Продолжительность курса — 5 дней
Данный курс имеет целью ознакомление слушателей с современными взглядами и подходами к управлению рисками информационной безопасности (ИБ), раскрытие значения рисков для успешного обеспечения информационной безопасности предприятия, пояснение основных этапов разработки и внедрения системы управления рисками ИБ, ознакомление с основными положениями ведущих мировых стандартов по ИБ.
Данный Курс был разработан в 2008 году на основе международного стандарта ИСО/МЭК 27005 «Управление рисками информационной безопасностью» по заказу АО ДБ «Сбербанк России» и предназначен для продолжения обучения после курсов «Управление информационной безопасностью. Организация, подходы, принципы» и «Система управления информационной безопасностью. ИСО/МЭК 27001».
По окончании курса слушатели смогут:
Курс предназначен для руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, сотрудников подразделений информационной безопасности и служб охраны, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.
Курс рассчитан на слушателей, имеющих практический опыт, как в вопросах комплексных систем ИБ, так и специализирующихся в какой-либо отдельной области обеспечения ИБ.
Знание слушателями основ современных информационных технологий желательно, но не обязательно.
Обучение по настоящему курсу рекомендуется проходить после курсов «Управление информационной безопасностью. Организация, подходы, принципы» или «Система Управления Информационной безопасностью. ИСО/МЭК 27001».
Содержание курса
Основные информационные угрозы и атаки, уязвимости систем безопасности и условия для их возникновения. Термины и определения.
Идентификация и аутентификация, разграничение доступа, регистрация и аудит, контроль целостности, криптографические механизмы обеспечения конфиденциальности, целостности и аутентичности информации, контроль содержимого, обнаружение и противодействие атакам, анализ защищенности и др.
Принцип комплексности и системности в контексте обеспечения ИБ, его обоснование и отражение в ведущих международных стандартах по информационной безопасности. Организационные, правовые и программно-технические механизмы безопасности, их согласованное применение и критерии выбора.
Понятие информационных рисков, остаточного и приемлемого рисков. Факторы, влияющие на изменение рисков. Основы управления информационными рисками. Понятие количественной и качественной оценки рисков, существующие программные реализации различных методов оценки рисков.
Понятие процесса управления рисками управления ИБ. Основные его стадии.
Анализ и оценка рисков. Идентификация и ранжирование активов, угроз, уязвимостей, возможного ущерба. Практическое вычисление уровня рисков.
Выбор стратегии управления рисками ИБ. Обоснование необходимых мер безопасности.
Процедуры по обмену информацией о рисках между должностными лицами и заинтересованными сторонами.
Построение системы контроля рисков, влияющих на них факторов и критериев их оценки.