Программа курса
Часть 1. ВВЕДЕНИЕ В УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
- информация, информационная безопасность и защита информации
Определение ИБ, виды информации, соотношение понятий ИБ и ЗИ
Виды классификаций активов, угроз, уязвимостей
- основные термины и определения ИБ
- риски ИБ и стратегии их обработки
Понятие, подходы и стратегии управления рисками. Факторы, определяющие риск
- комплексность и системность при управлении ИБ
Применение принципов комплексности и системности на практике
- процессный подход в управлении ИБ
«Семейство» стандартов ИСО по системам управления. Понятие процессного подхода. История его использования и тенденции
- назначение стандартов ИСО 27001 и ИСО 27002
Механизм взаимодействия и применения стандартов. Их структура. Термины и определения
Часть 2. Разработка и внедрение Системы Управления Информационной Безопасностью
- Поддержка со стороны высшего руководства
- Область действия СУИБ и Политика ИБ
Определение границ СУИБ. Концепция и политика ИБ, методы их формирования
Инвентаризация активов, их оценка и ранжирование. Факторы, влияющие на ценность активов
Выявление и оценка угроз, уязвимостей, возможного ущерба. Критерии оценки
- Выбор и обоснование средств обработки рисков
Выбор стратегий и средств управления рисками. Рекомендации Стандарта, документ «Положение о применимости». Остаточные риски
- Обязательные процессы управления ИБ
Основы построения СУИБ. Требования Стандарта
- Завершение внедрения СУИБ
Документация СУИБ. Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ
Часть 3. Сопровождение и улучшение СУИБ
Структура документации. Обязательные документы, их назначение
Цикл Деминга-Шухарта в применении к СУИБ
Этапы сертификационного процесса, сроки и ориентировочный бюджет
- Аудит информационной безопасности
Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита. Ведение записей. Формулирование несоответствий
- ISO 27001:2013. Что нового?
Сравнительный анализ казахстанского стандарта СТ РК ИСО/МЭК 27001:2008 и международного ISO/IEC 27001:2013
Оценка уровня усвоения слушателями материалов курса.