Управление рисками безопасности информационных систем организаций
Код курса
КП44
Продолжительность
16 ак. часов (2 дня)
Вендор
Учебный центр «Информзащита»
Стоимость
27 000 ₽
Форма обучения
Очно
Онлайн-трансляция
Тип программы
Теоретический курс
Ближайшая дата
14 - 15 ноября 2024
Управление рисками безопасности информационных систем организаций
Код курса КП44, 2 дня
Статус
Авторский курс Учебного центра “Информзащита”
Аннотация
Об эффективном риск-менеджменте сегодня говорят многие. Риск-менеджмент стал востребованным и используемым инструментом для принятия различных управленческих решений.
Перед руководителями и сотрудниками служб информационной безопасности (ИБ) зачастую стоит задача убедить менеджмент компании выделить средства на проекты, направленные на усиление защищенности организации. Но как убедить руководство в необходимости затрат, как говорить с ним на одном языке, как доказать оптимальность тех или иных вложений в ИБ?
Ответ один – необходимо владеть и умело использовать понятные управленцам инструменты формирования решений. Помочь справиться с этой задачей поможет данный курс, построенный на основе всестороннего анализа имеющихся международных и отечественных подходов и стандартов в области управления рисками, в том числе линейки ISO/IEC 27000 (ГОСТ Р ИСО/МЭК 27000), NIST 800-30, CobiT, ITIL, CRAMM, OCTAVE, CORAS и др., а также недавно вышедшего в свет стандарта ISO/IEC 27005:2011.
Курс «Управление рисками безопасности информационных систем организаций» поможет приобрести и систематизировать знания и навыки, необходимые для организации процессов управления рисками, лежащих в основе обеспечения информационной безопасности предприятия, в соответствии с требованиями "современного менеджмента".
Аудитория
- Руководители служб информационной безопасности и служб автоматизации
- Аналитики по вопросам информационной безопасности
- Специалисты по вопросам защиты информации
- Аудиторы информационных систем (внешние и внутренние)
- Сотрудники служб поддержки качества и внутреннего контроля
Предварительная подготовка
Общие представления об информационных системах, организационных и технических аспектах обеспечения ИБ компьютерных систем.
В результате обучения
Вы приобретете знания:
- место и роль управления рисками в общем комплексе работ по обеспечению ИБ;
- общие проблемы безопасности информационных систем;
- основные виды информационных рисков, их отличия от других видов рисков;
- методики анализа рисков, методы и средства управления информационными рисками;
- методы и средства защиты информации и контроля широко используемых информационных технологий;
- основные международные стандарты и рекомендации по управлению информационными рисками;
- используемые программные средства анализа и управления рисками.
Вы сможете:
- разрабатывать корпоративную методику анализа рисков;
- проводить классификацию критичных информационных ресурсов, анализ угроз и рисков автоматизированных систем;
- выбирать и разрабатывать меры защиты информации (контрмеры по снижению рисков) и оценивать их эффективность;
- разрабатывать предложения по совершенствованию политики безопасности компании;
- обоснованно выбирать программные средства автоматизации процессов управления рисками.
Пакет слушателя
- Фирменное учебное пособие.
- Нормативные, руководящие документы и стандарты, используемые при проведении аудита ИБ, демо-версии некоторых рассматриваемых в курсе инструментальных средств, дополнительная и справочная информация по тематике курса в электронном виде.
Дополнительно
После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра "Информзащита".
Обучение на данном курсе учитывается при получении в Учебном центре «Информзащита» документов установленного образца об обучении по дополнительным профессиональным программам в области информационной безопасности.
Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.
Программа курса
Раздел 1. Управление рисками информационной безопасности организации
- Актуальность проблемы управления информационной безопасностью организации. Место и роль процессов по управлению рисками в общей системе обеспечения информационной безопасности и защиты информационных ресурсов.
- Методологические основы управления рисками. Понятия и определения в области управления рисками. Управление рисками в основных международных стандартах информационной безопасности. Модель процессов управления информационными рисками.
- Стратегии анализа информационных рисков организации. Сравнительные методики и основные подходы к анализу рисков ИБ. Инструментальные средства анализа рисков.
- Оценка рисков информационной безопасности. Менеджмент-решение. Активы ИС, риски, угрозы и уязвимости. Идентификация активов при анализе рисков ИС. Анализ угроз информационной безопасности организации. Анализ уязвимостей информационной инфраструктуры организации.
- Обработка рисков информационной безопасности. Практические примеры "из жизни" управления рисками информационной безопасности организации.
- Планирование деятельности по управлению рисками ИБ.
Раздел 2. Основные положения теории и практики управления информационной безопасностью, связанные с разработкой и обслуживанием информационных систем
- Роль управления информационными рисками в политике информационной безопасности организации. Управление инцидентами информационной безопасности в организации. Организационные вопросы обеспечения информационной безопасности. Порядок разработки, структура и содержание политик ИБ. Управление информационными рисками на различных стадиях жизненного цикла ИТ.
- Реализация концепции управления информационными рисками на практике. Проработка тестов по анализу и оценке угроз, уязвимостей и информационных рисков организаций. Примерный анализ и моделирование событий и инцидентов информационной безопасности в различных организациях.
- Программные средства, используемые для анализа и управления рисками. Обзор, анализ и сравнение современных программных продуктов по анализу рисков: COBRA, CRAMM, RiskWatch, Buddy System, RA Software Tool, IBM Tivoli Risk Manager, Экспертная система "Авангард". Проблемы внедрения в России. Практические примеры оценки рисков в ИТ и в бизнесе.