Управление рисками безопасности информационных систем организаций

Управление рисками безопасности информационных систем организаций

Код курса КП44, 2 дня

Статус

Авторский курс Учебного центра “Информзащита”

Аннотация

Об эффективном риск-менеджменте сегодня говорят многие. Риск-менеджмент стал востребованным и используемым инструментом для принятия различных управленческих решений.

Перед руководителями и сотрудниками служб информационной безопасности (ИБ) зачастую стоит задача убедить менеджмент компании выделить средства на проекты, направленные на усиление защищенности организации. Но как убедить руководство в необходимости затрат, как говорить с ним на одном языке, как доказать оптимальность тех или иных вложений в ИБ?

Ответ один – необходимо владеть и умело использовать понятные управленцам инструменты формирования решений. Помочь справиться с этой задачей поможет данный курс, построенный на основе всестороннего анализа имеющихся международных и отечественных подходов и стандартов в области управления рисками, в том числе линейки ISO/IEC 27000 (ГОСТ Р ИСО/МЭК 27000), NIST 800-30, CobiT, ITIL, CRAMM, OCTAVE, CORAS и др., а также недавно вышедшего в свет стандарта ISO/IEC 27005:2011.

Курс «Управление рисками безопасности информационных систем организаций» поможет приобрести и систематизировать знания и навыки, необходимые для организации процессов управления рисками, лежащих в основе обеспечения информационной безопасности предприятия, в соответствии с требованиями "современного менеджмента".

Аудитория

• Руководители служб информационной безопасности и служб автоматизации
• Аналитики по вопросам информационной безопасности
• Специалисты по вопросам защиты информации
• Аудиторы информационных систем (внешние и внутренние)
• Сотрудники служб поддержки качества и внутреннего контроля

Предварительная подготовка

Общие представления об информационных системах, организационных и технических аспектах обеспечения ИБ компьютерных систем.

В результате обучения

Вы приобретете знания:

• место и роль управления рисками в общем комплексе работ по обеспечению ИБ;
• общие проблемы безопасности информационных систем;
• основные виды информационных рисков, их отличия от других видов рисков;
• методики анализа рисков, методы и средства управления информационными рисками;
• методы и средства защиты информации и контроля широко используемых информационных технологий;
• основные международные стандарты и рекомендации по управлению информационными рисками;
• используемые программные средства анализа и управления рисками.

Вы сможете:

• разрабатывать корпоративную методику анализа рисков;
• проводить классификацию критичных информационных ресурсов, анализ угроз и рисков автоматизированных систем;
• выбирать и разрабатывать меры защиты информации (контрмеры по снижению рисков) и оценивать их эффективность;
• разрабатывать предложения по совершенствованию политики безопасности компании;
• обоснованно выбирать программные средства автоматизации процессов управления рисками.

Пакет слушателя

• Фирменное учебное пособие.
• Нормативные, руководящие документы и стандарты, используемые при проведении аудита ИБ, демо-версии некоторых рассматриваемых в курсе инструментальных средств, дополнительная и справочная информация по тематике курса в электронном виде.

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра "Информзащита".

Обучение на данном курсе учитывается при получении в Учебном центре «Информзащита» документов установленного образца об обучении по дополнительным профессиональным программам в области информационной безопасности.

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Программа курса

Раздел 1. Управление рисками информационной безопасности организации

• Актуальность проблемы управления информационной безопасностью организации. Место и роль процессов по управлению рисками в общей системе обеспечения информационной безопасности и защиты информационных ресурсов.
• Методологические основы управления рисками. Понятия и определения в области управления рисками. Управление рисками в основных международных стандартах информационной безопасности. Модель процессов управления информационными рисками.
• Стратегии анализа информационных рисков организации. Сравнительные методики и основные подходы к анализу рисков ИБ. Инструментальные средства анализа рисков.
• Оценка рисков информационной безопасности. Менеджмент-решение. Активы ИС, риски, угрозы и уязвимости. Идентификация активов при анализе рисков ИС. Анализ угроз информационной безопасности организации. Анализ уязвимостей информационной инфраструктуры организации.
• Обработка рисков информационной безопасности. Практические примеры "из жизни" управления рисками информационной безопасности организации.
• Планирование деятельности по управлению рисками ИБ.

Раздел 2. Основные положения теории и практики управления информационной безопасностью, связанные с разработкой и обслуживанием информационных систем

• Роль управления информационными рисками в политике информационной безопасности организации. Управление инцидентами информационной безопасности в организации. Организационные вопросы обеспечения информационной безопасности. Порядок разработки, структура и содержание политик ИБ. Управление информационными рисками на различных стадиях жизненного цикла ИТ.
• Реализация концепции управления информационными рисками на практике. Проработка тестов по анализу и оценке угроз, уязвимостей и информационных рисков организаций. Примерный анализ и моделирование событий и инцидентов информационной безопасности в различных организациях.
• Программные средства, используемые для анализа и управления рисками. Обзор, анализ и сравнение современных программных продуктов по анализу рисков: COBRA, CRAMM, RiskWatch, Buddy System, RA Software Tool, IBM Tivoli Risk Manager, Экспертная система "Авангард". Проблемы внедрения в России. Практические примеры оценки рисков в ИТ и в бизнесе.

Последующее обучение

• КП45 “Методы и средства аудита информационной безопасности"
• КП46 “Подготовка к аудиту по требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard)"