Управление рисками безопасности информационных систем организаций (видеокурс)

Управление рисками безопасности информационных систем организаций

Код курса КП44-В, 2 дня

Форма обучения

Видеокурс

Статус

Авторский видеокурс Учебного центра “Информзащита”

Аннотация

Актуальность курса заключается в том, что управление рисками при использовании информационных и телекоммуникационных систем в настоящее время становится одним из важнейших факторов обеспечения стабильной работы любой организации (предприятия). Основной целью управления рисками информационных и телекоммуникационных систем является минимизация их отрицательного влияния на результаты деятельности организации.

Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности (ИБ) бизнеса. Основной вопрос современного бизнеса - как оценить необходимый уровень вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ – применять системы анализа рисков, позволяющие оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ). Создание (совершенствование) эффективной системы защиты информации в организации невозможно без решения задач анализа и оценки рисков.

Курс разработан на основе анализа отечественных и зарубежных подходов к анализу рисков, в том числе в стандартах линейки ISO/IEC 27000 (ГОСТЫ Р ИСО/МЭК 27001: 2021, ИСО/МЭК 27005:2010), NIST 800-30, CRAMM, OCTAVE, CORAS и др.

Цель курса: сформировать у слушателей знания и навыки, необходимые им для организации процессов управления рисками, лежащих в основе обеспечения информационной безопасности предприятий.

Задачи курса: освоение слушателями основ разработки политик информационной безопасности и выбора практических мероприятий по управлению безопасностью и непрерывностью бизнеса организации на основе анализа рисков.

Аудитория

• Руководители служб информационной безопасности и служб автоматизации
• Аналитики по вопросам информационной безопасности
• Специалисты по вопросам защиты информации
• Аудиторы информационных систем (внешние и внутренние)
• Сотрудники служб поддержки качества и внутреннего контроля

Предварительная подготовка

Общие представления об информационных системах, организационных и технических аспектах обеспечения ИБ компьютерных систем.

В результате обучения

Вы приобретете знания:

• о месте и роли анализа управления рисками в общем комплексе работ по обеспечению ИБ;
• об общих проблемах безопасности информационных систем;
• об основных видах информационных рисков, их отличиях от других видов рисков;
• о методиках анализа рисков, методах и средствах управления информационными рисками;
• о методах и средствах защиты информации и контроля широко используемых информационных технологий;
• об основных международных стандартах и рекомендациях по управлению информационными рисками;
• о программных средствах анализа и управления рисками.

Вы сможете:

• разрабатывать корпоративную методику анализа рисков;
• проводить классификацию критичных информационных ресурсов, анализ угроз и рисков автоматизированных систем;
• выбирать и разрабатывать меры защиты информации (контрмеры по снижению рисков) и оценивать их эффективность;
• разрабатывать предложения по совершенствованию политики безопасности компании;
• обоснованно выбирать программные средства автоматизации процессов управления рисками.

Пакет слушателя

• Подробная презентация курса в формате PDF.
• Пакет типовых организационно-распорядительных и основных нормативных правовых актов, на основе которых ведется обучение, дополнительную и справочную информацию по тематике курса.

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра "Информзащита".

Обучение на данном курсе учитывается при получении в Учебном центре «Информзащита» документов установленного образца об обучении по дополнительным профессиональным программам в области информационной безопасности.

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Программа курса

Раздел 1. Управление рисками информационной безопасности организации

• Актуальность проблемы управления информационной безопасностью организации. Место и роль управления рисками в общей системе управления информационной безопасностью и защитой информации. Управление рисками – пример.
• Методологические основы управления рисками. Понятия и определения в области управления рисками. Понятие риска в стандарте ЦБ. Управление рисками в основных международных стандартах информационной безопасности. Национальные стандарты. Методические рекомендации для построения и внедрения системы управления информационной безопасностью. Примеры из жизни: управление рисками информационной безопасности.
• Модель процессов управления информационными рисками. Общее содержание процесса оценки рисков. Принятие решений по обработке и управлению рисками. Непрерывные действия по управлению рисками. Координация различных процессов, связанных с рисками.
• Стратегии анализа информационных рисков организации. Сравнительные методики и основные подходы к анализу рисков ИБ.
• Оценка рисков информационной безопасности. Менеджмент-решение. Активы ИС, риски, угрозы и уязвимости. Идентификация активов при анализе рисков ИС. Анализ угроз информационной безопасности организации. Анализ уязвимостей информационной инфраструктуры организации..
• Обработка рисков информационной безопасности.
• Планирование деятельности по управлению рисками ИБ.

Раздел 2. Основные положения теории и практики управления информационной безопасностью, связанные с разработкой и обслуживанием информационных систем

• Роль управления информационными рисками в политике информационной безопасности организации. Управление инцидентами информационной безопасности в организации. Организационные вопросы обеспечения информационной безопасности. Порядок разработки, структура и содержание политик ИБ. Управление информационными рисками на различных стадиях жизненного цикла ИТ.
• Реализация концепции управления информационными рисками на практике. Проработка тестов по анализу и оценке угроз, уязвимостей и информационных рисков организаций. Примерный анализ и моделирование событий и инцидентов информационной безопасности в различных организациях.
• Примеры анализа рисков на основе практической разработки методики слушателями в собственном бизнесе.

Последующее обучение

• КП45 “Методы и средства аудита информационной безопасности"
• КП46 “Подготовка к аудиту по требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard)"