Система управления информационной безопасностью. СТ РК ISO/IEC 27001-2023. Подготовка к испытаниям ИС на соответствие требованиям ИБ

Задачи курса:

• ознакомление слушателей с современным подходом к обеспечению информационной безопасности (ИБ) в Республике Казахстан, с положениями ведущих мировых стандартов по ИБ.

• разъяснение значения ИБ для успешного осуществления деятельности предприятия,

• пояснение основных этапов разработки и внедрения системы управления ИБ с целью проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационно, согласно Приказу Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ. с учетом Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных Постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832.

Предварительные требования:

• общие сведения о технических, программных средствах и сетевой инфраструктуре.

• знакомство со стандартом ИСО/МЭК 27000 «Системы менеджмента информационной безопасности. Общий обзор и терминология».

Цель курса:

По окончании курса слушатели смогут:

• определить область действия СУИБ, политику ИБ, план работ создания и внедрения СУИБ в своей организации, с учетом проведения необходимых испытаний, имеющихся ИС на соответствие их требованиям информационной безопасности.

• определить механизмы и подходы по работе с актуальными рисками ИБ.

• обосновывать выбор практических решений для требуемого уровня безопасности.

• оценивать качество внешних аудитов по ИБ и обеспечить организацию внутренних аудитов.

• разработать и совершенствовать планы непрерывности бизнеса.

Аудитория курса:

• специалисты и руководители подразделений IT, принимающие участие в процессе предоставления IT-сервисов, требуемых для их компаний.

• администраторы систем и сетей, системные аналитики и проектировщики.

• руководители любого уровня, взаимодействующие с руководителями IT, ИБ или планирующие такое взаимодействие.

• руководители проекта по внедрению Системы управления информационной безопасностью (СУИБ), руководители структурных подразделений организации, специалисты подразделений, отвечающие за обеспечение информационной безопасности, сотрудники подразделений информационной безопасности и служб охраны, представители аналитических служб, риск-менеджеры.

Модуль 1. Основные понятия СУИБ

·         Информация, виды информации, информационная безопасность, способы защиты информации.

·         Объекты защиты (активы) и угрозы. Понятия активов, угроз, уязвимостей. Другие основные термины и определения ИБ.

·         Риски ИБ понятия, подходы, стратегии управления рисками и их обработки.

·         Типовые риски при обеспечении бесперебойной работы Информационных систем. Подходы к Управлению ИБ. Стандарты ИСО. Назначение стандартов ИСО 27000, 27001, ИСО 27002, 27005 и др.

·         Механизм взаимодействия и применения стандартов. Структура. Термины. Определения.

Модуль 2. Построение и внедрение СУИБ

·         Поддержка при построении СУИБ со стороны руководства. Область действия СУИБ и Политика ИБ.

·         Определение Области действия СУИБ (границ СУИБ), на примерах обеспечения бесперебойной работы Информационных систем, Концепция и политика ИБ, методы и примеры их формирования.

·         Инвентаризация активов. Создание Реестра активов Организации, их оценка и ранжирование (На примерах обеспечения бесперебойной работы Информационных систем). Определение ценности активов.

·         Типовые уязвимости защиты активов в организациях, аттестующих на ИБ ИС. Оценка угроз, возможного ущерба. Критерии оценки.

·         Анализ и оценка рисков.

·         Способы борьбы с рисками, снижение вероятностей из реализации, способы снижения ущерба при реализации рисков.

·         Выбор стратегий и рекомендации Стандартов. Обоснование необходимости принятия документов:

·         Положение о работе с активами. Инструкция по обеспечению сохранности коммерческой и служебной тайны. Правила работы в местах общего доступа

·         Правила приема, внутреннего распорядка и увольнения работников. Порядок доступа в офис.

·         План непрерывности бизнеса.

·         Правила проведения внутреннего аудита. Политика защиты прав интеллектуальной собственности. Правила управления несоответствиями. Правила анализа СУИБ со стороны руководства.

·         Положение по модификации ИС и другие, их роль в построении СУИБ. Остаточные риски.

·         Завершение внедрения СУИБ.

·         Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.

Модуль 3. Функционирование СУИБ и улучшение защиты активов

·         Рабочая документация СУИБ, исполнение созданных процедур. Структура документации. Проверка исполнения документации СУИБ аудиторами уполномоченной организации. Проверка на уязвимость программно-аппаратных средств защиты информации сканерами безопасности.

·         Подготовка к испытаниям ИС.

·         Сертификация СУИБ. Этапы сертификационного процесса, сроки и ориентировочный бюджет.

·         Аудит информационной безопасности, обработка инцидентов ИБ, Планы непрерывности бизнеса.

·         Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита.

·         Ведение записей. Формулирование несоответствий.

·         Отличия СТ РК ISO/IEC 27001-2023 от СТ РК ИСО/МЭК 27001-2015. Сравнительный анализ. Новые меры управления защиты активов, Атрибуты управления

·         Анализ Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных Постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832

«Экзамен».

Оценка уровня усвоения слушателями материалов курса.