Система управления информационной безопасностью

Курс «ИСО/МЭК 27001-2008. Построение Системы управления информационной безопасностью для аттестации Информационных систем» ставит своими задачами: ознакомление слушателей с современным подходом к обеспечению информационной безопасности (ИБ) в Республике Казахстан, с положениями ведущих мировых стандартов по ИБ, разъяснение значения ИБ для успешного осуществления деятельности предприятия, пояснение основных этапов разработки и внедрения системы управления ИБ с целью аттестации имеющихся Информационных систем на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам, согласно Постановлению Правительства Республики Казахстан от 30 декабря 2009 года № 2280

Производитель:

Продолжительность курса: 5 дней (40 академ. часов)

Аудитория:
Специалисты и руководители подразделений IT, принимающие участие в процессе предоставления IT-сервисов, требуемых для их компаний.
Администраторы систем и сетей, системные аналитики и проектировщики.
Руководители любого уровня, взаимодействующие с руководителями IT, ИБ или планирующие такое взаимодействие.
Руководители проекта по внедрению Системы управления информационной безопасностью (СУИБ), руководители структурных подразделений организации, специалисты подразделений, отвечающие за обеспечение информационной безопасности, сотрудники подразделений информационной безопасности и служб охраны, представители аналитических служб, риск-менеджеры.

Предварительная подготовка
Общие сведения о технических, программных средствах и сетевой инфраструктуре. Знакомство со стандартом ИСО/МЭК 27000 «Системы менеджмента информационной безопасности. Общий обзор и терминология».
По окончании курса слушатели смогут:
Определить область действия СУИБ, политику ИБ, План работ создания и внедрения СУИБ в своей Организации, с учетом аттестации имеющихся ИС на соответствие их требованиям информационной безопасности.
Определить механизмы и подходы по работе с актуальными рисками ИБ. Обосновывать выбор практических решений для требуемого уровня безопасности.
Оценивать качество внешних аудитов по ИБ и обеспечить организацию внутренних аудитов.
Разработать и совершенствовать планы непрерывности бизнеса.

КРАТКОЕ СОДЕРЖАНИЕ
Основные понятия СУИБ
Информация, виды информации, информационная безопасность, способы защиты информации.
Объекты защиты (активы) и угрозы. Понятия активов, угроз, уязвимостей. Другие основные термины и определения ИБ
Риски ИБ понятия, подходы , стратегии управления рисками и их обработки.
Типовые риски при обеспечении бесперебойной работы Информационных систем Подходы к Управлению ИБ Стандарты ИСО . Назначение стандартов ИСО 27000, 27001, ИСО 27002, 27005 и другие.
Механизм взаимодействия и применения стандартов. Структура. Термины. Определения.
Построение и внедрение СУИБ
Поддержка при построении СУИБ со стороны руководства. Область действия СУИБ и Политика ИБ.
Определение Области действия СУИБ (границ СУИБ), на примерах обеспечения бесперебойной работы Информационных систем, Концепция и политика ИБ, методы и примеры их формирования.
Инвентаризация активов. Создание Реестра активов Организации, их оценка и ранжирование (На примерах обеспечения бесперебойной работы Информационных систем). Определение ценности активов.
Типовые уязвимости защиты активов в организациях, аттестующих на ИБ ИС. Оценка угроз, возможного ущерба. Критерии оценки.
Анализ и оценка рисков.
Способы борьбы с рисками, снижение вероятностей из реализации, способы снижения ущерба при реализации рисков. Выбор стратегий и рекомендации Стандартов. Обоснование необходимости принятия документов:
Положение о работе с активами Инструкция по обеспечению сохранности коммерческой и служебной тайны Правила работы в местах общего доступа
Правила приема, внутреннего распорядка и увольнения работников Порядок доступа в офис План непрерывности бизнеса
Правила проведения внутреннего аудита Политика защиты прав интеллектуальной собственности Правила управления несоответствиями Правила анализа СУИБ со стороны руководства
Положение по модификации ИС и другие, их роль в построении СУИБ. Остаточные риски.
Завершение внедрения СУИБ.
Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.
Функционирование СУИБ и улучшение защиты активов
Рабочая документация СУИБ, исполнение созданных процедур. Структура документации. Проверка исполнения документации СУИБ аудиторами уполномоченной организации. Проверка на уязвимость программно-аппаратных средств защиты информации сканерами безопасности . Подготовка к аттестации ИС.
Сертификация СУИБ. Этапы сертификационного процесса, сроки и ориентировочный бюджет.
Аудит информационной безопасности, обработка инцидентов ИБ, Планы непрерывности бизнеса.
Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита. Ведение записей. Формулирование несоответствий.
Отличия ИСО МЭК 27001-2008 от ISO 27001:2013. Сравнительный анализ «Экзамен» Оценка уровня усвоения слушателями материалов курса.
Дополнительно
Каждый слушатель получает на руки презентации всех курса в печатном виде. В случае успешного завершения обучения слушателям выдаются фирменные сертификаты.

КЛИЕНТЫ КОМПАНИИ

Asia
Аеропорт
Волковгеология
AirAstana
Метрополитен
Astel
Министерство
НацБанк
сбер
 Monamie
ЦеснаГарант