Модуль 1. Стандарты в области управления информационной безопасностью.
- Основы информационной безопасности
- BS 7799 -1 «Практические правила управления информационной безопасностью».
- BS 7799 -2 «СУИБ. Спецификация и руководство по применению».
- ISO 27001, ISO 27002, ISO 27005
- Взаимосвязь организационных стандартов
- Как устанавливать требования защиты
- Критические факторы успеха
Модуль 2. Корпоративные архитектуры
- Пирамида корпоративной архитектуры и ее компоненты
- Пошаговое расширение модели деятельности в стандартах ISO
Модуль 3. Идентификация активов
- Номенклатура и типология документов компании
- Главный актив – информация
- Характеристики и идентификация активов
Модуль 4. Описание бизнес-процессов
- Ключевые понятия
- Пошаговое моделирование бизнес-процессов
- Декомпозиция. Вложенные бизнес-процессы и алгоритмы
- Реестр информационных активов
Модуль 5. Идентификация требований безопасности
- Категории требований безопасности.
- Реестр требований безопасности:
- Законодательные требования
- Нормативные требования
- Контрактные обязательства
- Требования бизнеса
Модуль 6. Определение ценности активов
- Типовая последовательность определения ценности активов
- Структурирование активов по диапазонам ценности
- Критерии оценки ущерба
- Оценки прямого финансового ущерба
- Таблица ценности активов
Модуль 7. Анализ угроз и уязвимостей
- Зачем нужно моделирование угроз?
- Анализ угроз и уязвимостей:
- Физические угрозы
- Нецелевое использование оборудования и сети Интернет сотрудниками
- Угрозы утечки конфиденциальной информации
- Угрозы утечки информации по техническим каналам
- Угрозы несанкционированного доступа
- Угрозы недоступности ИТ сервисов и разрушения (утраты) информационных активов
- Угрозы нарушения целостности и несанкционированной модификации данных
- Угрозы антропогенных и природных катастроф
- Юридические угрозы
Модуль 8. Профиль и жизненный цикл угрозы. Классификация угроз безопасности.
- Структура угроз
- Понятие профиля и жизненного цикла угрозы
- Описание угроз безопасности
- Способы и принципы классификации угроз
- Примеры декомпозиции / классификации
- Каталоги угроз и контрмер
Модуль 9. Угрозы утечки информации по техническим каналам.
- ТКУИ (технический канал утечки информации), приводящие к возникновению угроз безопасности
- Общая классификация ТКУИ
Модуль 10. Угрозы несанкционированного доступа к информации и характеристика угроз непосредственного доступа в операционную среду
- Способы реализации угроз НСД
- Угрозы непосредственного доступа
- Характеристика угроз, реализуемых с использованием протоколов межсетевого взаимодействия
- Сетевые угрозы, уязвимости и атаки, связанные с эксплуатацией межсетевых экранов
- Возможные последствия реализации угроз
- Этапы реализации угрозы НСД
Модуль 11. Характеристика угроз программно-математических воздействий и нетрадиционных информационных каналов
- Виды вредоносных программ
- Классификация угроз
- Классификация программных вирусов и сетевых червей.
- Пути проникновения
Модуль 12. Нетрадиционные каналы доступа к информации
- Методы формирования нетрадиционных каналов
- Стеганография
- Метод наименее значащих битов
- Общая характеристика результатов утечки информации и НСД
Модуль 13. Уязвимости информационной безопасности
- Уязвимости представляют собой слабости защиты
- Организационные уязвимости
- Источники идентификации потенциальных организационных уязвимостей
- Анализ данных организационных уязвимостей
- Целесообразность использования механизмов контроля
- Оценочная таблица механизмов контроля
- Отчет о несоответствиях
Модуль 14. Оценка угроз и уязвимостей
- Оценка вероятности реализации угроз
- Оценка уровня уязвимостей
- Результаты оценки угроз и уязвимостей
- Опросные листы для оценки угроз
Модуль 15. Определение величины риска и обработка рисков информационной безопасности
- Реестр информационных рисков
- Качественная и количественная оценка риска
- Отчет об оценке рисков
- Процесс обработки рисков
- Способы обработки риска
- Критерии принятия рисков
- Уменьшение риска
- Передача риска
- Избежание риска
Модуль 16. Оценка возврата инвестиций в информационную безопасность и принятие решения по обработке риска. Декларация о применимости механизмов контроля
- Коэффициент возврата инвестиций (ROI)
- Примеры расчета коэффициент возврата инвестиций (ROI)
- «Калькуляторы» рисков
- Принятие решения по обработке риска
- Форма представления руководству организации информации
- План обработки рисков
- Приоритетные меры по обработке рисков
- Декларация о применимости
- Документирование СУИР
- Начальные условия для внедрения СУИР
- Организационная структура управления рисками
- Обучение членов экспертной группы
- Реализация пилотного проекта по оценке рисков
- Жизненный цикл управления рисками
Модуль 17. Аудит информационной безопасности.
- Основы аудита информационной безопасности, состав и роли участников
- Основные этапы проведения аудита ИБ