Выберите удобное для вас число,
запишитесь на курс, заполнив простую форму
Задачи курса:
ознакомление слушателей с современным подходом к обеспечению информационной безопасности (ИБ) в Республике Казахстан, с положениями ведущих мировых стандартов по ИБ.
разъяснение значения ИБ для успешного осуществления деятельности предприятия,
пояснение основных этапов разработки и внедрения системы управления ИБ с целью проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационно, согласно Приказу Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ. с учетом Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных Постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832.
Предварительные требования:
общие сведения о технических, программных средствах и сетевой инфраструктуре.
знакомство со стандартом ИСО/МЭК 27000 «Системы менеджмента информационной безопасности. Общий обзор и терминология».
Цель курса:
По окончании курса слушатели смогут:
определить область действия СУИБ, политику ИБ, план работ создания и внедрения СУИБ в своей организации, с учетом проведения необходимых испытаний, имеющихся ИС на соответствие их требованиям информационной безопасности.
определить механизмы и подходы по работе с актуальными рисками ИБ.
обосновывать выбор практических решений для требуемого уровня безопасности.
оценивать качество внешних аудитов по ИБ и обеспечить организацию внутренних аудитов.
разработать и совершенствовать планы непрерывности бизнеса.
Аудитория курса:
специалисты и руководители подразделений IT, принимающие участие в процессе предоставления IT-сервисов, требуемых для их компаний.
администраторы систем и сетей, системные аналитики и проектировщики.
руководители любого уровня, взаимодействующие с руководителями IT, ИБ или планирующие такое взаимодействие.
руководители проекта по внедрению Системы управления информационной безопасностью (СУИБ), руководители структурных подразделений организации, специалисты подразделений, отвечающие за обеспечение информационной безопасности, сотрудники подразделений информационной безопасности и служб охраны, представители аналитических служб, риск-менеджеры.
Модуль 1. Основные понятия СУИБ
· Информация, виды информации, информационная безопасность, способы защиты информации.
· Объекты защиты (активы) и угрозы. Понятия активов, угроз, уязвимостей. Другие основные термины и определения ИБ.
· Риски ИБ понятия, подходы, стратегии управления рисками и их обработки.
· Типовые риски при обеспечении бесперебойной работы Информационных систем. Подходы к Управлению ИБ. Стандарты ИСО. Назначение стандартов ИСО 27000, 27001, ИСО 27002, 27005 и др.
· Механизм взаимодействия и применения стандартов. Структура. Термины. Определения.
Модуль 2. Построение и внедрение СУИБ
· Поддержка при построении СУИБ со стороны руководства. Область действия СУИБ и Политика ИБ.
· Определение Области действия СУИБ (границ СУИБ), на примерах обеспечения бесперебойной работы Информационных систем, Концепция и политика ИБ, методы и примеры их формирования.
· Инвентаризация активов. Создание Реестра активов Организации, их оценка и ранжирование (На примерах обеспечения бесперебойной работы Информационных систем). Определение ценности активов.
· Типовые уязвимости защиты активов в организациях, аттестующих на ИБ ИС. Оценка угроз, возможного ущерба. Критерии оценки.
· Анализ и оценка рисков.
· Способы борьбы с рисками, снижение вероятностей из реализации, способы снижения ущерба при реализации рисков.
· Выбор стратегий и рекомендации Стандартов. Обоснование необходимости принятия документов:
· Положение о работе с активами. Инструкция по обеспечению сохранности коммерческой и служебной тайны. Правила работы в местах общего доступа
· Правила приема, внутреннего распорядка и увольнения работников. Порядок доступа в офис.
· План непрерывности бизнеса.
· Правила проведения внутреннего аудита. Политика защиты прав интеллектуальной собственности. Правила управления несоответствиями. Правила анализа СУИБ со стороны руководства.
· Положение по модификации ИС и другие, их роль в построении СУИБ. Остаточные риски.
· Завершение внедрения СУИБ.
· Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.
Модуль 3. Функционирование СУИБ и улучшение защиты активов
· Рабочая документация СУИБ, исполнение созданных процедур. Структура документации. Проверка исполнения документации СУИБ аудиторами уполномоченной организации. Проверка на уязвимость программно-аппаратных средств защиты информации сканерами безопасности.
· Подготовка к испытаниям ИС.
· Сертификация СУИБ. Этапы сертификационного процесса, сроки и ориентировочный бюджет.
· Аудит информационной безопасности, обработка инцидентов ИБ, Планы непрерывности бизнеса.
· Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита.
· Ведение записей. Формулирование несоответствий.
· Отличия СТ РК ISO/IEC 27001-2023 от СТ РК ИСО/МЭК 27001-2015. Сравнительный анализ. Новые меры управления защиты активов, Атрибуты управления
· Анализ Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных Постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832
«Экзамен».
Оценка уровня усвоения слушателями материалов курса.