Курс «Формализация и внедрение процессов управления информационной безопасностью»

Курс предназначен для менеджеров и аналитиков информационной безопасности, специалистов, ответственных за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам информационной безопасности.
В рамках курса будут рассмотрены:

  • основные структуры для формализации и внедрения систем менеджмента информационной безопасности, такие как: ISO/IEC 27001, COBIT 5 for Information Security и ITIL.
  • вопросы формализации и внедрения процесса управления информационной безопасностью, от основ процессного подхода в управлении информационной безопасностью до разработки и внедрения процессов с высокой степенью детализации и документирования,
  • теоретические вопросы и практические аспекты разработки и внедрения системы менеджмента информационной безопасности (СМИБ) в соответствии со стандартом ISO/IEC 27001.

В ходе практических занятий слушатели:

  • пройдут все этапы проекта по внедрению системы менеджмента от инициации проекта до внедрения конкретных технических и программных средств (рассмотрение технических и программных средств выходит за рамки курса, но при необходимости слушатели получат консультации по данному вопросу),
  • рассмотрят практические примеры удовлетворения требований 4-8 стандарта ISO/IEC 27001.
  • на основании предложенных шаблонов, разберут вопросы разработки таких обязательных документов СМИБ, политика менеджмента информационной безопасности, процедуры управления документацией, записями, внутреннего аудита и др.).

Слушатели пройдут практические шаги формализации и внедрения следующих подпроцессов управления информационной безопасностью (в плоть до разработки конкретных метрик):

  • управление программой аудита информационной безопасности (в соответствии со стандартами ISO/IEC 27001, ISO/IEC 27007)
  • Управление техническим соответствием (в соответствии со стандартом ISO/IEC 27002)
  • Управление уязвимостями (в соответствии с NIST. Special Publication 800-40. Creating a Patch and Vulnerability Management Program)

В рамках курса слушатели разберут практические аспекты разработки профилей защиты и заданий по безопасности в соответствии со стандартами СТБ ISO/IEC 34.101.1-3 (ISO/IEC 15408.1-3), а также документации необходимой для прохождения аттестации в соответствии с «Положением о порядке аттестации систем защиты информации» утвержденным постановлением Совета Министров Республики Беларусь 26.05.2009 N 675 (инструкция по обеспечению защиты информации, инструкция о порядке применения средств защиты информации и др.)
Методические материалы:

  • Комплекты шаблонных документов:
    • «Внутренний аудит СМИБ»,
    • «Управление уязвимостями»,
    • «Информационная безопасность. Программа, политики, процедуры, руководства, инструкции».
  • Копии стандартов ISO 2700x серии и других структур построения систем управления информационной безопасностью.

 

ПРОГРАММА КУРСА:
1. Структуры и стандарты построения систем информационной безопасности на основании процессного подхода

  • Основы процессного подхода в области информационной безопасности
  • Стандарты и структуры построения систем информационной безопасности:
    • ISO/IEC 27001.
    • ISO/IEC 27002.
    • ISO/IEC 27003.
    • ISO/IEC 27005.
    • ISO/IEC 27007.
    • COBIT 5 for Information Security.
    • ITIL
  • Техническое писательство в области информационной безопасности. Терминология в области информационной безопасности
  • Документирование систем менеджмента информационной безопасности (структура и меж-документные зависимости)
  • Разработка документации системы менеджмента информационной безопасности (ISO 27001): политики, процедуры, инструкции, руководства, стандарты.
  • Документы систем защиты информации (ISO 15408-1 — ISO 15408-3, СТБ 34.101.1-3): профиль защиты, задание по безопасности.

2. Формализация и внедрение процесса управления уязвимостями (практическое занятие)

  • Стандарты, руководства, и лучшие практики, связанные с управлением уязвимостями
  • Описание процесса
  • Разработка политики управления уязвимостями
  • Разработка процедур процесса управления уязвимостями
  • Разработка инструкций процесса управления уязвимостями
  • Автоматизация процесса управления уязвимостями

3. Формализация и внедрение процесса/функции аудита информационной безопасности (практическое занятие)

  • Стандарты, руководства, и лучшие практики, связанные с аудитом информационной безопасности
  • Описание процесса
  • Разработка политики аудита
  • Разработка процедур программы аудита
  • Разработка шаблонов записей по программе аудита
  • Автоматизация процесса аудита.

4. Формализация и внедрение функции/процесса управления техническим соответствием информационных систем (практическое занятие)

  • Стандарты, руководства, и лучшие практики, связанные контролем технического соответствия
  • Общая структура функции управления техническим соответствием информационных систем
  • Разработка политики контроля технического соответствия информационных систем
  • Разработка процедуры контроля технического соответствия
  • Разработка стандартов конфигурирования оборудования и систем.
  • Автоматизация функции управления техническим соответствием информационных систем.

2 комментария

  1. Добрый день. Планируется ли проведение данного курса повторно?

    • Вячеслав Аксёнов

      Курс будет читаться по мере комплектования группы. Заявку на участие вы можете отправить на education@belsoft.by. Если интересуют именно процессы, 02.02.2015 будет проводиться хороший тренинг связанный с внедрением процессов управления ИБ. Перечень и расписание курсов можно посмотреть здесь. В перечне перечислены не все курсы. Так что если интересуют другие темы. также пишите на education@belsoft.by.