Программа курса
Основы комплаенса и управления безопасностью
На этом курсе начинают с обзора основных стандартов комплаенса в кибербезопасности. Рассматривают международные рамки ISO 27001/27002, 27701, GDPR, SOC2, NIS2 и NIST CSF. Отдельно анализируют требования для финансовой отрасли - PCI DSS, SOC1, SOX, OSPAR, автомобильной промышленности - VDA ISA / ENX TISAX, ISO 21434, VW KGAS, ASPICE, а также промышленной кибербезопасности ISA 62443. Закрепляют знания об украинском законодательстве и системе НД ТЗИ.
Стратегия и организация безопасности
Далее курс охватывает построение системы управления информационной безопасностью. Учеников учат формировать организационную культуру безопасности, учитывать договорные и юридические требования. Рассматривают структуру организации, распределение ролей и ответственностей. Студенты учатся разрабатывать стратегию информационной безопасности, определять SoA и скоуп ISMS, анализировать внутренние и внешние факторы, ставить цели безопасности. Также рассматривают планирование ресурсов - людей, инструментов, технологий, измерение эффективности через метрики, улучшение процессов, проведение аудитов и отчетность перед руководством.
Работа с рисками и инцидентами
Этот блок посвящен управлению рисками информационной безопасности. Студенты изучают ландшафт рисков и угроз, методы анализа и оценки рисков, стратегии реагирования и обработки рисков. Рассматривают вопросы владения рисками и ответственности, мониторинга рисков и отчетности, а также моделирование угроз. Параллельно обучают управлению инцидентами - от разработки процедур и планов реагирования до классификации инцидентов, взаимодействия с командами быстрого реагирования и компьютерных методов расследования.
Защита данных и непрерывность бизнеса
Модуль охватывает управление информационными активами - от классификации данных и методов обработки до жизненного цикла данных и защиты персональной информации. Рассматривают требования к защите данных в облачных и онпрем средах, вопросы интеллектуальной собственности. Второе направление - непрерывность бизнеса и восстановление после сбоев, включая BIA, BCP, DRP, анализ рисков и симуляцию атак.
Технические аспекты безопасности
Этот раздел объединяет несколько технических тем. Сначала рассматривают сетевую безопасность - архитектуру, сегрегацию подсетей, межсетевые экраны, WAF, логирование, мониторинг и системы IDS/IPS, DLP, SIEM. Затем переходят к управлению доступом - принцип минимальных полномочий, ревью доступов, PAM, физический и логический доступ, идентификация и аутентификация, модели контроля доступа, SSO и MFA. Завершают блок управлением уязвимостями - сканирование, пентесты, оценка рисков, CVSS, взаимодействие с командами по закрытию уязвимостей.
Операционные процессы и разработка ПО
Модуль охватывает операционную безопасность - управление изменениями, защиту от вредоносного ПО, парольную защиту, криптографию, FDE, ЭЦП, резервное копирование, управление мощностью. Параллельно изучают безопасный жизненный цикл разработки ПО - модели SSDLC, требования безопасности на всех стадиях, безопасную архитектуру, принципы безопасной разработки, правила кодирования, SAST, DAST, SCA, управление патчами, код ревью и аудит безопасности кода.
Физическая безопасность и работа с персоналом
Этот блок объединяет физическую безопасность и безопасность персонала. Рассматривают принцип зонирования, СКУД, охрану, пожарную безопасность, видеонаблюдение, кондиционирование серверных, требования к устройствам, BYOD, MDM, транспортировку и утилизацию оборудования. Вторая часть посвящена безопасности персонала - онбординг и оффбординг чеклисты, NDA, взаимодействие с IT, бэкграунд чеки, тренинги, AUP, дистанционная работа и дисциплинарный процесс.
Работа с поставщиками и завершение курса
Завершающие модули охватывают управление цепочкой поставок - классификацию поставщиков, анализ рисков, требования по кибербезопасности, критические функции, аудит и мониторинг. В конце курса студенты выполняют дипломный проект для закрепления полученных знаний. Как бонус - все участники проходят тренинг по подготовке к собеседованиям и составлению резюме с HR-специалистом.
Преимущества обучения
Курс проводится в небольших группах с системой личных кабинетов. Студенты получают доступ к видеозаписям занятий. Преподаватели - практики с реальным опытом. Практические занятия дополняются оперативной службой поддержки.
