Аннотация
Стандарт ИСО/МЭК 27001:2022 является обобщением мирового опыта в организации управления информационной безопасностью и определяет общую организацию, направления планирования, использование оценки риска, оценки эффективности, контроля улучшений и т.д. в контексте информационной безопасности. Данный курс имеет целью ознакомление слушателей с современными взглядами и подходами к управлению рисками информационной безопасности (ИБ), раскрытие значения рисков для успешного обеспечения информационной безопасности предприятия, пояснение основных этапов разработки и внедрения системы управления рисками ИБ, ознакомление с основными положениями ведущих мировых стандартов ИБ.
Аудитория
Курс предназначен для руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, сотрудников подразделений информационной безопасности и служб охраны, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.
- Кто собирается внедрять СУИБ в соответствии с требованиями ИСО/МЭК 27001:2022;Курс предназначен для руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, сотрудников подразделений информационной безопасности и служб охраны, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.
- Консультанты по разработке и внедрению СУИБ;
- Профессионалы в области IT-технологий и ISO 9001
Предварительная подготовка
Опыт работы в подразделениях информационных технологий или информационной безопасности.
Программа:
1. ВВЕДЕНИЕ В УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
- Информация, информационная безопасность и защита информации
Определение ИБ, виды информации, соотношение понятий ИБ и ЗИ
- Объекты защиты и угрозы
Виды классификаций активов, угроз, уязвимостей
- Основные термины и определения ИБ
- Риски ИБ и стратегии их обработки
Понятие, подходы и стратегии управления рисками. Факторы, определяющие риск
- Комплексность и системность при управлении ИБ
Применение принципов комплексности и системности на практике.
- Процессный подход в управлении ИБ
«Семейство» стандартов ИСО по системам управления. Понятие процессного подхода. История его использования и тенденции.
- Назначение стандартов ИСО 27001 и ИСО 27002
Механизм взаимодействия и применения стандартов. Структура. Термины. Определения.
2. РАЗРАБОТКА И ВНЕДРЕНИЕ СУИБ
- Поддержка со стороны высшего руководства
- Область действия СУИБ и Политика ИБ
Определение границ СУИБ. Концепция и политика ИБ, методы их формирования.
- Инвентаризация активов
Инвентаризация активов, их оценка и ранжирование. Факторы, влияющие на ценность активов
- Анализ и оценка рисков, выбор и обоснование средств обработки рисков
- Обязательные процессы управления ИБ
Основы построения СУИБ. Требования Стандарта.
- Завершение внедрения СУИБ
Документация СУИБ. Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.
3. Управление рисками информационной безопасности
Основные информационные угрозы и атаки, уязвимости систем безопасности и условия для их возникновения. Термины и определения.
4. Основные механизмы и средства защиты ресурсов информационных систем
Идентификация и аутентификация, разграничение доступа, регистрация и аудит, контроль целостности, криптографические механизмы обеспечения конфиденциальности, целостности и аутентичности информации, контроль содержимого, обнаружение и противодействие атакам, анализ защищенности и др.
5. Значение рисков в современных системах информационной безопасности
Принцип комплексности и системности в контексте обеспечения ИБ, его обоснование и отражение в ведущих международных стандартах по информационной безопасности. Организационные, правовые и программно-технические механизмы безопасности, их согласованное применение и критерии выбора.
6. Введение в процесс управления рисками ИБ
Понятие информационных рисков, остаточного и приемлемого рисков. Факторы, влияющие на изменение рисков. Основы управления информационными рисками. Понятие количественной и качественной оценки рисков, существующие программные реализации различных методов оценки рисков. Понятие процесса управления рисками управления ИБ. Основные его стадии.
7. Определение уровня рисков ИБ
Анализ и оценка рисков. Идентификация и ранжирование активов, угроз, уязвимостей, возможного ущерба. Практическое вычисление уровня рисков.
8. Обработка рисков ИБ
Выбор стратегии управления рисками ИБ. Обоснование необходимых мер безопасности.
9. Обмен информацией о рисках информационной безопасности
Процедуры по обмену информацией о рисках между должностными лицами и заинтересованными сторонами.
10. Мониторинг и переоценка рисков ИБ
Построение системы контроля рисков, влияющих на них факторов и критериев их оценки.
11. СОПРОВОЖДЕНИЕ И УЛУЧШЕНИЕ СУИБ (обзорно)
- Документация СУИБ
Структура документации. Обязательные документы, их назначение.
- Жизненный цикл PDCA
Цикл Деминга-Шухарта в применении к СУИБ
- Сертификация СУИБ
Этапы сертификационного процесса, сроки и ориентировочный бюджет.
- Аудит информационной безопасности
Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита. Ведение записей. Формулирование несоответствий.
«Экзамен» Оценка уровня усвоения слушателями материалов курса.
Данный курс объединяет два курса, с программами которых можно ознакомиться:
[ИБ301] Система управления информационной безопасностью. ИСО/МЭК 27001
[ИБ202] Управление рисками информационной безопасности. ИСО 27005