Аннотация
Аудит – это ключевой момент любой Системы Менеджмента, на котором лежит ответственность за преодоление любых препятствий на всех этапах жизненного цикла Системы Менеджмента. Настоящий курс является первым шагом на пути практического изучения деятельности аудитора ИБ по стандарту ИСО/МЭК 27001. Стандарт ИСО/МЭК 27001 является обобщением мирового опыта в организации управления информационной безопасностью и определяет общую организацию, направления планирования, использование оценки риска, оценки эффективности, контроля улучшений и т.д. в контексте информационной безопасности.
Аудит – это ключевой момент любой Системы Менеджмента, на котором лежит ответственность за преодоление любых препятствий на всех этапах жизненного цикла Системы Менеджмента. Настоящий курс является первым шагом на пути практического изучения деятельности аудитора ИБ по стандарту ИСО/МЭК 27001. Стандарт ИСО/МЭК 27001 является обобщением мирового опыта в организации управления информационной безопасностью и определяет общую организацию, направления планирования, использование оценки риска, оценки эффективности, контроля улучшений и т.д. в контексте информационной безопасности.
Аудитория
Курс предназначен для руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, сотрудников подразделений информационной безопасности и служб охраны, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.
- Кто собирается внедрять СУИБ в соответствии с требованиями ИСО/МЭК 27001;
- Консультанты по разработке и внедрению СУИБ;
- Профессионалы в области IT-технологий и ISO 9001
Предварительная подготовка
Опыт работы в подразделениях информационных технологий или информационной безопасности.
По окончании настоящего курса слушатели смогут:
- Сформировать план разработки и внедрения у себя на предприятии системы контроля эффективности информационной безопасности
- Определить механизмы и подходы к проведению оценки соответствия применимым требованиям ИБ
- Оценить качество выполнения работ внутренними и внешними аудиторами ИБ.
Программа:
1. ВВЕДЕНИЕ В УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
- Информация, информационная безопасность и защита информации
Определение ИБ, виды информации, соотношение понятий ИБ и ЗИ
- Объекты защиты и угрозы
Виды классификаций активов, угроз, уязвимостей
- Основные термины и определения ИБ
- Риски ИБ и стратегии их обработки
Понятие, подходы и стратегии управления рисками. Факторы, определяющие риск
- Комплексность и системность при управлении ИБ
Применение принципов комплексности и системности на практике
- Процессный подход в управлении ИБ
«Семейство» стандартов ИСО по системам управления. Понятие процессного подхода. История его использования и тенденции.
- Назначение стандартов ИСО 27001 и ИСО 27002
Механизм взаимодействия и применения стандартов. Структура. Термины. Определения.
2. РАЗРАБОТКА И ВНЕДРЕНИЕ СУИБ
- Поддержка со стороны высшего руководства
- Область действия СУИБ и Политика ИБ
Определение границ СУИБ. Концепция и политика ИБ, методы их формирования.
- Инвентаризация активов
Инвентаризация активов, их оценка и ранжирование. Факторы, влияющие на ценность активов
- Анализ и оценка рисков
Выявление и оценка угроз, уязвимостей, возможного ущерба. Критерии оценки.
- Выбор и обоснование средств обработки рисков
Выбор стратегий и средств управления рисками. Рекомендации Стандарта, документ «Положение о применимости». Остаточные риски.
- Обязательные процессы управления ИБ
Основы построения СУИБ. Требования Стандарта.
- Завершение внедрения СУИБ
Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.
3. СОПРОВОЖДЕНИЕ И УЛУЧШЕНИЕ СУИБ
- Документация СУИБ
Структура документации. Обязательные документы, их назначение.
- Жизненный цикл PDCA
Цикл Деминга-Шухарта в применении к СУИБ
- Сертификация СУИБ
Этапы сертификационного процесса, сроки и ориентировочный бюджет.
Сравнительный анализ казахстанского стандарта СТ РК ИСО/МЭК 27001:2008 и международного ISO/IEC27001:2013
4. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ИСО 27001
включает в себя материалы из области разработки, внедрения и проведения аудита СУИБ, рассматриваются проблемы и сложности, часто встречающихся при работе по этим направлениям:
- Аудит информационной безопасности
Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита. Ведение записей. Формулирование несоответствий.
- Управление рисками информационной безопасности
- Международный стандарт по проведению аудита систем управления ИСО 19011
- Место аудита безопасности в процессах СУИБ
- Проведение аудита по стандарту ИСО/МЭК 27001
- Техника аудита по стандарту ИСО/МЭК 27001
- Управление командой аудиторов
- Техника интервьюирования
- Отчётность аудитора. Структура, формирование.
«Экзамен» Оценка уровня усвоения слушателями материалов курса.
Данный курс объединяет два курса, с программами которых можно ознакомиться:
[ИБ301] Система управления информационной безопасностью. ИСО/МЭК 27001
[ИБ203] Аудит информационной безопасности. ИСО 27001