Мастер-класс "Управление рисками информационной безопасности в соответствии с требованиями международного стандарта ISO 27001"

Продолжительность мастер-класса – 2 дня

Стоимость мастер-класса - 70000 руб.

В стоимость мастер-класса включена лицензия на использование расширенного комплекта типовых документов для управления рисками информационной безопасности GTS 1057.

Сведения о преподавателе

Александр Астахов - генеральный директор GlobalTrust, основатель портала ISO27000.ru, эксперт по информационной безопасности, ведущий преподаватель BSI, сертифицированный аудитор (CISA).

Целевая аудитория

Этот мастер-класс предназначен для тех, кто:

• отвечает за оценку и управление рисками в организации
• участвует в планировании и проведении аудитов информационной безопасности
• осуществляет планирование мероприятий по информационной безопасности и расставляет приоритеты
• формирует и обосновывает бюджет на информационную безопасность
• оценивает экономическую эффективность и целесообразность реализации защитных мероприятий
• внедряет системы управления информационной безопасностью и/или готовится к сертификации по ISO 27001

а также для тех, кто:

• желает взять под контроль риски информационной безопасности во всех сферах деятельности, которыми занимается
• желает расширить и углубить свое понимание сущности процессов обеспечения информационной безопасности
• желает перейти от общих рассуждений о связи бизнеса и безопасности к реальным действиям
• желает взглянуть на безопасность со стороны бизнеса

Общее описание

Основной целью данного мастер-класса является получение слушателями практических навыков оценки и обработки информационных рисков на основе методологии управления рисками GlobalTrust, которая сформировалась на протяжении ряда последних лет в ходе выполнения проектов по аудиту, оценке рисков, внедрению и сертификации систем управления информационной безопасностью (СУИБ) по требованиям ISO 27001 в российских организациях. Источниками разработки методологии GlobalTrust послужили международные стандарты ISO 27001 и ISO 27005, а также популярные методы оценки рисков OCTAVE, CRAMM, RA2 и vsRisk.

В ходе мастер-класса теоретические сведения чередуются с практическими упражнениями, которые слушатели выполняют самостоятельно под руководством преподавателя. Всего слушателям предстоит выполнить 10 упражнений, по одному на каждую стадию процесса оценки и обработки рисков информационной безопасности.

Стоимость участия в мастер-классе включает в себя обучение, информационные материалы, питание, лицензию на расширенный комплект типовых документов для управления рисками информационной безопасности GTS 1057. Занятия проходят в офисе GlobalTrust в Москва-Сити с 10:00 до 17:30 с перерывами на обед и  кофе-брейки.

Необходимая подготовка

Данный мастер-класс предполагает практическое освоение довольно объемного и сложного материала в максимально сжатые сроки. Обсуждению чисто теоретических вопросов отводится достаточно мало времени. Поэтому от слушателей требуется определенный уровень подготовленности, а именно они должны:

• Иметь хорошую теоретическую и практическую подготовку, а также опыт работы в области информационной безопасности;
• Иметь базовые знания в области законодательства, нормативной базы и международных стандартов информационной безопасности;
• Иметь базовые знания и навыки управления процессами информационной безопасности в организации.

Раздаточный материал

• Расширенный комплект документов для управления рисками информационной безопасности GTS 1057 на CD-ROM
• Материалы мастер-класса, включая демонстрационные версии программного обеспечения для оценки рисков информационной безопасности на CD-ROM
• Сертификат о прохождении мастер-класса установленного образца

Программа курса

1. Предпосылки для управления рисками
   • Глобальные информационные риски
   • Обилие стандартов, требований, средств и технологий защиты не уменьшает риски
   • Государственное регулирование только создает дополнительные риски
   • Оценка рисков как основа корпоративного управления
   • Основные преимущества риск-ориентированного подхода к управлению ИБ
   • Модели зрелости информационной безопасности
2. Основные элементы управления рисками информационной безопасности
   • Стандарты управления рисками
   • Понятие бизнес-риска и категории бизнес-рисков
   • Упражнение 1. Выделение информационной составляющей бизнес-риска
   • Понятие риска информационной безопасности
   • Качественная и количественная оценка риска
   • Факторы (составные элементы) риска
   • Основные и вспомогательные активы организации
   • Выбор подхода к оценке риска
3. Оценка рисков
   • Анализ рисков
     • Область и границы оценки рисов
     • Упражнение 2. Определение области и границ оценки рисков
     • Инвентаризация активов
     • Упражнение 3. Идентификация активов
     • Идентификация требований бизнеса и законодательства
     • Оценка ценности активов
     • Упражнение 4. Определение ценности активов
     • Анализ угроз и уязвимостей
     • Упражнение 5. Определение профиля и жизненного цикла угрозы
     • Упражнение 6. Оценка угроз и уязвимостей
   • Оценивание рисков
     • Определение величины рисков
     • Упражнение 7. Вычисление риска
     • Ранжирование рисков
     • Упражнение 8. Калибровка шкалы оценки риска
4. Обработка рисков информационной безопасности
   • Процесс обработки рисков
   • Способы обработки рисков
   • Оценка возврата инвестиций
   • Принятие остаточных рисков
   • Декларация о применимости
   • План обработки рисков
   • Упражнение 9. Выбор механизмов контроля
   • Упражнение 10. Оценка возврата инвестиций в информационную безопасность
5. Структура системы управления рисками информационной безопасности
   • Структура документации
   • Контекст управления рисками
   • Политика управления рисками
   • Процессы управления рисками
   • Коммуникация рисков
   • Ответственность за управление рисками
6. Инструментальные средства для оценки и управления рисками
   • Выбор инструментария
   • Обзор инструментальных средств
     • OCTAVE
     • CRAMM
     • RiskWatch
     • RA2
     • vsRisk
     • Callio Secura 17799