Курс Оцінка і управління ризиками інформаційної безпеки в організації в Мінську
В курсі розглядаються:
- основні підходи до менеджменту ризику в організації та методи оцінки ризику відповідно до ISO 31000: 2009 та ISO / IEC 31010: 2009 року;
- вимоги щодо оцінки ризику в вітчизняних та міжнародних стандартах в області Оцінки та управління ризиками інформаційної безпеки: ISO / IEC 27001, ISO / IEC 20000-1, СТБ 34.101.41;
- методики оцінки ризиків інформаційної безпеки відповідно до ISO / IEC 27005, СТБ 34.101.61-2013;
- підхід до оцінки ризиків інформаційної безпеки при використанні технологій «хмарних обчислень».
Кожному слухачеві будуть надані навчально-методичні матеріали, що дозволяють реалізувати процес управління ризиками інформаційної безпеки в своїй організації.
Цільова аудиторія
Курс призначений для керівників і фахівців підрозділів відповідальних за забезпечення інформаційної безпеки в організації, аудит і контроль забезпечення інформаційної безпеки, що займаються оцінкою інформаційних ризиків та їх управлінням.
Тренери курсу
В'ячеслав Аксьонов, IT Security Architect.
Досвід роботи в сфері інформаційної безпеки понад 13 років, в якості спеціаліста, інженера, аудитора, менеджера, керівника проекту, архітектора і консультанта. Викладач авторських курсів з інформаційної безпеки.
Освіта: радіоінженер-педагог + магістратура та аспірантура за направленням інформаційна безпека.
Досвід успішно реалізованих проектів в сферах:
- проектування, створення і атестація систем захисту інформації відповідно до вимог законодавства;
- розробка, впровадження та оцінка відповідності систем (управління) інформаційної безпеки відповідно до вимог вітчизняних і міжнародних стандартів в області ІБ;
- обстеження і оцінка захищеності інформаційних систем;
- аудит інформаційної безпеки.
ПРОГРАМА КУРСУ
1. Управління ризиками інформаційної безпеки.
1.1. Менеджмент ризиків в організації. Цілі і завдання управління ризиками відповідно до ISO 31000: 2009. Методи оцінки ризику відповідно до ISO / IEC 31010: 2009.
1.2. Оцінка ризиків інформаційної безпеки в системах менеджменту. Системи менеджменту інформаційної безпеки (ISO / IEC 27001: 2013). Системи управління послугами (ISO / IEC 20000-1: 2011).
1.3. Оцінка і управління IT-ризиками в банку. Система управління ризиками в сфері банківських інформаційних технологій. Управління IT-ризиками в процедурах внутрішнього контролю та аудиту інформаційних систем банків. Оцінка ризиків порушення інформаційної безпеки (СТБ 34.101.41-2013).
1.4. Методики оцінки ризиків інформаційної безпеки. Оцінка ризиків порушення інформаційної безпеки банків відповідно до СТБ 34.101.61-2013. Управління ризиками інформаційної безпеки відповідно до ISO / IEC 27005: 2011. Оцінка ризиків інформаційної безпеки в інформаційних системах у відповідності з СТБ 34.101.70-2016.
1.5. Оцінка ризиків інформаційної безпеки при використанні технологій «хмарних обчислень».
2. Практикум проведення оцінки ризиків інформаційної безпеки.
2.1. Практичні аспекти впровадження процесу управління ризиками інформаційної безпеки.
2.2. Ідентифікація активів і оцінка цінності активів. Розробка реєстру інформаційних активів.
2.3. Ідентифікація джерел загроз і вразливостей. Опис джерел загроз. Опис сценаріїв загроз. Опис можливих вразливостей реалізації загроз.
2.4. Визначення рівня ризику. Визначення можливості виникнення загрози. Визначення ймовірності реалізації сценарію. Визначення значень можливих збитків. Визначення значень рівнів ризиків. Розробка каталогу загроз і вразливостей.
2.5. Оформлення звіту за результатами оцінки ризиків.
2.6. Розробка плану обробки ризиків і положення про можливість застосування засобів управління ІБ (SoA).
Група
- від 6 до 14 осіб
Документи про закінчення курсу
- Сертифікат Навчального центру Softline про закінчення курсу і довідка про навчання встановленого зразка:
