I-ISMS | Впровадження СУІБ за стандартами ДСТУ ISO/IES 27001:2022, 27002:2022

Програма курсу

Основи інформаційної безпеки та стандарт ISO 27001

Курс починається з розгляду міжнародного стандарту ДСТУ ISO/IEC 27001, 27002. Слухачі дізнаються, що таке інформаційна безпека, які цілі та вимоги до неї. Розглядаються умови для впровадження системи управління інформаційною безпекою та ризиковий підхід при плануванні заходів безпеки.

Сфера застосування та оцінка ризиків

На цьому етапі визначаються межі застосування системи управління інформаційною безпекою. Слухачі навчаться проводити оцінку ризиків та обробляти їх. Це допомагає зрозуміти, на які саме сфери бізнесу потрібно звернути увагу при побудові системи безпеки.

Документування системи безпеки

Модуль охоплює створення нормативної документації для СУІБ. Розглядається порядок розробки та впровадження документів: адміністративні документи, політики безпеки, описи бізнес-процесів, інструкції, процедури та методики. Також йдеться про протоколи інформаційних систем та аудиторські сліди.

Організаційні аспекти безпеки

Цей блок включає організацію інформаційної безпеки всередині компанії. Обговорюються питання безпеки мобільного обладнання та відділеної роботи. Окремо розглядається управління безпекою людських ресурсів: до прийому на роботу, під час роботи та після її завершення.

Управління ресурсами та контроль доступу

Слухачі навчаться керувати ресурсами системи безпеки, включаючи відповідальність за них. Розглядається класифікація, маркування та правила обробки інформації, поводження з носіями даних. Детально висвітлюється контроль доступу: бізнес-вимоги, управління правами користувачів, контроль до систем та програм.

Технічні засоби захисту

Модуль охоплює криптографічні засоби захисту, фізичну безпеку приміщень та обладнання. Розглядається безпека експлуатації систем: процедури експлуатації, захист від зловмисного коду, резервне копіювання, моніторинг журналів, управління вразливостями та аналіз аудиту.

Безпека мереж та комунікацій

Цей блок присвячений управлінню безпекою мережі та обміну інформацією. Розглядаються вимоги до безпеки при розробці та підтримці інформаційних систем, включаючи дані для тестування. Також обговорюється взаємодія з постачальниками та управління послугами, що вони надають.

Управління інцидентами та безперервністю бізнесу

Слухачі навчаться керувати інцидентами інформаційної безпеки та вдосконалювати систему після них. Розглядаються аспекти безперервності бізнесу, включаючи резервне обладнання та плани відновлення після інцидентів.

Відповідність вимогам та оновлення стандартів

Останні модулі охоплюють питання відповідності правовим та контрактним вимогам. Розглядаються перевірки інформаційної безпеки та відповідність стандартам. Також аналізуються зміни в стандартах ISO редакції 2022 року та основи методик управління ризиками. Курс завершується відповідями на запитання слухачів.

Що отримують учасники курсу

Курс допомагає впорядкувати знання про елементи системи інформаційної безпеки та навчитися впроваджувати їх без помилок. Слухачі складуть органічну систему знань для довгострокового планування та щоденної роботи. Розглядаються практичні кейси, аналізуються можливі помилки та нюанси, які можуть мати вирішальне значення. Учасники зможуть обмінюватися досвідом з професіоналами галузі та дізнаватися про нові загрози та методи боротьби з ними.

Умови навчання

Кожен учасник отримує навчальні матеріали в електронному вигляді. Після успішного завершення курсу видається сертифікат від ISSP Training Center.