Введен в действие ГОСТ ISO 19011-2013 «Руководящие указания по аудиту систем менеджмента».

В Республике Беларусь с 01.03.2014 введен в действие ГОСТ ISO 19011-2013 «Руководящие указания по аудиту систем менеджмента».

Данный стандарт пришел на замену СТБ ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента». и учитывает теперь особенности аудита в том числе и систем менеджмента информационной безопасности на соответствие стандарту ISO 27001. 

В ГОСТ ISO 19011-2013 содержатся также пояснения в отношении специальных знаний и навыков аудиторов в области менеджмента информационной безопасности. Примеры знаний и навыков аудитора СМИБ:

  • руководящие указания стандартов серии ISO 2700x;
  • законы, правила, касающиеся информационной безопасности;
  • оценку рисков, угроз и уязвимых мест;
  • управление рисками в области ИБ;
  • и др. (см. стандарт)

Практическое применение стандарта ГОСТ ISO 19011-2013 для внедрения программы аудита информационной безопасности рассматривается в рамках курса «Менеджер по информационной безопасности«.

Также в ходе курса  вы сможете:

  • подробно изучить требования данного и других стандартов в области информационной безопасности;
  • приобрести навыки создания системы менеджмента информационной безопасностью организации с применением процессного подхода;
  • изучить основные идеи, принципы, модели и методы практического решения задач разработки и внедрения программ и методик анализа и управления информационными рисками.

В курсе рассматриваются практические аспекты управления непрерывностью бизнеса и программой аудита информационной безопасности.

В курсе будут рассмотрены следующие стандарты:

  • СТБ ISO/IEC 27000-2012 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Основные положения и словарь».
  • СТБ ISO/IEC 27001-2011 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
  • СТБ ISO/IEC 27002-2012 «Информационные технологии. Методы обеспечения безопасности. Кодекс практики для менеджмента информационной безопасности».
  • СТБ ISO/IEC 27005-2012 «Информационные технологии. Методы обеспечения безопасности. Менеджмент рисков информационной безопасности».
  • ISO 22301-2012 «Безопасность социальная. Системы менеджмента непрерывности бизнеса. Требования».
  • ISO/IEC 27003 «Information technology — Security techniques — Information security management system — implementation guidance».
  • ISO/IEC 27004 «Information technology — Security techniques — Information security management — Measurement».
  • ISO/IEC 27003-2010 «Information technology. Security techniques. Information security management system implementation guidance».
  • ISO/IEC 27004-2009 «Information technology. Security techniques. Information security management. Measurement».
  • ISO/IEC 27007-2011 «Information technology — Security techniques — Guidelines for information security management systems auditing.
  • NIST. Special Publication 800-40. «Creating a Patch and Vulnerability Management Program»
  • и др.

Для специалистов, связанных с обеспечением информационной безопасности в банковской сфере, будет рассмотрены вопросы применения:

  • Payment Card Industry. Data Security Standard. Requirements and Security Assessment Procedures.
  • CТБ П 2289-2012 «Платежные карты. Безопасность данных. Требования и процедуры аудита безопасности».
  • СТБ 34.101.41-2013 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Общие положения»
  • СТБ 34.101.42-2013 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Аудит информационной безопасности»
  • СТБ 34.101.61-2013 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Методика оценки рисков нарушения информационной безопасности»
  • СТБ 34.101.62-2013 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТБ 34.101.41
  • СТБ 34.101.68-2013 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Методика оценки соответствия информационной безопасности банков Республики Беларусь требованиям СТБ 34.101.41».
  • ТКП 477-2013 «Банковская деятельность. Информационные технологии. Процессы обеспечения непрерывной работы и восстановления работоспособности участника платежных систем. Общие требования».
  • ТКП 287-2010 (07040) «Банковские технологии Внутренний контроль и аудит информационных систем».