02. Управление информационной безопасностью (семестр 7)
Семестр 7 Модуль 1
Содержательный модуль 1. Требования к системе управления ИБ (презентация)
1. Основные термины и понятия информационной безопасности
Термины и понятия информационной безопасности (ИБ), объекты защиты информации, основные составляющие ИБ, введение в управление информационной безопасностью, важность и сложность решения проблем ИБ (технические сбои, вирусы, взломы)
2. Международные стандарты по оценке информационной безопасности (презентация)
Роль стандартов в сфере информационной безопасности, оценочные и стандарты-спецификации, критерии оценки и виды управления доступом, требования «Оранжевой книги» (TCSEC), «Общих критериев» и стандарта ISO/IEC 15408-2008
3. Международные стандарты управления ИБ. ISO/IEC 27000-2014 (презентация)
История развития стандартов управления информационной безопасностью, семейство стандартов ISO/IEC 27k, описание и разделы стандарта ISO/IEC 27000-2016 (общий обзор и терминология), сертификация системы управления ИБ
4. Требования к системе управления ИБ (ISO/IEC 27001-2013) (презентация)
Цели, средства и этапы управления информационной безопасностью: контекст организации, лидерство, планирование (подготовка), поддержка (сопровождение), реализация (эксплуатация), контроль (оценка результативности), улучшение
5. Свод норм и правил управления ИБ (ISO/IEC 27002-2013). Часть 1 (презентация)
Политика информационной безопасности, внутренняя организация, обращение с мобильными устройствами и удалённая работа, безопасность, связанная с персоналом, управление активами, безопасность активов и носителей информации
6. Свод норм и правил управления ИБ (ISO/IEC 27002-2013). Часть 2
Управление доступом, разграничения доступа, ограничение доступа к информации, ответственность пользователя, система управления паролями, использование системного ПО, политика использования средств криптографии, управление ключами
7. Свод норм и правил управления ИБ (ISO/IEC 27002-2013). Часть 3 (презентация)
Физическая и экологическая безопасность, безопасность операций, мониторинг, защита от вредоносного ПО, резервное копирование, контроль системного ПО, управление техническими уязвимостями, проведение аудита ИС, стандарт «CoBiT»
8. Свод норм и правил управления ИБ (ISO/IEC 27002-2013). Часть 4
Безопасность связи, управление сетевой безопасностью, передача информации, электронный обмен информацией, соглашение о неразглашении, требования безопасности при покупке, разработке и сопровождении информационных систем
Модульный контроль № 1
Содержательный модуль 2. Внедрение и эксплуатация системы управления ИБ
9. Свод норм и правил управления ИБ (ISO/IEC 27002-2013). Часть 5
Взаимоотношения с поставщиками, управление оказанием услуг и инцидентами ИБ (оповещение, оценка, реагирование, извлечение уроков), аспекты ИБ при управлении непрерывности бизнеса, выполнение требований и аудит ИБ
10. Разработка системы управления ИБ (ISO/IEC 27003-2010). Часть 1 (презентация)
Определение области действия и политики СУИБ, разработка политики СУИБ и получение одобрения руководства, проведение анализа организации, определение требований к ИБ, определение активов в рамках СУИБ, проведение оценки ИБ
11. Разработка системы управления ИБ (ISO/IEC 27003-2010). Часть 2
Проведение оценки и планирование обработки рисков, выбор средств ИБ, получение санкции руководства на внедрение и использование СУИБ, создание условий надежного функционирования СУИБ, разработка окончательного плана проекта СУИБ
12. Управление рисками ИБ (ISO/IEC 27005-2011). Часть 1 (презентация)
Установление контекста (определение основных критериев, сферы действия и организационной структуры управления рисками), идентификация рисков ИБ (активов, угроз, средств защиты, уязвимостей и последствий реализации угроз)
13. Управление рисками ИБ (ISO/IEC 27005-2011). Часть 2
Разработка методологии измерения риска, оценка последствий и вероятности инцидента, измерение уровня риска, обработка риска (снижение, сохранение, избежание, перенос), оценка остаточного риска, мониторинг и улучшение
14. Управление инцидентами ИБ (ISO/IEС 27035-2011). Часть 1 (презентация)
Базовые концепции, цели и принципы управления инцидентами, выгоды структурного подхода. Фазы управления инцидентами ИБ: планирование и подготовка, обнаружение и оповещение, оценка и решение, реагирование, извлечение уроков
15. Управление инцидентами ИБ (ISO/IEС 27035-2011). Часть 2
Политика и план управления инцидентами ИБ, создание группы реагирования на инцидент, взаимодействие с заинтересованными подразделениями и организациями, техническая поддержка, обучение и осведомленность об инциденте, извлечение уроков
16. Управление инцидентами ИБ (ISO/IEС 27035-2011). Часть 3
Фазы менеджмента инцидента ИБ: обнаружение и оповещение, оценка и решение, реагирование. Критерии инцидента, процессы реагирования, мониторинг и выявление, анализ и обработка инцидента, сбор информации и отчет, последующие действия
Модульный контроль № 2
ЗАЧЁТ
Учебник Гребенникова В.В. «Управление информационной безопасностью. Стандарты СУИБ» - 2018
