Продолжительность курса — 5 дней
Курс «Система управления информационной безопасностью» (СУИБ) имеет целью ознакомление слушателей с современным подходом к обеспечению информационной безопасности (ИБ), раскрытие значения ИБ для успешного осуществления деятельности предприятия, пояснение основных этапов разработки и внедрения системы управления ИБ, ознакомление с основными положениями ведущих мировых стандартов по ИБ.
Данный Курс был разработан в 2008 году на основе принятого в Казахстане в том же году международного стандарта ИСО/МЭК 27001 «Системы управления информационной безопасностью. Требования».
Стандарт ИСО/МЭК 27001 является обобщением мирового опыта в организации управления информационной безопасностью и определяет общую организацию, направления планирования, использование оценки риска, оценки эффективности, контроля улучшений и т.д. в контексте информационной безопасности.
Настоящий курс позволяет руководителям и специалистам, прошедшим обучение, качественно подготовить СУИБ к прохождению сертификации в соответствии с требованиями международного стандарта ИСО/МЭК 27001.
По окончании настоящего курса слушатели смогут:
Курс предназначен для руководителей проектов по внедрению СУИБ, руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, сотрудников подразделений информационной безопасности и служб охраны, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.
Начальный курс «Управление информационной безопасностью. Организация, подходы, принципы».
Опыт работы в подразделениях информационных технологий или информационной безопасности.
Занятия курса проводятся в форме лекций-семинаров. При разборе практических примеров используются приемы тренинга. Для практических занятий отводится 80% учебного времени.
Контроль усвоения слушателями материала курса проводится с помощью финального тестирования.
Содержание курса
Определение ИБ, виды информации, соотношение понятий ИБ и ЗИ
Виды классификаций активов, угроз, уязвимостей
Понятие, подходы и стратегии управления рисками. Факторы, определяющие риск
Применение принципов комплексности и системности на практике.
«Семейство» стандартов ИСО по системам управления. Понятие процессного подхода. История его использования и тенденции.
Механизм взаимодействия и применения стандартов. Их структура. Термины и определения.
Определение границ СУИБ. Концепция и политика ИБ, методы их формирования.
Инвентаризация активов, их оценка и ранжирование. Факторы, влияющие на ценность активов
Выявление и оценка угроз, уязвимостей, возможного ущерба. Критерии оценки.
Выбор стратегий и средств управления рисками. Рекомендации Стандарта, документ «Положение о применимости». Остаточные риски.
Основы построения СУИБ. Требования Стандарта.
Документация СУИБ. Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.
Структура документации. Обязательные документы, их назначение.
Цикл Деминга-Шухарта в применении к СУИБ
Этапы сертификационного процесса, сроки и ориентировочный бюджет.
Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита. Ведение записей. Формулирование несоответствий.
Сравнительный анализ казахстанского стандарта СТ РК ИСО/МЭК 27001:2008 и международного ISO/IEC 27001:2013
Оценка уровня усвоения слушателями материалов курса.