Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вы здесь: Главная / Обучение / Авторские учебные курсы / IS002 - Мастер-класс "Управление рисками ИБ в соответствии с требованиями ISO 27001"

IS002 - Мастер-класс "Управление рисками информационной безопасности в соответствии с требованиями международного стандарта ISO 27001"

Мастер-класс посвящен изучению методологии управления рисками информационной безопасности, базирующейся на международных стандартах ISO 27001 и ISO 27005. Значительное внимание уделяется качественным и количественным методам оценки риска, вопросам разработки и внедрения системы управления информационными рисками, как основы для создания системы менеджмента организации.

Общее описание

Основной целью мастер-класса является получение слушателями практических навыков оценки и обработки информационных рисков на основе методологии управления рисками GlobalTrust, которая сформировалась на протяжении ряда последних лет в ходе выполнения проектов по аудиту, оценке рисков, внедрению и сертификации систем управления информационной безопасностью (СУИБ) по требованиям ISO 27001 в российских организациях. Источниками разработки методологии GlobalTrust Solutions послужили международные стандарты ISO 27001 и ISO 27005, а также популярные методы оценки рисков OCTAVE, CRAMM, RA2 и vsRisk.

В ходе мастер-класса теоретические сведения чередуются с практическими упражнениями, которые слушатели выполняют самостоятельно под руководством преподавателя. Всего слушателям предстоит выполнить 10 упражнений, по одному на каждую стадию процесса оценки и обработки рисков информационной безопасности.

Целевая аудитория

Этот мастер-класс предназначен для тех, кто:

  • отвечает за оценку и управление рисками в организации;
  • участвует в планировании и проведении аудитов информационной безопасности;
  • осуществляет планирование мероприятий по информационной безопасности и расставляет приоритеты;
  • формирует и обосновывает бюджет на информационную безопасность;
  • оценивает экономическую эффективность и целесообразность реализации защитных мероприятий;
  • внедряет системы управления информационной безопасностью и/или готовится к сертификации по ISO 27001.

а также для тех, кто:

  • желает взять под контроль риски информационной безопасности во всех сферах деятельности, которыми занимается;
  • желает расширить и углубить свое понимание сущности процессов обеспечения информационной безопасности;
  • желает перейти от общих рассуждений о связи бизнеса и безопасности к реальным действиям;
  • желает взглянуть на безопасность со стороны бизнеса.

Сведения о преподавателе

Александр Астахов - генеральный директор GlobalTrust Solutions, основатель портала ISO27000.ru, эксперт по информационной безопасности, ведущий преподаватель BSI, сертифицированный аудитор (CISA), главный редактор русских переводов британских и международных стандартов по информационной безопасности и управлению непрерывностью бизнеса, автор книги "Искусство управления информационными рисками".

Необходимая подготовка

Данный мастер-класс предполагает практическое освоение довольно объемного и сложного материала в максимально сжатые сроки. Обсуждению чисто теоретических вопросов отводится достаточно мало времени. Поэтому от слушателей требуется определенный уровень подготовленности, а именно они должны:

  • иметь хорошую теоретическую и практическую подготовку, а также опыт работы в области информационной безопасности;
  • иметь базовые знания в области законодательства, нормативной базы и международных стандартов информационной безопасности;
  • иметь базовые знания и навыки управления процессами информационной безопасности в организации.

Программа мастер-класса

  1. Предпосылки для управления рисками
    • Глобальные информационные риски
    • Обилие стандартов, требований, средств и технологий защиты не уменьшает риски
    • Государственное регулирование только создает дополнительные риски
    • Оценка рисков как основа корпоративного управления
    • Основные преимущества риск-ориентированного подхода к управлению ИБ
    • Модели зрелости информационной безопасности
  2. Основные элементы управления рисками информационной безопасности
    • Стандарты управления рисками
    • Понятие бизнес-риска и категории бизнес-рисков
    • Упражнение 1. Выделение информационной составляющей бизнес-риска
    • Понятие риска информационной безопасности
    • Качественная и количественная оценка риска
    • Факторы (составные элементы) риска
    • Основные и вспомогательные активы организации
    • Выбор подхода к оценке риска
  3. Оценка рисков
    • Анализ рисков
    • Область и границы оценки рисов
    • Упражнение 2. Определение области и границ оценки рисков
    • Инвентаризация активов
    • Упражнение 3. Идентификация активов
    • Идентификация требований бизнеса и законодательства
    • Оценка ценности активов
    • Упражнение 4. Определение ценности активов
    • Анализ угроз и уязвимостей
    • Упражнение 5. Определение профиля и жизненного цикла угрозы
    • Упражнение 6. Оценка угроз и уязвимостей
    • Оценивание рисков
    • Определение величины рисков
    • Упражнение 7. Вычисление риска
    • Ранжирование рисков
    • Упражнение 8. Калибровка шкалы оценки риска
  4. Обработка рисков информационной безопасности
    • Процесс обработки рисков
    • Способы обработки рисков
    • Оценка возврата инвестиций
    • Принятие остаточных рисков
    • Декларация о применимости
    • План обработки рисков
    • Упражнение 9. Выбор механизмов контроля
    • Упражнение 10. Оценка возврата инвестиций в информационную безопасность
  5. Структура системы управления рисками информационной безопасности
    • Структура документации
    • Контекст управления рисками
    • Политика управления рисками
    • Процессы управления рисками
    • Коммуникация рисков
    • Ответственность за управление рисками
  6. Инструментальные средства для оценки и управления рисками
    • Выбор инструментария
    • Обзор инструментальных средств:
      • OCTAVE
      • CRAMM
      • RiskWatch
      • RA2
      • vsRisk
      • Callio Secura 17799

Раздаточный материал

Продолжительность

Продолжительность обучения - 2 дня. Занятия проходят в офисе GlobalTrust Solutions в Москва-Сити с 10:00 до 17:30 с перерывами на обед и кофе-брейки.

Стоимость

Стоимость участия в мастер-классе - 70 000 руб. (с документами) или 30 000 руб. (без документов). Стоимость обоих вариантов участия в мастер-классе (за 30 000 и за 70 000 руб.) включает в себя обучение, информационные материалы и питание. При выборе варианта за 70 000 руб. участнику также предоставляется расширенный комплект типовых документов для управления рисками информационной безопасности GTS 1057.

Регистрация

Зарегистрироваться на мастер-класс можно следующими способами: