Основы системы управления информационной безопасности (СУИБ) в соответствии со стандартом ISO 27001:2017
Курс призначений для менеджерів ІТ і співробітників Інформаційної Безпеки для отримання уявлення кращих практик в моделюванні та управлінні процесів управління інформаційної безпеки, і формуванні і контролі за реалізацією політик Інформаційної безпеки.
o В курсі узагальнено та систематизовано багаторічний досвід фахівців Навчального центру з розробки систем забезпечення інформаційної безпеки, аналітичних обстежень найбільших комп'ютерних мереж України.
o Особлива увага приділяється технології забезпечення інформаційної безпеки, раціональному розподілу функцій і організації ефективної взаємодії з питань захисту інформації всіх підрозділів і співробітників, які використовують і забезпечують функціонування автоматизованих систем. Детально розглядаються питання розробки нормативно-методичних і організаційно-розпорядчих документів з урахуванням вимог українського законодавства і міжнародних стандартів, необхідних для реалізації розглянутої технології.
До слухачів будуть доведені вимоги з безпеки з урахуванням міжнародних стандартів:
o ISO / IEC 27000: 2009 Визначення та основні принципи. Перша уніфікація зі стандартами COBIT і ITIL.
o ISO / IEC 27001: 2005 Інформаційні технології. Методи забезпечення безпеки. Системи управління інформаційною безпекою. Вимоги. (Раніше BS 7799-2: 2005)
o ISO / IEC 27002: 2005 Інформаційні технології. Методи забезпечення безпеки. Практичні правила управління інформаційною безпекою (раніше ISO / IEC 17799: 2005).
o ISO / IEC 27003: 2007 Інформаційні технології. Методи забезпечення безпеки. Керівництво по впровадженню системи управління інформаційною безпекою.
o ISO / IEC 27004: 2007 Інформаційні технології. Методи забезпечення безпеки. Вимірювання ефективності системи управління інформаційною безпекою.
o ISO / IEC 27005: 2007 Інформаційні технології. Методи забезпечення безпеки. Управління ризиками інформаційної безпеки (на основі BS 7799-3: 2006).
o ISO / IEC 27006: 2007 Інформаційні технології. Методи забезпечення безпеки. Вимоги до органів аудиту і сертифікації систем управління інформаційною безпекою.
o ISO / IEC 27007 Керівництво для аудитора СУІБ (Draft).
o ISO / IEC 27011: 2008 Керівництво з управління інформаційною безпекою для телекомунікацій.
o Стандарт безпеки даних індустрії платіжних карт (PCI DSS) v.2.0 (при необхідності)
o ISO / IEC 38500: 2008 Корпоративний менеджмент інформаційними технологіями;
o ДСТУ ISO / IEC TR 13335-1: 2003 Технології інформаційні. Рекомендації з управління безпекою інформаційних технологій. Частина 1. Концепції та моделі безпеки в ІТ;
o ДСТУ ISO / IEC TR 13335-2: 2003 Технології інформаційні. Рекомендації з управління безпекою інформаційних технологій. Частина 2. Управління і планування безпеки ІТ;
o ДСТУ ISO / IEC TR 13335-5: 2005 Технології інформаційні. Рекомендації з управління безпекою інформаційних технологій. Частина 5. Рекомендації з управління мережевою безпекою.
Модуль 1. Безпека інформаційних систем
• Основні поняття безпеки інформаційних технологій. Суб'єкти інформаційних відносин, їх інтереси і безпеку, шляхи нанесення їм шкоди. Основні терміни та визначення. Приватна власність, цілісність, доступність. Вимоги до інформаційної безпеки (ІБ). Система управління інформаційною безпекою (СУІБ). Концептуальна модель ІБ. Загальна структура кошти забезпечення ІБ. Види оброблюваної інформації. Об'єктно-орієнтований підхід до ІБ. Об'єкти, цілі та завдання захисту інформаційних систем.
• Загрози інформаційної безпеки. Класифікація. Основні джерела і шляхи реалізації загроз. Моделі порушників. Підходи до аналізу та управління ризиками, до категорування ресурсів і визначення вимог до рівня забезпечення інформаційної безпеки. Українські та міжнародні стандарти і критерії захищеності систем.
• Заходи забезпечення інформаційної безпеки. Типологія. Основні принципи побудови систем захисту. Принципи парирування загроз.
• Основні захисні механізми. Заходи щодо забезпечення ІБ.
• Основні помилки при побудові захищених інформаційних систем
Модуль 2. Правові основи забезпечення інформаційної безпеки
• Закони України та інші нормативно-правові документи, які регламентують відносини суб'єктів в інформаційній сфері та діяльність організацій по захисту інформації. Захист інформації обмеженого доступу, права і обов'язки суб'єктів. Ліцензування діяльності, сертифікація засобів захисту і атестація інформаційних систем. Вимоги керівних документів НБУ, ГССіЗІ і ДСТСЗІ СБУ. Питання законності застосування засобів криптографічного захисту інформації.
Модуль 3. Організація заходів та методів захисту
• Оцінка і обробка ризику, Процес оцінки ризиків. Процес обробки ризиків.
• Компоненти процесу. Встановлення стану. Процес оцінки ризику інформаційний безпеки. Аналіз ризику інформаційної безпеки. Оцінка ризику інформаційної безпеки. Обробка ризику інформаційної безпеки. Прийняття ризику інформаційної безпеки. Ризик інформаційної безпеки системи зв'язку. Ризик інформаційної безпеки моніторингу та перегляду. Підходи щодо оцінки ризиків інформаційної безпеки.
• Політика безпеки.
• Організація інформаційної безпеки. Внутрішня організація. Забезпечення безпеки при наявності доступу до інформаційних систем сторонніх організацій
• Управління активами. Відповідальність за активи. Класифікація інформації.
• Питання безпеки, пов'язані з кадровими ресурсами. Перед працевлаштуванням. Під час роботи за трудовою угодою. Припинення дії трудової угоди або його зміна.
• Фізичний захист і захист від впливів навколишнього середовища. Охоронювані зони. Безпека обладнання.
• Управління засобами зв'язку та операціями. Процедури експлуатації і обов'язки ... Управління постачанням послуг третьою стороною. Планування навантаження і приймання систем. Захист від шкідливого і мобільного коду. Дублювання. Управління безпекою мереж. Маніпулювання носіями інформації. Обмін інформацією. Сервіси електронної торгівлі. Моніторинг.
• Контроль доступу. Вимога бізнесу щодо забезпечення контролю доступу. Управління доступом користувача. Обов'язки користувача. Контроль мережевого доступу. Контроль доступу до операційної системи. Контроль доступу до додатків і інформації. Моніторинг доступу та використання системи ...
• Придбання, удосконалення та обслуговування інформаційних систем. Вимоги безпеки інформаційних систем. Правильна обробка додатків. Криптографічні засоби. Безпека системних файлів. Безпека в процесах розробки та підтримки. Управління технічними уразливими.
• Управління інцидентами порушення інформаційної безпеки. Повідомлення про порушення та слабкі місця інформаційної безпеки. Управління інцидентами порушення інформаційної безпеки і їх удосконалення.
• Управління безперервністю бізнесу Аспекти інформаційної безпеки управління безперервністю бізнесу.
• Відповідність вимогам Відповідність правовим вимогам. Відповідність політикам та стандартам безпеки. Технічне відповідність. Питання для розгляду при аудиті інформаційних систем.
Модуль 4. Система управління ІБ. Вимоги до СУІБ
• Загальні вимоги Створення та управління СУІБ. Вимоги до документації. Зобов'язання керівництва Управління ресурсами.
• Внутрішні аудити СУІБ
• Аналіз СУІБ керівництвом Загальні положення. Вхідні дані аналізу. Вихідні дані аналізу.
• Удосконалення СУІБ. Безперервне вдосконалення. Корегуюча дія. Превентивні дії.
Модуль 5. Забезпечення безпеки автоматизованих систем
• Проблеми забезпечення безпеки в мережах. Типова IP-мережу організації. Мережеві загрози, вразливості і атаки. Засоби виявлення вразливостей вузлів IP-мереж і атак на вузли, протоколи та мережеві служби. Отримання оперативної інформації про нові вразливості і атаках. Способи усунення вразливостей і протидії вторгненням порушників.
• Міжмережеві екрани. Призначення і види. Основні можливості і варіанти розміщення. Гідності й недоліки. Основні захисні механізми: фільтрація пакетів, трансляція мережевих адрес, проміжна аутентифікація, перевірка пошти, віртуальні приватні мережі, протидія атакам, націленим на порушення працездатності мережевих служб, додаткові функції. Загальні рекомендації щодо застосування. Політика безпеки при доступі до мережі загального користування. Демілітаризована зона.
• Контроль інформаційного наповнення (контенту) електронної пошти і Web-трафіку. Компоненти і функціонування систем контролю контенту. Політики безпеки, сценарії і варіанти застосування і реагування.
• Віртуальні приватні мережі (VPN). Призначення, основні можливості, принципи функціонування та варіанти реалізації. Структура захищеної корпоративної мережі. Варіанти, достоїнства і недоліки VPN-рішень. Загальні рекомендації по їх застосуванню.
• Засоби виявлення вразливостей вузлів мереж і засоби виявлення атак на вузли, протоколи та мережеві служби. Призначення, можливості, принципи роботи. Місце і роль в загальній системі забезпечення безпеки. Порівняння можливостей з міжмережевими екранами. Засоби забезпечення адаптивної мережевої безпеки. Варіанти рішень по забезпеченню безпеки мережі організації.
Прохождение курса не требует специальных предварительных навыков.
Запись на курс
| Код курса | ЕА-СУИБ |
|---|---|
| Длительность | 4д (32ч) |
| Код экзамена | |
| Стоимость без НДС | 32000 грн. |