Казахстан, г. Алматы, ул. Шевченко 90, БЦ «Каратал», офис 53
Казахстан, г. Астана, ул. Иманова 19, БЦ Деловой Дом "Алма-Ата", офис 612

направление: Cтандарты ISO кол-во дней: 3
вендор: Информационная безопасность кол-во часов: 24
код курса: SB-01

Курс «Система управления информационной безопасностью» (СУИБ) имеет целью ознакомление слушателей с современным подходом к обеспечению информационной безопасности (ИБ), раскрытие значения ИБ для успешного осуществления деятельности предприятия, пояснение основных этапов разработки и внедрения системы управления ИБ, ознакомление с основными положениями ведущих мировых стандартов по ИБ.

Данный курс был разработан в 2008 году на основе принятого в Казахстане в том же году международного стандарта ИСО/МЭК 27001 «Системы управления информационной безопасностью. Требования».

Стандарт ИСО/МЭК 27001 является обобщением мирового опыта в организации управления информационной безопасностью и определяет общую организацию, направления планирования, использование оценки риска, оценки эффективности, контроля улучшений и т.д. в контексте информационной безопасности.

Настоящий курс позволяет руководителям и специалистам, прошедшим обучение, качественно подготовить СУИБ к прохождению сертификации в соответствии с требованиями международного стандарта ИСО/МЭК 27001.

Предварительные требования:

  • Опыт работы в подразделениях информационных технологий или информационной безопасности.

Цель курса:

По окончании курса слушатели смогут:

  • Сформировать план разработки и внедрения СУИБ у себя на предприятии

  • Определить механизмы и подходы к управлению актуальных рисков ИБ

  • Обоснованно подходить к выбору механизмов контроля требуемого уровня безопасности

  • Оценить качество выполнения работ внутренними и внешними аудиторами ИБ

Аудитория курса:

Курс предназначен для руководителей проектов по внедрению СУИБ, руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, сотрудников подразделений информационной безопасности и служб охраны, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.

Часть 1. ВВЕДЕНИЕ В УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

  • Информация, информационная безопасность и защита информации
    Определение ИБ, виды информации, соотношение понятий ИБ и ЗИ

  • Объекты защиты и угрозы
    Виды классификаций активов, угроз, уязвимостей
    Основные термины и определения ИБ

  • Риски ИБ и стратегии их обработки
    Понятие, подходы и стратегии управления рисками. Факторы, определяющие риски

  • Комплексность и системность при  управлении ИБ
    Применение принципов комплексности и системности на практике.

  • Процессный подход в управлении ИБ
    «Семейство» стандартов ИСО по системам управления. Понятие процессного подхода. История его использования и тенденции.

  • Назначение стандартов ИСО 27001 и ИСО 27002
    Механизм взаимодействия и применения стандартов. Структура. Термины. Определения.

Часть 2. РАЗРАБОТКА И ВНЕДРЕНИЕ СУИБ

  • Поддержка со стороны высшего руководства

  • Область действия СУИБ и Политика ИБ
    Определение границ СУИБ. Концепция и политика ИБ, методы их формирования.

  • Инвентаризация активов
    Инвентаризация активов, их оценка и ранжирование. Факторы, влияющие на ценность активов

  • Анализ и оценка рисков
    Выявление и оценка угроз, уязвимостей, возможного ущерба. Критерии оценки.

  • Выбор и обоснование средств обработки рисков
    Выбор стратегий и средств управления рисками. Рекомендации Стандарта, документ «Положение о применимости». Остаточные риски.

  • Обязательные процессы управления ИБ
    Основы построения СУИБ. Требования Стандарта.

  • Завершение внедрения СУИБ
    Документация СУИБ. Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.

Часть 3. СОПРОВОЖДЕНИЕ И УЛУЧШЕНИЕ СУИБ

  • Документация СУИБ
    Структура документации. Обязательные документы, их назначение.

  • Жизненный цикл PDCA
    Цикл Деминга-Шухарта в применении к СУИБ

  • Сертификация СУИБ
    Этапы сертификационного процесса, сроки и ориентировочный бюджет.

  • Аудит информационной безопасности
    Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита. Ведение записей. Формулирование несоответствий.

  • ISO 27001:2013. Что нового?
    Сравнительный анализ казахстанского стандарта СТ РК ИСО/МЭК 27001:2008 и международного ISO/IEC 27001:2013

«Экзамен» Оценка уровня усвоения слушателями материалов курса