|
Данный учебный курс включает в себя серию из нескольких 1-2 часовых семинаров, предназначенных для повышения осведомленности членов управляющего комитета организации по информационной безопасности. Такие комитеты, в которых представлены все ключевые подразделения, создаются в организациях, внедряющих системы управления информационной безопасностью в соответствии с требованиями международных стандартов, а также в организациях, стремящихся обеспечить надлежащий уровень стратегического руководства и координацию действий, направленных на обеспечение информационной безопасности, между различными подразделениями.
Продолжительность курса - 1 день Стоимость одного семинара - 1800 у.е. Необходимая подготовка - не требуется Общее описание. Основные функции управляющего комитета по информационной безопасностиОбеспечение информационной безопасности организации невозможно без надлежащей поддержки со стороны руководства. Международный стандарт ISO 27002:2005 определяет, что руководство должно активно поддерживать безопасность в организации путем четкого управления, демонстрируемой приверженности, явного назначения и подтверждения ответственности за информационную безопасность (ISO/IEC 27002:2005 п. 6.1.1 Приверженность руководства информационной безопасности). Для этого руководству организации следует: - убедиться в том, что цели информационной безопасности определены, отвечают требованиям организации и интегрированы в значимые процессы;
- определить, пересматривать и утверждать политику информационной безопасности;
- предоставить четкие указания и видимую поддержку инициатив в области информационной безопасности;
- выделить ресурсы, необходимые для обеспечения информационной безопасности;
- утвердить назначение индивидуальных ролей и ответственности за обеспечение информационной безопасности;
- инициировать выполнение планов и программ по поддержанию осведомленности в вопросах информационной безопасности;
- убедиться в том, что внедрение механизмов контроля информационной безопасности, координируется по всей организации.
Руководство также должно определить потребности во внешних и внутренних консультациях по вопросам информационной безопасности, а также анализировать и координировать результаты таких консультаций по всей организации. Координация информационной безопасности включает в себя взаимодействие между руководителями подразделений, пользователями и администраторами информационных систем, разработчиками и проектировщиками приложений, аудиторами и персоналом службы безопасности, а также специалистов в области страхования, законодательства, управления персоналом и управления рисками (ISO 27002:2005 п. 6.1.2 Координация информационной безопасности). Обеспечение приверженности руководства, стратегического управления и координации информационной безопасности - задачи, решаемые Управляющим комитетом по информационной безопасности. Программу повышения осведомленности в области информационной безопасности следует строить от Управляющего комитета, постепенно распространяя ее на всех сотрудников компании. Программа курсаСеминар № 1. Основы информационной безопасности, информационные угрозы и методы защиты (продолжительность - 4 часа)- Информационные активы и информационная безопасность организации
- Виды информационных активов и их важность для бизнеса
- Реестр информационных активов
- Понятие информационной безопасности
- Классическая триада информационной безопасности и ее расширения
- Классификация угроз информационной безопасности
- Внешние угрозы информационной безопасности, киберпреступность и кибертерроризм
- Внутренние угрозы информационной безопасности
- Правовые угрозы
- Средства и методы обеспечения информационной безопасности
- Предотвращение утечки конфиденциальной информации
- Защита информационных систем от НСД и внешних угроз
- Защита от инсайдеров
- Обеспечение доступности информационных активов и непрерывности бизнеса
- Ошибки, совершаемые руководителями, пользователями и ИТ специалистами
- 7 ошибок высшего руководства
- 5 ошибок и 10 отговорок рядовых пользователей
- 11 ошибок ИТ специалистов
Семинар № 2. Система управления информационной безопасностью организации (продолжительность - 4 часа)- Международные стандарты в области управления информационной безопасностью
- ISO 27001 - спецификация СУИБ
- ISO 27002 - свод практических правил
- ISO 27005 - управление рисками
- Система управления ИБ как часть системы управления организацией
- Понятие СУИБ
- Процессная модель СУИБ
- Организационная структура СУИБ
- Структура документации СУИБ
- Управление информационными рисками
- Понятие информационного риска
- Количественное и качественное определение величины (уровня) риска
- Цели управления рисками
- Три необходимые составляющие системы управления информационными рисками
- Организационная структура управления информационной безопасностью
- Организация управления ИБ
- Задачи Высшего руководства
- Роль и функции Управляющего комитета по ИБ
- Роль и функции Службы ИБ
- Ответственность руководителей структурных подразделений
- Внедрение и сертификация СУИБ
- Этапы внедрения и сертификации СУИБ
- Декларация о применимости механизмов контроля
- Необходимые условия для внедрения СУИБ
- Преимущества сертификации по ISO 27001
- Процедура сертификации СУИБ
|
14-15 июня состоится мастер-класс «Внедрение и сертификация СУИБ в соответствии с требованиями международного стандарта ISO 27001»
