Казахстан, г. Алматы, ул. Шевченко 90, БЦ «Каратал», офис 53
Казахстан, г. Нур-Султан, ул. Иманова 19, БЦ Деловой Дом "Алма-Ата", офис 612

Даты проведения курса

Выберите удобное для вас число,
запишитесь на курс, заполнив простую форму

город: Нур-Султан
записаться на курс
направление: Стандарты ISO кол-во дней: 5
вендор: Информационная безопасность кол-во часов: 40
код курса: SB-08

Задачи курса:

  • ознакомление слушателей с современным подходом к обеспечению информационной безопасности (ИБ) в Республике Казахстан, с положениями ведущих мировых стандартов по ИБ.
  • разъяснение значения ИБ для успешного осуществления деятельности предприятия,
  • пояснение основных этапов разработки и внедрения системы управления ИБ с целью аттестации имеющихся Информационных систем на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам, согласно Постановлению Правительства Республики Казахстан от 23 мая 2016 года № 298, с учетом Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных Постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832.

Аудитория:

  • специалисты и руководители подразделений IT, принимающие участие в процессе предоставления IT-сервисов, требуемых для их компаний.
  • администраторы систем и сетей, системные аналитики и проектировщики.
  • руководители любого уровня, взаимодействующие с руководителями IT, ИБ или планирующие такое взаимодействие.
  • руководители проекта по внедрению Системы управления информационной безопасностью (СУИБ), руководители структурных подразделений организации, специалисты подразделений, отвечающие за обеспечение информационной безопасности, сотрудники подразделений информационной безопасности и служб охраны, представители аналитических служб, риск-менеджеры.

Предварительная подготовка

  • общие сведения о технических, программных средствах и сетевой инфраструктуре.
  • знакомство со стандартом ИСО/МЭК 27000 «Системы менеджмента информационной безопасности. Общий обзор и терминология».

По окончании курса слушатели смогут:

  • определить область действия СУИБ, политику ИБ, план работ создания и внедрения СУИБ в своей организации, с учетом аттестации имеющихся ИС на соответствие их требованиям информационной безопасности.
  • определить механизмы и подходы по работе с актуальными рисками ИБ.
  • обосновывать выбор практических решений для требуемого уровня безопасности.
  • оценивать качество внешних аудитов по ИБ и обеспечить организацию внутренних аудитов.
  • разработать и совершенствовать планы непрерывности бизнеса.

 

Модуль 1. Основные понятия СУИБ

  • Информация, виды информации, информационная безопасность, способы защиты информации.
  • Объекты защиты (активы) и угрозы. Понятия активов, угроз, уязвимостей. Другие основные термины и определения ИБ.
  • Риски ИБ понятия, подходы, стратегии управления рисками и их обработки.
  • Типовые риски при обеспечении бесперебойной работы Информационных систем. Подходы к Управлению ИБ. Стандарты ИСО. Назначение стандартов ИСО 27000, 27001, ИСО 27002, 27005 и др.
  • Механизм взаимодействия и применения стандартов. Структура. Термины. Определения.

Модуль 2. Построение и внедрение СУИБ

  • Поддержка при построении СУИБ со стороны руководства. Область действия СУИБ и Политика ИБ.
  • Определение Области действия СУИБ (границ СУИБ), на примерах обеспечения бесперебойной работы Информационных систем, Концепция и политика ИБ, методы и примеры их формирования.
  • Инвентаризация активов. Создание Реестра активов Организации, их оценка и ранжирование (На примерах обеспечения бесперебойной работы Информационных систем). Определение ценности активов.
  • Типовые уязвимости защиты активов в организациях, аттестующих на ИБ ИС. Оценка угроз, возможного ущерба. Критерии оценки.
  • Анализ и оценка рисков.
  • Способы борьбы с рисками, снижение вероятностей из реализации, способы снижения ущерба при реализации рисков.
  • Выбор стратегий и рекомендации Стандартов. Обоснование необходимости принятия документов:
    • Положение о работе с активами. Инструкция по обеспечению сохранности коммерческой и служебной тайны. Правила работы в местах общего доступа
    • Правила приема, внутреннего распорядка и увольнения работников. Порядок доступа в офис.
    • План непрерывности бизнеса.
    • Правила проведения внутреннего аудита. Политика защиты прав интеллектуальной собственности. Правила управления несоответствиями. Правила анализа СУИБ со стороны руководства.
    • Положение по модификации ИС и другие, их роль в построении СУИБ. Остаточные риски.
  • Завершение внедрения СУИБ.
  • Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.

Модуль 3. Функционирование СУИБ и улучшение защиты активов

  • Рабочая документация СУИБ, исполнение созданных процедур. Структура документации. Проверка исполнения документации СУИБ аудиторами уполномоченной организации. Проверка на уязвимость программно-аппаратных средств защиты информации сканерами безопасности.
  • Подготовка к аттестации ИС.
  • Сертификация СУИБ. Этапы сертификационного процесса, сроки и ориентировочный бюджет.
  • Аудит информационной безопасности, обработка инцидентов ИБ, Планы непрерывности бизнеса.
  • Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита.
  • Ведение записей. Формулирование несоответствий.
  • Отличия СТ РК ISO/IEC 27001-2015от СТ РК ИСО/МЭК 27001-2008. Сравнительный анализ. «Экзамен».
  • Оценка уровня усвоения слушателями материалов курса.