Уповноважений з управління ризиками інформаційної безпеки, кіберризиками та захисту персональних даних (ISO 27005)
Програма курсу побудована на вимогах міжнародних стандартів ISO/IEC 27001, ISO/IEC 27005 та кращих практиках управління кіберризиками і приватністю інформації. Навчання охоплює всі етапи створення та функціонування системи управління ризиками інформаційної безпеки — від побудови системи менеджменту інформаційної безпеки до практичного впровадження процесів оцінювання, обробки та моніторингу ризиків на підприємстві.
Тривалість
Мова
Формат
Мета курсу
Мета курсу «Уповноважений з управління ризиками інформаційної безпеки, кіберризиками та захисту персональних даних» полягає у підготовці фахівців, здатних професійно організовувати, координувати та підтримувати процеси управління ризиками інформаційної безпеки, кіберризиками та ризиками, пов’язаними з обробкою персональних даних, відповідно до вимог міжнародних стандартів ISO/IEC 27001 та ISO/IEC 27005.
Курс спрямований на формування практичних компетенцій щодо побудови та функціонування системи менеджменту інформаційної безпеки, ідентифікації, аналізу та оцінювання ризиків, розроблення реєстрів ризиків, Statement of Applicability (SoA), планів обробки ризиків, а також забезпечення відповідності організації вимогам у сфері інформаційної безпеки, кібербезпеки та захисту персональних даних.
Цільова аудиторія
Курс призначений для:
- уповноважених з інформаційної безпеки та захисту персональних даних;
- менеджерів систем менеджменту інформаційної безпеки (ISMS);
- керівників та працівників підрозділів інформаційної безпеки;
- фахівців з кібербезпеки;
- фахівців з управління ризиками;
- compliance-офіцерів;
- Data Protection Officers (DPO);
- керівників ІТ-підрозділів;
- адміністраторів інформаційних систем і мереж;
- внутрішніх аудиторів систем менеджменту;
- консультантів у сфері інформаційної безпеки та кібербезпеки;
- працівників державних органів, об’єктів критичної інфраструктури, фінансових установ, ІТ-компаній та інших організацій, діяльність яких пов’язана з обробкою інформації та персональних даних.
Курс буде корисним для організацій, які впроваджують або підтримують систему менеджменту інформаційної безпеки відповідно до ISO/IEC 27001, здійснюють управління кіберризиками або прагнуть забезпечити належний рівень захисту
Документ після закінчення
Тематичний план
Курс складається з чотирьох взаємопов’язаних модулів:
Модуль 1. Система менеджменту інформаційної безпеки (ISO/IEC 27001)
Модуль 2. Система управління ризиками
Модуль 3. Управління ризиками інформаційної безпеки, кібербезпеки та захисту конфіденційності
Модуль 4. Імплементація системи управління ризиками інформаційної безпеки на підприємстві. Практична дорожня карта впровадження ISO/IEC 27005
ПРОГРАМА
Модуль 1 - Система менеджменту інформаційної безпеки (ISO/IEC 27001)
| Системи менеджменту інформаційної безпеки ISO 27001 | Години | |
| 1 | Введення в СМІБ | 3 |
| 2 | Контекст організації як фундаментальна основа СМІБ | 2 |
| 3 | Лідерство та розробка Політики у сфері ІБ | 2 |
| 4 | Планування СМІБ з урахуванням ризиків | 2 |
| 5 | Ресурси та документація СМІБ | 2 |
| 6 | Операційна діяльність СМІБ | 1 |
| 7 | Оцінювання та аналіз дієвості СМІБ | 1 |
| 8 | Коригувальні дії та вдосконалення СМІБ | 1 |
| 9 | Засоби управління ІБ | 3 |
| Тестування | 1 | |
| Вього годин | 18 |
Модуль 2 - Система управління ризиками
| Система управління ризиками (ISO 31000) | Години | |
| 1 | Вступ до управління ризиками. Поняття невизначеності та ризику | 1.5 |
| 2 | Ризик-менеджмент як елемент системи управління організації | 1.5 |
| 3 | Принципи управління ризиками згідно з ISO 31000 | 2 |
| 4 | Структура системи управління ризиками: лідерство, інтеграція, контекст | 2 |
| 5 | Процес управління ризиками: комунікації, визначення сфери дії та контексту | 2 |
| 6 | Оцінка ризиків: ідентифікація, аналіз, оцінювання | 2.5 |
| 7 | Обробка ризиків: вибір заходів, планування та впровадження | 2 |
| 8 | Моніторинг, аналіз та постійне вдосконалення системи | 1,5 |
| Тестування | 2 | |
| Всього годин | 17 |
Модуль 3 - Управління ризиками інформаційної безпеки, кібербезпеки та захисту конфіденційності
| № | Управління ризиками інформаційної безпеки, кібербезпеки та захисту конфіденційності (ISO/IEC 27005:2022) | Години |
| 1 | Вступ до ISO/IEC 27005 та управління ризиками інформаційної безпеки | 1 |
| 2 | Основні поняття та термінологія ISO/IEC 27005 | 1 |
| 3 | Процес управління ризиками інформаційної безпеки | 2 |
| 4 | Встановлення контексту організації | 2 |
| 5 | Зацікавлені сторони та критерії ризику | 2 |
| 6 | Методи оцінювання ризиків | 2 |
| 7 | Ідентифікація активів, загроз та вразливостей | 2 |
| 8 | Формування ризик-сценаріїв | 2 |
| 9 | Аналіз ризиків | 2 |
| 10 | Оцінювання та пріоритезація ризиків | 1 |
| 11 | Обробка ризиків | 2 |
| 12 | Заходи контролю та Annex A ISO/IEC 27001 | 1 |
| 13 | Statement of Applicability (SoA) | 1 |
| 14 | План обробки ризиків | 1 |
| 15 | Моніторинг та перегляд ризиків | 1 |
| 16 | Використання процесів СМІБ для управління ризиками | 1 |
| 17 | Техніки підтримки оцінювання ризиків згідно з Annex A ISO/IEC 27005 | 1 |
| 18 | Аналіз кейсів та типових помилок під час оцінювання ризиків | 1 |
| 19 | Підсумкове тестування | 1 |
| Всього годин | 24 |
Модуль 4 - Імплементація системи управління ризиками інформаційної безпеки на підприємстві. Практична дорожня карта впровадження ISO/IEC 27005
| № | Імплементація системи управління ризиками інформаційної безпеки на підприємстві. Практична дорожня карта впровадження ISO/IEC 27005 | Години |
| 1 | ISO/IEC 27005 як інструмент виконання вимог ISO/IEC 27001 | 1 |
| 2 | Дорожня карта впровадження процесу управління ризиками | 1 |
| 3 | Контекст організації, зацікавлені сторони та критерії ризику | 1 |
| 4 | Методика оцінювання ризиків та формування ризик-сценаріїв | 1 |
| 5 | Ідентифікація, аналіз та оцінювання ризиків | 1 |
| 6 | Обробка ризиків та вибір заходів контролю | 1 |
| 7 | Statement of Applicability (SoA) та План обробки ризиків | 1 |
| 8 | Інтеграція процесу управління ризиками в СМІБ та підготовка до аудиту | 0,5 |
| 9 | Підсумкове тестування | 0,5 |
| Всього годин | 8 |