Управление информационной безопасностью Организация, подходы, принципы, риски

secur1

Продолжительность курса — 5 дней

Описание курса

Аннотация

Основными задачами курса «Управление информационной безопасностью. Организация, подходы, принципы, риски » являются:

  • ознакомление слушателей с современными взглядами и подходами к обеспечению информационной безопасности (ИБ), освоение ими понятийного аппарата ИБ
  • определение бизнес-роли и места ИБ в современной организации;
  • пояснение основных этапов процесса управления рисками ИБ;
  • ознакомление с основными положениями ведущих международных стандартов в области ИБ;
  • определение критериев оценки эффективности обеспечения ИБ в организации.

Аудитория

Курс предназначен для руководителей различного уровня в компании: от начальников структурных подразделений до топ-менеджеров. Вопросы рисков ИБ в курсе рассматриваются в практических аспектах для руководителей и риск-аналитиков.

Кроме того, курс позиционируется в качестве базового для дальнейшего обучения специалистов в области ИБ. аналитических служб и групп внутреннего аудита.

Предварительная подготовка

Курс рассчитан в первую очередь на слушателей, имеющих опыт руководящей работы или планируемых в качестве будущих руководителей структурных подразделений, в первую очередь, в подразделениях аналитики, бизнес-планирования, оценки рисков.

Знание слушателями основ современных информационных технологий желательно, но не обязательно.

Форма проведения

Занятия курса проводятся в форме лекций-семинаров. При разборе практических примеров используются приемы тренинга.

Результаты курса

По окончании настоящего курса слушатели смогут:

  • Ориентироваться
  • в проблемах информационной безопасности
  • в современных технологиях обеспечения ИБ
  • в применяемых в мире нормах и стандартах в области ИБ
  • Определять приоритетные направления деятельности по обеспечению ИБ у себя в подразделении и/или компании
  • Обоснованно подходить к выбору необходимых средств управления ИБ
  • Планировать деятельность по реализации норм и требований ИБ
  • Оценивать деятельность внутренних и привлеченных внешних специалистов в области ИБ
  • Выявлять актуальные угрозы, имеющиеся уязвимости и определять приоритетные направления деятельности по нейтрализации рисков у себя в компании

Дополнительно

Каждый слушатель получает на руки материалы курса в распечатанном виде.

В случае успешного завершения обучения слушателям выдаются соответствующие сертификаты.

Основные темы курса

Часть 1 «Основы» Задачи:

  • Систематизация знаний в области ИБ
  • Овладение понятийным аппаратом
  • Введение в предмет «Информационная безопасность»

Основы информационной безопасности, основные информационные угрозы и атаки, уязвимости систем безопасности и условия для их возникновения, особенности преступной деятельности в области ИТ.

  • Основные механизмы и средства защиты ресурсов информационных систем

Идентификация и аутентификация, разграничение доступа, регистрация и аудит, контроль целостности, криптографические механизмы обеспечения конфиденциальности, целостности и аутентичности информации, контроль содержимого, обнаружение и противодействие атакам, анализ защищенности и др.

 

Часть 2 «Реализация». Задачи

  • Суть комплексного подхода к обеспечению ИБ
  • Методы его практической реализации
  • Комплексный подход к обеспечению информационной безопасности

Принцип комплексности и системности в контексте обеспечения ИБ, его обоснование и отражение в ведущих международных стандартах по информационной безопасности. Организационные, правовые и программно-технические механизмы безопасности, их согласованное применение и критерии выбора.

  • Международный стандарт по информационной безопасности /ISO27002

Структура, значение и область применения стандарта. История его возникновения и краткое содержание.

  • Система управления информационной безопасностью (СУИБ)

Понятие Системы управления информационной безопасностью. Модель СУИБ, описанная в стандарте ISO27001. Структура и функционирование СУИБ, основные этапы ее внедрения.

  • Введение в процесс управления рисками ИБ

Понятие информационных рисков, остаточного и  приемлемого рисков. Факторы, влияющие на изменение рисков. Основы управления информационными рисками. Понятие количественной и качественной оценки рисков, существующие программные реализации различных методов оценки рисков.

Понятие процесса управления рисками управления ИБ. Основные его стадии.

 

  • Аудит информационной безопасности

Понятие, цели  и значение аудита ИБ. Нормы и правила проведения проверок и оценок ИБ. Критерии оценки деятельности аудиторов.

 

Часть 3 «Акценты». Задачи

  • Определение уровня рисков ИБ

Анализ и оценка рисков. Идентификация и ранжирование активов, угроз, уязвимостей, возможного ущерба. Практическое вычисление уровня рисков.

  • Обработка рисков ИБ

Выбор стратегии управления рисками ИБ. Обоснование необходимых мер безопасности.

  • Защита от внутренних нарушителей безопасности информационной системы

Актуальность и анализ проблемы нарушений требований информационной  безопасности авторизованными пользователями информационной системы. Направления и принципы борьбы с подобными нарушениями.

  • Нормативно-правовое обеспечение ИБ

Значение законодательного уровня обеспечения ИБ, основные зарубежные документы в этой области, анализ соответствующего казахстанского законодательства.

 

Опционные темы (по пожеланию Заказчика)

  • Аттестация ГИС РК в соответствии с постановление правительства РК №2280 от 30.12.09
  • Концепция информационной безопасности РК

Экономическое обоснование проектов ИБ

Управление информационной безопасностью Организация, подходы, принципы, риски
Информационная безопасность,