Аннотация
Курс ставит своими задачами: ознакомление слушателей с современным подходом к обеспечению информационной безопасности (ИБ) в Республике Казахстан, с положениями ведущих мировых стандартов по ИБ, разъяснение значения ИБ для успешного осуществления деятельности предприятия, пояснение основных этапов разработки и внедрения системы управления ИБ с целью аттестации имеющихся Информационных систем на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам, с учетом Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных Постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832.
Аудитория:
· Специалисты и руководители подразделений IT, принимающие участие в процессе предоставления IT-сервисов, требуемых для их компаний.
· Администраторы систем и сетей, системные аналитики и проектировщики.
· Руководители любого уровня, взаимодействующие с руководителями IT, ИБ или планирующие такое взаимодействие.
· Руководители проекта по внедрению Системы управления информационной безопасностью (СУИБ), руководители структурных подразделений организации, специалисты подразделений, отвечающие за обеспечение информационной безопасности, сотрудники подразделений информационной безопасности и служб охраны, представители аналитических служб, риск-менеджеры.
Предварительная подготовка
Общие сведения о технических, программных средствах и сетевой инфраструктуре. Знакомство со стандартом ИСО/МЭК 27000 «Системы менеджмента информационной безопасности. Общий обзор и терминология».
По окончании курса слушатели смогут:
· Определить область действия СУИБ, политику ИБ, План работ создания и внедрения СУИБ в своей Организации, с учетом аттестации имеющихся ИС на соответствие их требованиям информационной безопасности.
· Определить механизмы и подходы по работе с актуальными рисками ИБ. Обосновывать выбор практических решений для требуемого уровня безопасности.
· Оценивать качество внешних аудитов по ИБ и обеспечить организацию внутренних аудитов.
· Разработать и совершенствовать планы непрерывности бизнеса.
Программа
1. Основные понятия СУИБ
· Информация, виды информации, информационная безопасность, способы защиты информации.
· Объекты защиты (активы) и угрозы. Понятия активов, угроз, уязвимостей. Другие основные термины и
определения ИБ
· Риски ИБ понятия, подходы , стратегии управления рисками и их обработки.
· Типовые риски при обеспечении бесперебойной работы Информационных систем. Подходы к
Управлению ИБ. Стандарты ИСО. Назначение стандартов ИСО 27000, 27001, ИСО 27002, 27005 и
другие.
· Механизм взаимодействия и применения стандартов. Структура. Термины. Определения.
2. Построение и внедрение СУИБ
· Поддержка при построении СУИБ со стороны руководства. Область действия СУИБ и Политика ИБ.
· Определение Области действия СУИБ (границ СУИБ), на примерах обеспечения бесперебойной
работы Информационных систем, Концепция и политика ИБ, методы и примеры их формирования.
· Инвентаризация активов. Создание Реестра активов Организации, их оценка и ранжирование (На
примерах обеспечения бесперебойной работы Информационных систем). Определение ценности
активов.
· Типовые уязвимости защиты активов в организациях, аттестующих на ИБ ИС. Оценка угроз,
возможного ущерба. Критерии оценки.
· Анализ и оценка рисков.
· Способы борьбы с рисками, снижение вероятностей из реализации, способы снижения ущерба при
реализации рисков.
· Выбор стратегий и рекомендации Стандартов. Обоснование необходимости принятия документов:
- Положение о работе с активами. Инструкция по обеспечению сохранности коммерческой и
служебной тайны. Правила работы в местах общего доступа.
- Правила приема, внутреннего распорядка и увольнения работников. Порядок доступа в офис.
План непрерывности бизнеса.
- Правила проведения внутреннего аудита. Политика защиты прав интеллектуальной
собственности. Правила управления несоответствиями. Правила анализа СУИБ со стороны
руководства.
- Положение по модификации ИС и другие, их роль в построении СУИБ. Остаточные риски.
· Завершение внедрения СУИБ.
· Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.
3. Функционирование СУИБ и улучшение защиты активов
· Рабочая документация СУИБ, исполнение созданных процедур. Структура документации. Проверка
исполнения документации СУИБ аудиторами уполномоченной организации. Проверка на уязвимость
программно-аппаратных средств защиты информации сканерами безопасности.
Подготовка к Испытаниям ИС.
· Сертификация СУИБ. Этапы сертификационного процесса, сроки и ориентировочный бюджет.
· Аудит информационной безопасности, обработка инцидентов ИБ, Планы непрерывности бизнеса.
· Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита.
Ведение записей. Формулирование несоответствий.
Оценка уровня усвоения слушателями материалов курса.
Дополнительно
Каждый слушатель получает на руки презентации всего курса в печатном виде. В случае успешного завершения обучения слушателям выдаются фирменные сертификаты.