ИБ01 — Система управления информационной безопасностью ISO 27001 и управление рисками ISO 27005
ИБ01 - Система управления информационной безопасностью ISO 27001 и управление рисками ISO 27005
Аннотация
Основными задачами курса являются: ознакомление слушателей с современными взглядами и подходами к обеспечению информационной безопасности (ИБ), понятию и управлению рисками ИБ, раскрытие значения ИБ для успешного осуществления деятельности предприятия, пояснение основных этапов разработки и внедрения системы управления ИБ и рисками ИБ.
Данный курс адаптирован к действующим международным версиям стандартов ИСО/МЭК 27001:2022 и ИСО/МЭК 27005:2018.
Эти стандарты являются обобщением мирового опыта в организации управления информационной безопасностью и определяет общую организацию, направления планирования, использование оценки риска, оценки эффективности, контроля улучшений и т.д. в контексте информационной безопасности.
Аудитория
Курс предназначен для руководителей проектов по внедрению СУИБ, руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, сотрудников подразделений информационной безопасности и служб охраны, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.
Предварительная подготовка
Начальный курс «Управление информационной безопасностью. Организация, подходы, принципы».
Опыт работы в подразделениях информационных технологий или информационной безопасности.
Форма проведения
Занятия курса проводятся в форме лекций-семинаров. При разборе практических примеров используются приемы тренинга. Для практических занятий отводится 80% учебного времени.
Контроль усвоения слушателями материала курса проводится с помощью финального тестирования.
Результаты курса
По окончании курса слушатели смогут:
Сформировать план разработки и внедрения СУИБ у себя на предприятии
Определить механизмы и подходы к управлению актуальных рисков ИБ
Внедрить у себя в организации (при необходимости скорректировать имеющийся) процесс управления рисками ИБ
Обоснованно подходить к выбору механизмов контроля требуемого уровня безопасности
Оценить качество выполнения работ внутренними и внешними аудиторами ИБ.
Ориентироваться в проблемах информационных рисков, в современных технологиях управления рисками
Выявлять актуальные угрозы, имеющиеся уязвимости и определять приоритетные направления деятельности по нейтрализации рисков у себя в компании
Программа курса
1. Информация, информационная безопасность и защита информации
Определение ИБ, виды информации, соотношение понятий ИБ и ЗИ
2. Объекты защиты и угрозы
Виды классификаций активов, угроз, уязвимостей
3. Основные термины и определения ИБ
Риски ИБ и стратегии их обработки
Понятие, подходы и стратегии управления рисками. Факторы, определяющие риск
4. Комплексность и системность при управлении ИБ
Применение принципов комплексности и системности на практике.
5. Процессный подход в управлении ИБ
«Семейство» стандартов ИСО по системам управления. Понятие процессного подхода. История его использования и тенденции.
6. Назначение стандартов ИСО 27001 и ИСО 27002
Механизм взаимодействия и применения стандартов. Их структура. Термины и определения.
7. Область действия СУИБ и Политика ИБ
Определение границ СУИБ. Концепция и политика ИБ, методы их формирования.
8. Процесс управления рисками ИБ. Основные этапы, их разработка и реализация.
Идентификация рисков ИБ, их оценка, анализ, оценивание и обработка.
9. Инвентаризация активов
Инвентаризация активов, их оценка и ранжирование. Факторы, влияющие на ценность активов
10. Понятие процесса управления рисками управления ИБ. Основные его стадии.
Понятие информационных рисков, остаточного и приемлемого рисков. Факторы, влияющие на изменение рисков. Основы управления информационными рисками. Понятие количественной и качественной оценки рисков, существующие программные реализации различных методов оценки рисков.
11. Процесс управления рисками ИБ. Основные этапы, их разработка и реализация.
Идентификация рисков ИБ, их оценка, анализ, оценивание и обработка.
12. Инвентаризация активов
Инвентаризация активов, их оценка и ранжирование. Факторы, влияющие на ценность активов
13. Понятие процесса управления рисками управления ИБ. Основные его стадии.
Понятие информационных рисков, остаточного и приемлемого рисков. Факторы, влияющие на изменение рисков. Основы управления информационными рисками. Понятие количественной и качественной оценки рисков, существующие программные реализации различных методов оценки рисков.
14. Выбор и обоснование средств обработки рисков
Выбор стратегий и средств управления рисками. Рекомендации Стандарта, документ «Положение о применимости». Остаточные риски.
15. Значение рисков в современных системах информационной безопасности
Принцип комплексности и системности в контексте обеспечения ИБ, его обоснование и отражение в ведущих международных стандартах по информационной безопасности. Организационные, правовые и программно-технические механизмы безопасности, их согласованное применение и критерии выбора.
16. Обязательные процессы управления ИБ
Основы построения СУИБ. Требования Стандарта.
17. Завершение внедрения СУИБ
Документация СУИБ. Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.
18. Жизненный цикл PDCA
Цикл Деминга-Шухарта в применении к СУИБ
19. Сертификация СУИБ
Этапы сертификационного процесса, сроки и ориентировочный бюджет.
20. Аудит информационной безопасности
Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита. Ведение записей. Формулирование несоответствий.
21. Экзамен
Оценка уровня усвоения слушателями материалов курса.
Записаться на курс
Длительность: 5 дней (40 часов)
Код курса: ИБ01
Стоимость обучения.
Очный формат: 344 000 ₸
Обучение проходит только в очном формате,
так как в курсе много практических заданий
на общее взаимодействие между слушателями
в группе.