2. ОЦЕНКА И УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ В ОРГАНИЗАЦИИ (ISRM)
1. Управление рисками информационной безопасности.
Менеджмент рисков в организации.
Оценка рисков информационной безопасности в системах
менеджмента.
Оценка и управление IT-рисками в банке.
Управление IT-рисками в процедурах внутреннего
контроля и аудита информационных систем.
Методики оценки рисков информационной безопасности.
Оценка рисков информационной безопасности при
использовании технологий «облачных вычислений».
2. Практикум проведения оценки рисков информационной
безопасности.
3. Дать базовое понимание по управления рисками в организации
Описать существующие подходы по анализу и оценке ИТ и ИБ
рисков
Разъяснить практические аспекты проведения оценки рисков
информационной безопасности с учетом требований
различных стандартов
С фокусом на запросы аудитории
ЦЕЛЬ ТРЕНИНГА
4. будете знать и применять на практике
Цели и задачи управления рисками
Методы оценки риска
Практические аспекты внедрение процесса управления
рисками информационной безопасности
ТНПА в области оценки риска
КЛЮЧЕВЫЕ ОБЛАСТИ ЗНАНИЙ
Подход к управлению и оценке рисков,
применимый в ЛЮБОЙ области.
Реализация ТНПА РБ в области оценки и
управления рисками информационной
безопасности.
5. Модуль 1.
МЕНЕДЖМЕНТ РИСКОВ В ОРГАНИЗАЦИИ
Введение в риск-менеджмент
Организация системы риск-менеджмента
Цели и задачи управления рисками в
соответствии с ISO 31000:2009.
Анализ и оценка рисков.
Управление риском.
Методы оценки риска в соответствии с
ISO/IEC 31010:2009.
6. ВВЕДЕНИЕ В РИСК-МЕНЕДЖМЕНТ
Категория «РИСК»
Терминология риск-менеджмента
Виды и классификация рисков
Факторы и причины риска
Область, принципы, процесс
ГОСТ Р 51897-2002
«Менеджмент риска.
Термины и определения».
ISO Guide 73
7. ISO/IEC 31010:2009 «RISK MANAGEMENT - RISK
ASSESSMENT TECHNIQUES»
Менеджмент рисков. Методики оценки риска.
Область применения
Концепции оценки риска
Процесс оценки риска
Выбор методик оценки риска
Методики оценки риска
8. Модуль 2.
ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ В СИСТЕМАХ МЕНЕДЖМЕНТА
Системы менеджмента
информационной безопасности
(ISO/IEC 27001:2013).
Системы управления услугами
(ISO/IEC 20000-1:2011).
9. 9/91
Структура стандарта СТБ ISO/IEC 27001-2016
СИСТЕМА МЕНЕДЖМЕНТА ИБ
4. Контекст организации
5. Лидерство
6. Планирование
7. Поддержка
8. Операционная деятельность
9. Оценивание пригодности
10. Улучшение
Приложение А – Перечень целей управления и средств управления (меры ЗИ)
Оценка и обработка риска
PLAN
DO
CHECK
ACT
Оценка и обработка риска
12. Модуль 3.
ОЦЕНКА И УПРАВЛЕНИЕ IT-РИСКАМИ В БАНКЕ.
Система управления рисками в сфере
банковских информационных
технологий (ТКП 288-2010).
Управление IT-рисками в процедурах
внутреннего контроля и аудита
информационных систем банков (ТКП
287-2010).
Оценка рисков нарушения
информационной безопасности (СТБ
34.101.41-2013).
13. Модуль 4.
МЕТОДИКИ ОЦЕНКИ РИСКОВ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ISO/IEC 27005 СТБ 34.101.70 СТБ 34.101.61
Оценка рисков нарушения
информационной безопасности
банков в соответствии с СТБ
34.101.61-2013.
Управление рисками
информационной безопасности в
соответствии с ISO/IEC 27005:2011.
Оценка рисков информационной
безопасности в информационных
системах в соответствии с СТБ
34.101.70-2016.
15. Модуль 4.
ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ
ТЕХНОЛОГИЙ «ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ»
Оценка рисков информационной
безопасности при использовании технологий
«облачных вычислений»
16. ITU-T X.1601
Неопределённость ответственности - отсутствие чёткого разделения
ответственности в части обеспечения БИ между потребителем и поставщиком
облачных услуг, что является причиной невыполнения некоторых мер по
защите информации.
Меры - Договор, SLA, NDA.
УГРОЗЫ БЕЗОПАСНОСТИ
16/x
17. ПОДХОД К ОБЕСПЕЧЕНИЮ ИБ
17/28
Угрозы
•Определить угрозы
безопасности и
последствия проблем
для безопасности в
рассматриваемой
услуге облачных
вычислений.
•(п.7,8 X.1601)
Возможности
•Определить
необходимые
высокоуровневые
возможности
обеспечения
безопасности на
основе выявленных
угроз и проблем,
которые могут
уменьшить угрозы
безопасности и
решить проблемы
безопасности.
•(п.9 X.1601)
Меры
•Выбрать средства
управления, политику
и процедуры
безопасности,
которые могут
предоставить
необходимые
способности
обеспечения
безопасности исходя
из определенных
возможностей
обеспечения
безопасности.
18. ПРАКТИКУМ ПРОВЕДЕНИЯ ОЦЕНКИ РИСКОВ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Модель нарушителя.
Угрозы безопасности
информационных технологий.
Анализ рисков.
Управление рисками.
19. ОЦЕНКА РИСКА ИБ
Методика
1. Идентификация и
оценка ценности
первичных
информационных
активов
2. Идентификация и
оценка ценности
вторичных
информационных
активов.
3. Идентификация
угроз
информационной
безопасности и их
описание
4. Идентификация
защитных мер
5. Идентификация
уязвимостей
6. Описание
сценариев угроз
информационной
безопасности
7. Проведение
анализа и
оценивания рисков
информационной
безопасности
8. Обработка рисков
информационной
безопасности
12 практических
заданий