липень 2021 / проведення по запиту
|Київ
Information Security Awareness


Час та місце
липень 2021 / проведення по запиту
Київ, вулиця Радищева, 10/14, Київ, Україна, 02000
Про подію
Про курс:
У різних організаціях доступ до інформації мають до 99% працівників, при цьому більшість персоналу вважають, що захист цієї інформації – це відповідальність лише кількох фахівців відділу ІТ або інформаційної безпеки. Насправді кожен працівник організації є важливим елементом в системі захисту інформації, і він повинен розуміти існуючі загрози та ризики і бути готовим діяти у випадку потреби. Коли виникне небезпека, важливо, щоб працівники прийняли правильні рішення і вчинили правильні дії, що дозволять захистити інформацію.
Для кого:
- Управлінці та спеціалісти з різним професійним досвідом
- Курс не вимагає попередньої підготовки чи досвіду роботи у сфері ІТ.
Мова викладання:
Українська, російська
Даний курс допоможе:
- Отримати різнобічні знання, які вони зможуть використовувати у щоденній роботі, й тим самим підвищити рівень захищеності інформації своєї компанії, клієнтів та партнерів.
- Дізнатись, у чому полягає цінність інформації, які її особливості
- Зрозуміти, як потрібно управляти інформацією
- Побачити, які існують загрози та ризики
- Дізнатись, що потрібно робити у повсякденній роботі для захисту інформації
- Спробувати застосовувати отримані знання в практичних групових заняттях.
- Відпрацювати ситуації, що вже мали місце в інших організаціях (наприклад, сценарій із шифруванням даних на всіх комп’ютерах).
План курсу
ДЕНЬ 1:
1. Information and its properties
1. Types of information and its form
2. Confidentiality, Integrity, Availability
3. Value of information
4. Data ownership
5. IT custodians
6. Classification of information
2. Threat agents and sources of threat
1. State actors
2. Terrorists
3. Industrial spies and organized crime
4. Hacktivists
5. Hackers
6. Bot-network operators
7. Criminal groups
8. Intelligence
9. Insiders
10. Phishers
11. Spammers
12. Spyware/malware authors
13. Natural disasters
3. Threat types
1. Malware types
2. worms
3. logic bombs
4. trojan horses
5. RAT
6. Adware
7. Spyware
8. Rootkit
9. Spoofing
10. Network scanning
11. Password bruteforce
12. Shoulder surfing
13. Dumpster diving
14. Session hijacking
15. Denial of service attacks
16. Phishing
17. Vishing
18. Spam
19. Social engineering
20. Pretexting
21. Turn-style bypass/piggybackking
22. Baiting (malicious USB/CD dropping)
23. Water damage
24. Fire damage
25. Salami attack
26. Physical access token copying
4. Vulnerabilities
1. Design weaknesses
2. Implementation weaknesses
3. Operational weaknesses
4. Software vulnerabilities
5. Process vulnerabilities
6. Physical vulnerabilities
5. Risk and its mitigation
1. Probability of security event
2. Impact of security event
3. Risk qualitative value
4. Risk quantitative value
5. Valuation of intangible assets
6. Risk avoidance
7. Risk transfer
8. Risk acceptance
9. Risk mitigation options
10. Control environment
11. Administrative controls
12. Logical controls
13. Physical controls
6. Safety tips
1. Importance of human factor/enabler for strong information protection
2. Requirement for continuous protection activities
3. Password protection risks
4. How to use strong passwords
5. Strong authentication
6. Malicious links and drive-by-load attacks
7. Trojan horses
8. Malicious USB drives
9. Data interception
10. Public hot spot risks
11. Social engineering over the phone
12. Social engineering in face-to-face communications
13. Shoulder-surfing
14. Dumpster diving
15. Cleandesktop policy
16. Risks of highprivileged accounts
17. Phishing
18. Acceptable use policy
19. Kids safety
20. Mobile device safety
21. BYOD
22. Safety on travel
23. Hoax emails
24. Guest handling
25. Document metadata
26. Test data anonymization
27. Security in 3rdparty agreements
28. Segregation of duties
29. Whistblowing
7. Human controls
1. Culture and ethics
2. Knowledge and skills
3. Employee screening and background checks.
8. Security organization
1. Security committee
2. CISO
3. Incident response team
4. CERT
5. Software security group
6. SOC
7. Risks manager
8. Internal audit
9. Security processes
1. Access and identity management
2. Incident response process
3. Security in change management
4. Risks management process
5. Disaster recovery teams
10. Security infrastructure
1. Antimalware
2. Firewalls
3. PKI and CA
4. Patches
5. DLP
6. IDS/IPS
7. SIEM
8. Vulnerability management
9. MDM
10. Disposal of IT assets
11. Encryption for email, hard drive, HTTPS
11. Policies, procedures, standards and guidelines
1. Document owner and their responsibility
12. Business continuity
1. Business impact assessment
2. Risk scenarios
3. Maximum tolerable recovery time and data recovery point
4. Recovery strategies
5. Backup processing facilities (hot, warm, cold, mobile)
13. Control frameworks
1. ISO27001
2. Cobit 5
14. Regulations
1. Directive 95/46/EC
2. GDPR
3. Ukrainian low about personal data protection
4. Ukrainian legislation in the area of cyber-security, KSZI
5. Wassenaar Arrangement
6. Other (PCI-DSS, SOX, etc.)
ДЕНЬ 2:
- Case study: data classification
- Case study: risk management
- Case study: business continuity management
- Case study: incident response
- Case study: information exchange with artnering organization
- Case study: separation of duties and access management
- Case study: information security requirements for the IT system