Приложение № 15. Мастер-класс по управлению рисками информационной безопасности

IS002 Мастер-класс "Управление рисками информационной безопасности в соответствии с требованиями международного стандарта ISO 27001"

Мастер-класс посвящен изучению методологии управления рисками информационной безопасности, базирующейся на международных стандартах ISO 27001 и ISO 27005. Значительное внимание уделяется качественным и количественным методам оценки риска, вопросам разработки и внедрения системы управления информационными рисками, как основы для создания системы менеджмента организации.

Целевая аудитория

Этот мастер-класс предназначен для тех, кто:

  • отвечает за оценку и управление рисками в организации
  • участвует в планировании и проведении аудитов информационной безопасности
  • осуществляет планирование мероприятий по информационной безопасности и расставляет приоритеты
  • формирует и обосновывает бюджет на информационную безопасность
  • оценивает экономическую эффективность и целесообразность реализации защитных мероприятий
  • внедряет системы управления информационной безопасностью и/или готовится к сертификации по ISO 27001

а также для тех, кто:

  • желает взять под контроль риски информационной безопасности во всех сферах деятельности, которыми занимается
  • желает расширить и углубить свое понимание сущности процессов обеспечения информационной безопасности
  • желает перейти от общих рассуждений о связи бизнеса и безопасности к реальным действиям
  • желает взглянуть на безопасность со стороны бизнеса

Основной целью данного мастер-класса является получение слушателями практических навыков оценки и обработки информационных рисков на основе методологии управления рисками GlobalTrust Solutions, которая сформировалась на протяжении ряда последних лет в ходе выполнения проектов по аудиту, оценке рисков, внедрению и сертификации систем управления информационной безопасностью (СУИБ) по требованиям ISO 27001 в российских организациях. Источниками разработки методологии GlobalTrust Solutions послужили международные стандарты ISO 27001 и ISO 27005, а также популярные методы оценки рисков OCTAVE, CRAMM, RA2 и vsRisk.

В ходе мастер-класса теоретические сведения чередуются с практическими упражнениями, которые слушатели выполняют самостоятельно под руководством преподавателя. Всего слушателям предстоит выполнить 10 упражнений, по одному на каждую стадию процесса оценки и обработки рисков информационной безопасности.

Занятия проходят в офисе GlobalTrust Solutions в Москва-Сити с 10:00 до 17:30 с перерывами на обед и кофе-брейки.

Необходимая подготовка

Данный мастер-класс предполагает практическое освоение довольно объемного и сложного материала в максимально сжатые сроки. Обсуждению чисто теоретических вопросов отводится достаточно мало времени. Поэтому от слушателей требуется определенный уровень подготовленности, а именно они должны:

  • Иметь хорошую теоретическую и практическую подготовку, а также опыт работы в области информационной безопасности;
  • Иметь базовые знания в области законодательства, нормативной базы и международных стандартов информационной безопасности;
  • Иметь базовые знания и навыки управления процессами информационной безопасности в организации.

Раздаточный материал

  • Расширенный комплект документов для управления рисками информационной безопасности GTS 1057 на CD-ROM
  • Материалы мастер-класса, включая демонстрационные версии программного обеспечения для оценки рисков информационной безопасности на CD-ROM
  • Сертификат о прохождении мастер-класса установленного образца

Программа курса

    Предпосылки для управления рисками
    • Глобальные информационные риски
    • Обилие стандартов, требований, средств и технологий защиты не уменьшает риски
    • Государственное регулирование только создает дополнительные риски
    • Оценка рисков как основа корпоративного управления
    • Основные преимущества риск-ориентированного подхода к управлению ИБ
    • Модели зрелости информационной безопасности
  1. Основные элементы управления рисками информационной безопасности
    • Стандарты управления рисками
    • Понятие бизнес-риска и категории бизнес-рисков
    • Упражнение 1. Выделение информационной составляющей бизнес-риска
    • Понятие риска информационной безопасности
    • Качественная и количественная оценка риска
    • Факторы (составные элементы) риска
    • Основные и вспомогательные активы организации
    • Выбор подхода к оценке риска
  2. Оценка рисков
    • Анализ рисков
      • Область и границы оценки рисов
      • Упражнение 2. Определение области и границ оценки рисков
      • Инвентаризация активов
      • Упражнение 3. Идентификация активов
      • Идентификация требований бизнеса и законодательства
      • Оценка ценности активов
      • Упражнение 4. Определение ценности активов
      • Анализ угроз и уязвимостей
      • Упражнение 5. Определение профиля и жизненного цикла угрозы
      • Упражнение 6. Оценка угроз и уязвимостей
    • Оценивание рисков
      • Определение величины рисков
      • Упражнение 7. Вычисление риска
      • Ранжирование рисков
      • Упражнение 8. Калибровка шкалы оценки риска
  3. Обработка рисков информационной безопасности
    • Процесс обработки рисков
    • Способы обработки рисков
    • Оценка возврата инвестиций
    • Принятие остаточных рисков
    • Декларация о применимости
    • План обработки рисков
    • Упражнение 9. Выбор механизмов контроля
    • Упражнение 10. Оценка возврата инвестиций в информационную безопасность
  4. Структура системы управления рисками информационной безопасности
    • Структура документации
    • Контекст управления рисками
    • Политика управления рисками
    • Процессы управления рисками
    • Коммуникация рисков
    • Ответственность за управление рисками
  5. Инструментальные средства для оценки и управления рисками
    • Выбор инструментария
    • Обзор инструментальных средств
      • OCTAVE
      • CRAMM
      • RiskWatch
      • RA2
      • vsRisk
      • Callio Secura 17799