выбора.

2. Введение в процесс «Управления рисками»
Понятие рисков, остаточного и приемлемого рисков. Факторы, влияющие на изменение рисков. Основы управления рисками. Понятие количественной и качественной оценки рисков, существующие программные реализации различных методов оценки рисков.

Понятие процесса управления рисками. Основные его стадии

3. Идентификация рисков
Анализ и оценивание рисков. Идентификация и ранжирование активов, угроз, уязвимостей, возможного ущерба. Практическое вычисление уровня рисков.

4. Обработка рисков
Выбор стратегии обработки риска. Обоснование необходимых мер безопасности.

5. Обмен информацией о рисках
Процедуры по обмену информацией о рисках между должностными лицами и заинтересованными сторонами.

6. Мониторинг и переоценка рисков
Построение системы контроля рисков, влияющих на них факторов и критериев их оценки.

7. Поддержание и корректировка системы управления рисками
Разработка и внедрение цикла PDCA применительно к системе управления рисками с целью ее непрерывного совершенствования.

ИБ07 - Система управления непрерывностью бизнеса (ISO 22301)

Длительность: 5 дней (40 часов)
Код курса: ИБ07

Стоимость обучения.
Очный формат: 344 500 ₸

Записаться

Аннотация
Обеспечение бесперебойной работы – серьёзная проблема, требующая решения в каждой Компании, а управление непрерывностью бизнеса является ключевым элементом системы управления Компании, вне зависимости от её типа и масштаба, направления деятельности или отрасли экономики. Способность Компании поддерживать свои критичные операции в процессе и по завершении инцидента, также, как и скорость полного восстановления работоспособности, может стать основным фактором в решении задач целесообразности дальнейшего существования бизнеса Компании после инцидента любого масштаба.

Потребность в едином стандарте управления непрерывностью бизнеса (Business Continuity Management, BCM), основанном на передовом мировом опыте, стала причиной публикации BSI Стандарта BS 25999, определяющего высокоуровневую структуру управления непрерывностью бизнеса. В 2012 году Стандарт BS 25999 был признан международной организацией по стандартизации и приобрел статус ISO 22301.

Курс «Система управления непрерывностью бизнеса. ИСО 22301» (СУНБ) имеет целью ознакомление слушателей с современным подходом к обеспечению непрерывности бизнеса (НБ), раскрытие значения НБ для успешного осуществления деятельности предприятия, пояснение основных этапов разработки и внедрения системы управления НБ, ознакомление с моделью СУНБ, описанной в международном стандарте ИСО 22301.

Настоящий курс позволяет руководителям и специалистам, прошедшим обучение, обоснованно подойти к разработке, внедрению и поддержанию функционирования СУНБ у себя в Компании, а также (если потребуется) подготовиться к прохождению сертификации на соответствие требованиям международного стандарта ИСО 22301.

Аудитория
Курс предназначен для консультантов, руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.

Предварительная подготовка (желательно)
Любые курсы по стандартам из «семейства» систем управления: управление качеством (ИСО 9001), энергосбережением (ИСО 50000), информационной безопасностью (ИСО 27001), экологической безопасностью (ИСО 14001), ИТ-сервисами (ИСО 20000) и т.п.

Опыт работы на руководящих должностях.

Форма проведения
Занятия курса проводятся в форме лекций-семинаров. При разборе практических примеров используются приемы тренинга. Для практических занятий отводится 50% учебного времени.

Контроль усвоения слушателями материала курса проводится с помощью входного и финального тестирования.

Результаты курса
По окончании настоящего курса слушатели смогут:
Сформировать план разработки и внедрения СУНБ у себя на предприятии

Определить механизмы и подходы к учету бизнес-потребностей организации в процессах обеспечения НБ

Оценивать риски НБ, создавать свои методики оценки рисков

Обоснованно подходить к выбору механизмов и средств поддержания требуемого уровня непрерывности бизнеса

Организовать работу внутренних аудиторов. Оценивать качество выполнения работ как внутренними, так и внешними аудиторами НБ.

Дополнительно
Каждый слушатель получает на руки презентации всех курса в печатном виде.

В случае успешного завершения обучения слушателям выдаются фирменные сертификаты.

Программа курса
Модуль 1. Знакомство со стандартом ИСО 22301 (далее Стандарт)
Аспекты проблем непрерывности бизнеса

Основные задачи и принципы управления непрерывностью бизнеса. Преимущества для бизнеса от внедрения СУНБ. Основные препятствия и факторы успеха для СУНБ в РК.

Непрерывность бизнеса и стратегия развития Компании

Понятие анализа внутреннего и внешнего контекста Компании. Учет НБ в планах развития Компании. Основные роли и функции СУНБ.

Основные понятия и термины в области непрерывности бизнеса

Термины и определения Стандарта, его структура. Сопутствующие документы и стандарты. Механизм их взаимодействия и применения. Взаимосвязь с иными стандартами ИСО из «семейства» систем управления.

Жизненный цикл СУНБ

Модель PDCA в применении к НБ.

Инциденты, непрерывность бизнеса, восстановления

Соотношение понятий. Структура планов и механизмов функционирования.

Модуль 2. Разработка и внедрение системы управления непрерывностью бизнеса
Определение области действия и разработка политики СУНБ

Входные данные. Требования к области действия и политике НБ. Их место в структуре документации Компании в общем и документации НБ в частности.

Анализ Компании

Понимание потребностей Компании. Этапы процесса анализа.

Стратегия и планирование НБ

Входные данные, Построение процессов НБ.

Разработка планов

Планы управления инцидентами (IMP). Планы обеспечения НБ (BCP). Планы восстановления (DRP).

Обучение в области НБ для сотрудников Компании

Описание процесса. Подходы и методы.

Непрерывное улучшение и корректировка СУНБ

Входные данные. Инициация улучшения. Коррекция, корректирующие и превентивные действия.

Завершение внедрения СУНБ

Документация СУНБ. Записи СУНБ. Механизмы анализа и пересмотра СУНБ.

Модуль 3. Обеспечение и контроль функционирования СУНБ
Понятие контроля СУНБ

Необходимость контроля его виды, цели, задачи.

Подготовка к аудиту и его проведение.

Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника проведения аудита. Ведение записей. Формулирование несоответствий.

Завершение аудита

Общий отчет. Заключительное совещание.

Сертификация на соответствие требованиям Стандарта

Международная и национальная системы сертификации. Особенности и преимущества сертификации СУНБ. Основные этапы сертификационного процесса, его сроки и ориентировочная стоимость.

ИБ08 - Управление инцидентами информационной безопасности (ISO 27035)

Длительность: 3 дня (24 часа)
Код курса: ИБ08

Стоимость обучения.
Очный формат: 214 000 ₸

Записаться

Продолжительность:
3 дн 24 ак.часа, при условии предварительного прохождения курса: Система управления информационной безопасностью (ISO 27001)
Без предварительной подготовки: 5 дн 40 ак. часов

Описание курса:
Курс «Управление инцидентами информационной безопасности, ISO 27035, нацелен на ознакомление слушателей с основными подходами и фазами процесса управления инцидентами информационной безопасности (ИБ).
В настоящее время данный курс адаптирован к действующей международной версии стандарта: ISO 27035:2016.
Стандарт ISO 27035 является обобщением мирового опыта в организации управления инцидентами ИБ и содержит лучшие практики по следующим видам деятельности в отношении инцидентов ИБ: выявление, оповещение, оценка, реагирование, а также извлечение уроков.
Настоящий курс позволяет руководителям и специалистам, прошедшим обучение, разработать и внедрить процесс управления ИБ в рамках действующей (разрабатываемой) Системы Управления Информационной Безопасности, соответствующей международному стандарту ISO 27001.

Аудитория:
Курс предназначен для руководителей проектов по внедрению СУИБ, руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, сотрудников подразделений ИБ и служб охраны, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.

Предварительная подготовка (желательно):
Курсы «Основы по управлению информационной безопасностью.» и/или «Система управления информационной безопасностью (ISO 27001)».
Опыт работы в подразделениях информационных технологий и/или информационной безопасности приветствуется.

Формат проведения:
Занятия проводятся в форме лекций-семинаров. При разборе практических примеров используются приемы тренинга. Для практических занятий отводится 80% учебного времени.
Контроль усвоения слушателями материала курса проводится с помощью финального тестирования.

По окончании настоящего курса слушатели будут уметь:
Формировать план разработки и внедрения процесса управления инцидентами ИБ у себя на предприятии
Адаптировать рекомендации Стандарта к своей организации в зависимости от ее типа, размера и видов деятельности
Интегрировать процесс управления инцидентами ИБ с процессами оценки рисков и контроля ИБ
Оценить степень зрелости существующего в организации процесса управления инцидентами ИБ
Выполнить вышеприведенные работы для предприятий-заказчиков в рамках аутсорсинговых сервисов

Дополнительно:
Каждый слушатель получает на руки презентацию курса в распечатанном виде.
В случае успешного завершения обучения слушателям выдаются сертификаты.

Программа курса:

Часть 1. Введение в управление информационной безопасностью.
Информация, информационная безопасность и защита информации
Определение ИБ, виды информации, соотношение понятий ИБ и ЗИ
Объекты защиты и угрозы

Виды классификаций активов, угроз, уязвимостей
Основные термины и определения ИБ
Риски ИБ и стратегии их обработки
Понятие, подходы и стратегии управления рисками. Факторы, определяющие риск
Комплексность и системность при управлении ИБ
Применение принципов комплексности и системности на практике.
Процессный подход в управлении ИБ
«СемействоЭ стандартов ISO по системам управления. Понятие процессного подхода.

История его использования и тенденции.
Назначение стандартов ISO 27001 и ISO 27002
Механизм взаимодействия и применения стандартов. Их структура. Термины и определения.

Часть 2. Структурированный подход к реализации процесса управления инцидентами информационной безопасности.
Основные концепции и принципы процесса
Цели процесса
Определение границ. Концепция и политика, методы их формирования.
Структурирование процесса и его преимущества
Классификация и категорирование инцидентов ИБ. Жизненный цикл PDCA в отношении процесса. Основные операции, их последовательность. Критерии и оценка их исполнения.
Интеграция с процессами оценки рисков и контроля ИБ
Критерии оценки процессов и их операций. Совместное планирование процессов. Синергетический эффект интеграции и его оценка.

Часть 3. Реализация процесса управления инцидентами информационной безопасности.
Документация процесса
Структура документации. Обязательные документы, их назначение.
Поэтапная реализация процесса
Этапы разработки и планирования, выявления и оповещения, оценки и принятия решений, реагирования, извлечения уроков.
Управление инцидентами и процессы расследование
Записи, их формирование и защита. Законодательная база, национальная и международная.
Управление инцидентами и анализ воздействия на бизнес
Учет результатов процесса управления инцидентами в процессе анализа воздействия на бизнес (BIA) организации. Варианты представления результатов инцидентов для высшего руководства организации
«Экзамен» — обсуждение результатов обучения и оценка уровня усвоения слушателями материалов курса.

ИБ09 - Анализ корневых причин

Длительность: 2 дня (16 часов)
Код курса: ИБ09

Стоимость обучения.
Очный формат: 165 500 ₸

Записаться

Описание курса:

Курс «Анализ корневых причин» имеет целью ознакомление слушателей с основными подходами к установлению и выбору корневых причин существующих проблем.
Настоящий курс разработан в рамках программ специализированного продолженного обучения в таких областях, как управление рисками, расследование инцидентов, проведение аудита, целеполагание и пр.
Курс применим к специалистам любого профиля, независимо от сферы их деятельности: безопасность (любая), корпоративное управление, охрана труда, управление качеством, расследование, планирование и пр.
В рамках курса разбирается ряд рабочих методик, на практику отводится до 90% учебного времени. В связи с этим обучение проводится только в очной аудиторной форме.

Результаты курса
Настоящий курс позволяет слушателям, прошедшим обучение:
принципиально повысить уровень аналитической обработки информации в своей области;
упростить процессы идентификации проблем и путей их решения;
существенно снизить затраты на устранение проблем и их причин;
повысить уверенность в том, что снятые проблемы не проявятся повторно в будущем;
обосновать свои решения и предложения перед вышестоящим руководством;
обучить освоенным техникам своих подчиненных и коллег.

Аудитория курса:

Курс предназначен в первую очередь для руководителей любого уровня, а также специалистов в области аналитики, рисков, аудита и/или инцидентов.

Предварительные требования к аудитории:

Практические навыки в какой-либо из следующих областей:
управление подразделением/компанией,
проведение анализа данных,
управление рисками,
обработка инцидентов,
проведение и/или сопровождение аудита

Форма проведения
Занятия курса проводятся в форме семинаров. Краткие теоретические блоки используются только как вступительная часть перед практической отработкой. Практика курса построена на групповой работе с последующим общим разбором и нарастанием сложности заданий.
Дополнительно
Каждый слушатель получает на руки презентацию всего курса в печатном виде.
В случае успешного завершения обучения слушателям выдаются фирменные сертификаты.

Содержание курса:

Оценка входного уровня слушателей
1. Введение в аналитическую обработку информации 
Что такое аналитика и ее значимость в современном корпоративном управлении
Корпоративное управление и процессный подход
Основные этапы процессов аудита, управления рисками, инцидентами
Основные виды аналитической обработки информации
2. Причинно-следственная методика 
Ознакомление с методикой
Практическая отработка методики

3. Структурно-причинная методика 
Ознакомление с методикой
Практическая отработка методики
4. Комплексная методика 
Ознакомление с методикой
Практическая отработка методики
Подведение итогов
Оценка выходного уровня слушателей

Записаться на курс






    Контактная информация: