Менеджер ISO/IEC 27001:2022

Цільова аудиторія

• Керівники проєктів та консультанти, які беруть участь у впровадженні СУІБ.
• Аудитори ISO 27001, які хочуть повністю розуміти процес впровадження СУІБ.
• Старші менеджери, відповідальні за ІТ-управління та управління ризиками підприємства.
• Фахівці з інформаційної безпеки.
• Технічні спеціалісти, які беруть участь у процесах, пов'язаних із СУІБ.
• Експерти у галузі інформаційних технологій.

Ціль заходу

Цей курс дозволить учасникам отримати необхідний досвід для організації та впровадження системи управління інформаційною безпекою (СУІБ) на основі ISO/IEC 27001:2022. Учасники також отримають повне розуміння кращих практик, що використовуються для реалізації управління інформаційною безпекою для всіх розділів ISO 27001.

Програма

День 1

Модуль №1:

• Розгляд сім'ї стандарту ISO/IEC 27000: Загальні питання з інформаційної безпеки, серія стандартів ISO/IEC 27000;
• Нова версія ISO/IEC 27001 версії 2022 року (аналіз основних змін);
• Розбір і трактування вимог ISO/IEC 27001:2022, з урахуванням рекомендацій забезпечення інформаційної безпеки відповідно до положень ISO/IEC 27002:2022; Етапи розробки та впровадження СМІБ за ISO/IEC 27001:2022;
• Контекст організації: фактори, що впливають на інформаційну безпеку організації. Система управління інформаційною безпекою;
• Практичні приклади виявлення факторів, які впливають на ІБ організації;

Модуль №2:

• Методологія оцінки ризиків інформаційної безпеки (на базі IS0/IEC 27005):
• методи ідентифікації, аналізу та оцінки ризиків; поняття «ризик ІБ»;
• опис ризику у формі ланцюга «актив-загроза-вразливість»;
• оцінка ризиків ІБ; обробка ризиків ІБ; засоби управління ІБ (controls);
• моніторинг управління ризиками ІБ;
• формування Statement of Applicability (SoA);
• практичні приклади оцінки та обробки ризиків ІБ;

Модуль №3:

• Обов'язкова та допоміжна документована інформація СМІБ;
• Розподіл обов'язків у межах функціонування СМІБ;
• Вимоги до сертифікації за ISO 27001;
• Проведення внутрішніх аудитів СМІБ організації: кваліфікація внутрішніх аудиторів; робота з відхиленнями;
• Процедура управління інцидентами ІБ;

День 2.

Модуль №4:

• Принципи внутрішнього аудиту системи управління інформаційною безпекою.
• Формування команди з внутрішнього аудиту.
• Звітність за внутрішнім аудитом. Принципи проведення. Аналіз системи з боку керівництва. Формування звіту за аналізом. Додаток стандарту A - Аналіз інформаційної безпеки.

Модуль №5:

A5. Організаційні контролі:

• Політики інформаційної безпеки: Розробка та впровадження політик, що регулюють захист інформації. Ролі та відповідальність у інформаційній безпеці: Визначення обов'язків і ролей у забезпеченні безпеки інформації.
• Розділення обов'язків: Визначення та впровадження системи розділення обов'язків для зниження ризиків. Відповідальність керівництва: Встановлення відповідальності вищого керівництва за забезпечення інформаційної безпеки.
• Зв'язок з владою: Встановлення процедур взаємодії з владою по питаннях інформаційної безпеки.
• Зв'язок з групами особливого інтересу: Встановлення механізмів співпраці з особливими інтересами для поліпшення безпеки.

A6. Управління персоналом:

• Скринінг: Проведення перевірки працівників перед прийомом на роботу.
• Умови працевлаштування: Визначення та контроль умов праці в контексті інформаційної безпеки.
• Усвідомлення, освіта та навчання у галузі інформаційної безпеки: Організація навчання та інформаційного просвітлення для персоналу.
• Дисциплінарний процес: Визначення процедур інформаційної безпеки для дисциплінарних випадків.

A7. Фізичні контролі:

• Фізичні периметри безпеки: Захист фізичних кордонів приміщень та зон.
• Фізичний вхід: Контроль та моніторинг фізичного доступу до об'єктів.
• Захист офісів, кімнат та споруд: Заходи забезпечення безпеки офісів та приміщень.
• Моніторинг фізичної безпеки: Використання систем моніторингу для виявлення аномалій.
• Захист від фізичних та природних загроз: Заходи безпеки від фізичних та природних загроз.

A8. Технологічні контролі:

• Кінцеві пристрої користувачів: Захист комп'ютерів та інших пристроїв, що використовуються користувачами.
• Привілейований доступ: Управління та контроль привілейованим доступом до інформації.
• Обмеження доступу до інформації: Контроль доступу до інформації та ресурсів.
• Захист від шкідливих програм: Заходи для виявлення та захисту від шкідливих програм.
• Управління технічними вразливостями: Процеси виявлення та управління технічними вразливостями. Управління конфігурацією: Контроль конфігурації систем та програм.
• Резервне копіювання інформації: Заходи щодо регулярного резервного копіювання та відновлення інформації. Моніторинг і ведення логів: Використання систем моніторингу та збору логів для виявлення подій.
• Безпека мереж: Заходи для захисту мережевої інфраструктури.
• Розробка програмного забезпечення з безпекою: Впровадження принципів безпечної розробки програмного забезпечення. Вимоги до захисту даних: Визначення та застосування вимог до захисту даних на протязі їх життєвого циклу.
• Тестування безпеки при розробці та прийомці: Використання тестування безпеки у процесах розробки та тестування. Розділення середовищ розробки, тестування та виробництва: Заходи для розділення різних середовищ розробки.
• Управління змінами: Процеси управління та контролю змін в інформаційних системах.
• Захист інформаційних систем під час аудиту: Заходи для захисту інформаційних систем під час аудиту.

Додаткова інформація

Після завершення курсу учасникам потрібно пройти тестування. При успішному проходженні тесту учасники отримують міжнародний сертифікат від сертифікаційного органу Baltum Bureau.