 |
|
|
|
Курсы по информационной безопасности
|
|
Сертификационная программа "The Certificate in Enterprise Information Security Management" (Управление информационной безопасностью организации).
 Курс: (ISM201) Information Risk Management
(Управление рисками информационных систем)
Ориентирован на: аудиторов информационных систем, менеджеров
по аудиту, внешних аудиторов; сотрудников служб поддержки качества; специалистов
по защите данных, администраторов безопасности ИС, менеджеров по информационной
безопасности; системных программистов и системных аналитиков.
Предварительный уровень подготовки: средний. Вы должны прослушать курс "How to Manage an Information Security Program" или "Fundamentals of Information Security", или иметь соответствующий опыт.
Продолжительность: 3 дня, 24 часа (2 дня, 16 часов – в рамках Спецпредложения) .
Методические материалы: методические материалы учебного центра.
Программа курса
- Управление рисками информационных систем
- четыре фазы управления рисками ИС
- как процесс управления рисками ИС вписывается в программу защиты информации
- интегрирование управления рисками в общий процесс функционирования организации
- партнеры в процессе управления рисками ИС и роли каждого из них
- на пути от централизованной к децентрализованной обработке информации
- Анализ рисков ИС
- цикл анализа рисков и его компоненты
- вопросы управления и восприятие процесса анализа рисков ИС
- типы анализа рисков ИС: количественный подход против качественного
- инструментальное ПО для осуществления процесса анализа рисков ИС
- определение категорий активов: ИТ, бизнес-процесс, бизнес-функция
- определение целей и масштаба анализа рисков ИС
- положения, определяющие границы процесса анализа рисков ИС
- роль владельца информации в процессе анализе рисков ИС
- Разработка плана мероприятий
- административная информация, требуемая для плана мероприятий
- сбор информации о рисках и контроле
- определение пунктов плана мероприятий соответствующих идентифицированным средствам контроля
- использование плана мероприятий в процессе утверждения и одобрения
- распространение и защита плана мероприятий по анализу рисков
- Активы ИС, риски, угрозы и уязвимости
- идентификация активов при анализе рисков ИС
- определение ценностей активов ИС
- расположение по приоритетам, категоризация и документирование рисков ИС
- определение уязвимостей информации
- Менеджмент-решение
- достижение "приемлемого уровня риска"
- идентификация средств контроля при анализе рисков ИС
- определение стоимости контроля
- категоризация и документирование средств контроля для программы в целом
- Осуществление контроля
- использование плана мероприятий для создания назначений, графиков и определения необходимых утверждений и одобрений
- вовлечение в процесс аудита
- Развитие
- отслеживание процесса анализа рисков ИС: от старта до финиша
- укрепление и расширение использования процесса анализа риска ИС
- Анализ бизнес-воздействия (Business Impact Analysis, BIA)
- процесс анализа бизнес-воздействия: компоненты и определения
- BIA как ключ к успешной программе защиты данных
- партнеры в процессе бизнес-воздействия и роли, которые они играют
- Разработка плана мероприятий BIA
- административная информация, требуемая для плана мероприятий
- идентификация "критериев воздействия" и их важности для организации
- точное определение ключевых бизнес-процессов и периодов наиболее интенсивной активности
- разработка алгоритмов для вычисления бизнес-потерь
- распространение и защита плана мероприятий по анализу бизнес-воздействия
- Использование анализа бизнес-воздействия
- создание списка приложений по их приоритетам
- построение организационных планов восстановления после сбоя и обеспечения непрерывности бизнеса с использованием результатов анализа бизнес-воздействия
|
