Впровадження СУІБ відповідно до стандарту ДСТУ ISO / IEC 27001, 27002

Про програму 

Керівники служб безпеки організацій, а також рядові співробітники, які займаються впровадженням, підтримкою і вдосконаленням систем інформаційної безпеки на підприємстві, повинні розуміти, що саме, як і навіщо вони мають захищати. Як це впливає на безпеку критичної інформації, розвиток всього бізнесу, та які можуть бути наслідки, якщо стандарти безпеки порушено. 

Ця навчальна програма допоможе:

• Впорядкувати знання про те, які елементи системи інформаційної безпеки потрібно впроваджувати і як робити це без помилок.
• Доповнити існуючі знання і скласти їх в органічну систему, зручну для використання в довгостроковому плануванні та щоденній роботі.
• Навчитися впроваджувати комплексну систему управління інформаційною безпекою на підприємстві.
• Обговорити практичні кейси, і проаналізувати можливі помилки та нюанси, які можуть відігравати вирішальну роль.
• Будувати і розвивати стосунки з професіоналами, які щодня захищають ІТ-системи різних підприємств від нових загроз, обмінюватися інформацією про нові загрози і методи боротьби з ними.

Для кого:

• керівники підрозділів безпеки на підприємствах
• співробітники підрозділів безпеки, які займаються впровадженням, підтримкою і вдосконаленням систем інформаційної безпеки
• аудитори інформаційної безпеки

Тривалість курсу: 2 дні

Програма:

1. Особливості стандарту ДСТУ ISO / IEC 27001, 27002

2. Що таке інформаційна безпека?

     • Цілі і вимоги ІБ

     • Необхідні умови впровадження СУІБ

     • Використання ризикового підходу при плануванні ІБ

3. Сфера застосування СУІБ

4. Оцінка і обробка ризиків

5. Нормативна документація СУІБ

     • Порядок розробки і впровадження нормативної документації

     • Адміністративні документи СУІБ

     • Політики ІБ

     • Бізнес-процеси і їх опис

     • Інструкції і технологічні карти, процедури, методики

     • Протоколи інформаційних систем, аудиторські сліди

6. Організація ІБ

     • Внутрішня організація ІБ

     • Мобільне обладнання та відділена робота

7.  Безпека людських ресурсів (до, під час і після закінчення роботи)

8.  Управління ресурсами СУІБ

     • Відповідальність за ресурси СУІБ

     • Класифікація, маркування і правила обробки інформації

     • Поводження з носіями

9.  Контроль доступу

     • Бізнес-вимоги до контролю доступу

     • Управління правами доступу користувача

     • Відповідальність користувача

     • Контроль доступу до систем та прикладних програм

10. Криптографія

     • Криптографічні засоби захисту

11. Фізична безпека та безпека інфраструктури

     • Безпека приміщень, зони безпеки

     • Безпека обладнання

12. Безпека експлуатації

     • Процедури експлуатації та відповідальності

     • Захист від зловмисного коду

     • Резервне копіювання

     • Ведення журналів аудиту та моніторинг

     • Контроль програмного забезпечення, що перебуває в експлуатації

     • Управління технічною вразливістю

     • Розгляд аудиту інформаційних систем

13. Безпека комунікацій

     • Управління безпекою мережі

     • Обмін інформацією

14. Придбання, розробка та підтримка інформаційних систем

     • Вимоги щодо безпеки для інформаційних систем

     • Безпека в процесах розробки та підтримки

     • Дані для тестування систем

15. Взаємовідносини з постачальниками

     • Інформаційна безпека у взаємовідносинах з постачальниками

     • Управління наданням послуг постачальником

16. Управління інцидентами ІБ

     • Управління інцидентами інформаційної безпеки та вдосконаленням

17. Аспекти інформаційної безпеки управління безперервністю бізнесу

     • Безперервність інформаційної безпеки

     • Резервне обладнання

18. Відповідність

     • Відповідність правовим та контрактним вимогам

     • Перевірки інформаційної безпеки

     • Відповідність вимогам стандартів безпеки

19. Відповіді на питання

Тренер: Руслан Соловйов, експерт з кібербезпеки. 

Ключові компетенції: розробка, впровадження, управління та аудит систем і процесів забезпечення інформаційної безпеки підприємств на базі вимог стандартів ISO 27000 та PCIDSS v2.0. Використання методології COBIT при проведенні аудитів інформаційної безпеки. Впровадження та адміністрування антивірусних, DLP, SIEM систем. Організація роботи та управління діяльністю інформаційно-технічної служби підприємства. Аналіз бізнес-процесів підприємства та розробка програмно-апаратних комплексів для їх оптимізації.