Курс IS02 Система управления информационной безопасностью ИСО/МЭК 27001

Курс «Система управления информационной безопасностью» (СУИБ) имеет целью ознакомление слушателей с современным подходом к обеспечению информационной безопасности (ИБ), раскрытие значения ИБ для успешного осуществления деятельности предприятия, пояснение основных этапов разработки и внедрения системы управления ИБ, ознакомление с основными положениями ведущих мировых стандартов по ИБ.

В настоящее время данный курс ориентирован на актуальную международную версию стандарта: ИСО/МЭК 27001:2022.

Стандарт ИСО/МЭК 27001 является обобщением мирового опыта в организации управления информационной безопасностью и определяет общую организацию, направления планирования, использование оценки риска, оценки эффективности, контроля улучшений и т.д. в контексте информационной безопасности.

Настоящий курс позволяет руководителям и специалистам, прошедшим обучение, качественно подготовить СУИБ к прохождению сертификации в соответствии с требованиями международного стандарта ИСО/МЭК 27001.

По окончании курса слушатели смогут:

Сформировать план разработки и внедрения СУИБ у себя на предприятии
Определить механизмы и подходы к управлению актуальных рисков ИБ
Обоснованно подходить к выбору механизмов контроля требуемого уровня безопасности
Оценить качество выполнения работ внутренними и внешними аудиторами ИБ

Часть 1. ВВЕДЕНИЕ В УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Информация, информационная безопасность и защита информации
Определение ИБ, виды информации, соотношение понятий ИБ и ЗИ
Объекты защиты и угрозы
Виды классификаций активов, угроз, уязвимостей
Основные термины и определения ИБ
Риски ИБ и стратегии их обработки
Понятие, подходы и стратегии управления рисками. Факторы, определяющие риски
Комплексность и системность при управлении ИБ
Применение принципов комплексности и системности на практике.
Процессный подход в управлении ИБ
«Семейство» стандартов ИСО по системам управления. Понятие процессного подхода. История его использования и тенденции.
Назначение стандартов ИСО 27001 и ИСО 27002
Механизм взаимодействия и применения стандартов. Структура. Термины. Определения.

Часть 2. РАЗРАБОТКА И ВНЕДРЕНИЕ СУИБ

Поддержка со стороны высшего руководства
Область действия СУИБ и Политика ИБ
Определение границ СУИБ. Концепция и политика ИБ, методы их формирования.
Инвентаризация активов
Инвентаризация активов, их оценка и ранжирование. Факторы, влияющие на ценность активов
Анализ и оценка рисков
Выявление и оценка угроз, уязвимостей, возможного ущерба. Критерии оценки.
Выбор и обоснование средств обработки рисков
Выбор стратегий и средств управления рисками. Рекомендации Стандарта, документ «Положение о применимости». Остаточные риски.
Обязательные процессы управления ИБ
Основы построения СУИБ. Требования Стандарта.
Завершение внедрения СУИБ
Документация СУИБ. Матрица применимости. Записи СУИБ. Механизмы анализа и пересмотра СУИБ.

Часть 3. СОПРОВОЖДЕНИЕ И УЛУЧШЕНИЕ СУИБ

Документация СУИБ
Структура документации. Обязательные документы, их назначение.
Жизненный цикл PDCA
Цикл Деминга-Шухарта в применении к СУИБ
Сертификация СУИБ
Этапы сертификационного процесса, сроки и ориентировочный бюджет.
Аудит информационной безопасности
Планирование аудита. Подготовка аудитора. Документы. Сбор свидетельств. Техника аудита. Ведение записей. Формулирование несоответствий.
ISO 27001:2022. Что нового?
«Экзамен» Оценка уровня усвоения слушателями материалов курса.

Курс предназначен для руководителей проектов по внедрению СУИБ, руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, сотрудников подразделений информационной безопасности и служб охраны, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита.

IS02 Система управления информационной безопасностью ИСО/МЭК 27001

Modal title