Управление информационной безопасностью (Information Security Governance)

Код курса КП42, 2 дня

Статус

Авторский курс Хендрика Колеманса (Hendrik Ceulemans)

Аннотация

Рост и успех бизнеса прямо зависит от того, насколько компании эффективно осваивают и используют информационные технологии. По мере усиления зависимости от информационных систем возрастает значимость обеспечения их безопасности и потребность в эффективном управлении информационной безопасностью организации. Компаниям приходится выбирать наилучшие пути, чтобы, с одной стороны, обеспечить максимальные возможности для потребителей и партнеров, с другой стороны, обеспечить безопасность критичной информации. Недооценка важности информационной безопасности и нарушения политики безопасности, как показывает опыт не только отечественных, но и зарубежных компаний, может нанести серьезный материальный ущерб бизнесу, привести к снижению доверия потребителей и партнеров, к потерям клиентуры и искам со стороны пострадавших клиентов.

В условиях глобального экономического кризиса угрозы инцидентов в области информационной безопасности становятся более значимыми. Сложная ситуация в экономике побуждает руководителей большинства компаний уделять приоритетное внимание оптимизации управления бизнесом. Нередко менеджеры, прежде всего, пытаются сократить операционные расходы на IT и безопасность. Однако более целесообразный подход заключается в анализе рисков функционирования организации и корректировке предоставляемых ИТ-сервисов в сторону реальных нужд компании, что, в свою очередь, приводит к качественным изменениям в обеспечении ее информационной безопасности.

Цель данного курса – освоение специалистами лучших мировых практик по внедрению и совершенствованию управления информационной безопасностью. В рамках курса рассматриваются вопросы управления рисками и их связь с управлением информационной безопасностью, дается обзор структур контроля и стандартов управления безопасностью, предлагаются рекомендации по разработке и внедрению структуры управления информационной безопасностью в организации, укреплению связи информационной безопасности с целями бизнеса.

В курсе обобщен и систематизирован многолетний опыт Хендрика Колеманса, консультировавшего крупнейшие компании мира и межгосударственные структуры по вопросам создания и управления системами информационной безопасности. Особое внимание в курсе уделяется опыту международных компаний: как ведущие банки, частные и государственные предприятия улучшают управление информационной безопасностью, как вовлекают руководителей бизнеса в управление информационной безопасностью, как используют управление информационной безопасностью для реализации основных целей бизнеса и снижения затрат, как организация выигрывает от применения целостного и всеобъемлющего подхода к управлению рисками, безопасности и контролю.

На примерах инцидентов в крупных международных финансовых структурах будет рассмотрено, как и почему это стало возможным, а также будет показано, как адекватный подход к управлению информационной безопасностью мог бы предотвратить серьезные последствия.

Слушатели будут иметь возможность поучаствовать в разборе ряда конкретных ситуаций, в групповых дискуссиях и обсудить проблемы с ведущим курса, который также является действующим консультантом по управлению информационной безопасностью.

Аудитория

• Руководители и специалисты служб информационной безопасности, управления рисками, внутреннего контроля и аудита, служб ИТ и другие специалисты в области управления, в чьи обязанности входит совершенствование управления рисками в ИТ, обеспечение защищенности информационных систем и их управляемости.
• Специалисты, заинтересованные в подготовке к сертификационным экзаменам: CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), CGEIT (Certified in the Governance of Enterprise IT), CISSP (Certified Information Systems Security Professional).

Преподаватель

Хендрик Колеманс (Hendrik Ceulemans) – один из известнейших в мире консультантов в области управления рисками и управления системами информационной безопасности. Директор компании InfoGovernance (Бельгия). Х.Колеманс был основателем и в течение 7 лет Президентом ISACA Belux. Имеет многолетний опыт работы в Ageas (ранее Fortis AG Insurances), опыт консалтинга в европейских финансовых структурах - Pension Fennia (Финляндия), Pictet Bank (Швейцария), опыт создания концепции информационной безопасности Банка Швейцарии.

Провел несколько десятков семинаров по управлению системами информационной безопасностью для IT-менеджмента в Европейской комиссии, более 100 тренингов для профессионалов в области информационных технологий и информационной безопасности в Великобритании, Германии, Италии, Канаде, США, Франции, ЮАР и др. государствах, в которых приняли участие свыше 2000 участников.

По окончании обучения:

Несмотря на сложность и важность темы, а также возможные трудности на пути внедрения прогрессивных политик и практик в этой области, специалисты смогут быстро получить положительные результаты. После двух дней обучения у специалистов формируется лучшее понимание:

• Каковы возможные негативные последствия неэффективного управления информационной безопасностью для организаций.
• Каковы основные причины для того, чтобы совершенствовать управление информационной безопасностью.
• Как улучшенное управление информационной безопасностью может помочь вашей организации расширить возможности для реализации основных целей и снижения затрат.
• Как подготовить и запустить программу по управлению информационной безопасностью, которая будет принята и поддержана руководством.
• Как получить поддержку руководства для реализации программы управления информационной безопасностью.
• Какие инструменты и техники могут быть использованы для совершенствования управления информационной безопасностью.

Предварительная подготовка

Участники должны иметь представление об организации управления информационными технологиями.

Продолжительность курса

Продолжительность курса – 16 часов (2 учебных дня).

Обучение проводится с 10.00 – 18.00.

Дополнительно

Обучение проводится на английском языке с переводом на русский язык. Повышению эффективности обучения будет способствовать участие слушателей в разборе конкретных примеров применения методик управления рисками и обмене мнениями.

Слушатели получают фирменные учебные материалы, предоставленные Хендриком Колемансом, свидетельство об обучении.

Программа учебного курса

День 1: Управление информационной безопасностью

• Корпоративное управление и потребность в управлении информационной безопасностью.
• Взгляд сверху: как высшее руководство и члены советов директоров смотрят на информационную безопасность и что они ожидают от руководителей по информационной безопасности и директоров по информации.
• Управление рисками в управлении информационной безопасностью.
  
  
  • Как их идентифицировать, оценивать и классифицировать?
  • Как организация может использовать такой подход для расширения возможностей реализации своих задач с меньшими затратами?
• Обзор структур контроля и стандартов управления безопасностью.
  
  
  • Редакция директив по информационной безопасности CobiT® 4.1.
  • Преимущества ISO 27002 для управления информационной безопасностью, и как его использовать с практической точки зрения?
  • Что может означать стандарт ISO 27001 Information Security Management System для вашей организации?
  • Применение ISO 27002 и ISO 27001.
  • Использование ISO 27005 (бывшего BS 7799-3) для управления рисками в информационной безопасности.
• Как улучшить связь информационной безопасности с целями бизнеса организации.
  
  
  • Форум (совет) по информационной безопасности как практичный и незаменимый инструмент по заданию направления развития в организации.
  • Как связать корпоративное управление и управление информационной безопасностью с целями бизнеса и ИТ. Как сделать это на практике и добиться участия бизнеса.
  • Мониторинг результативности и доведение до руководства информации об управлении информационной безопасностью.
  • Другие мощные средства для улучшения связи информационной безопасности с целями бизнеса.
• Разбор ситуаций по оценке рисков и установке приоритетов в информационной безопасности. Практическое использование методик оценки рисков для определения наиболее критичных процессов, которые необходимо улучшить в конкретной организации.

День 2: Внедрение и совершенствование управления информационной безопасностью

• Разработка и внедрение структуры управления информационной безопасностью.
  
  
  • Разработка политики. Использование целей безопасности и ключевых принципов для запуска процесса.
  • Роли, ответственность и полномочия: необходимость четкости изложения и понимания всеми участниками процесса.
  • Разработка структуры безопасности и контроля, включающей стандарты, меры, практики и процедуры.
  • Внедрение и его поддержка.
  • Мониторинг и введение изменений для обнаружения и своевременного устранения нарушений безопасности, соответствия законодательству. Упреждающее информирование руководства о текущем состоянии управления информационной безопасности и его соответствии требуемому .
  • Обучение персонала с целью повышения осведомленности в вопросах информационной безопасности, тренировка умений и практических навыков, необходимых для безопасного использования информационных систем.
• Использование модели зрелости для самостоятельной оценки контроля (Control Self Assessment - CSA). Как оценить реальный уровень управления безопасностью и определить уровень, который нужен вашей организации.
• Разбор практических ситуаций. Убеждение руководства в преимуществах совершенствования управления информационной безопасностью и практического подхода к улучшению состояния дел на конкретном предприятии.

Регистрация на обучение

Для регистрации на курс необходимо подать заявку. В связи с ограниченным количеством учебных мест мы рекомендуем сделать это заблаговременно. Места бронируются в учебной группе только при условии полной оплаты.

Подать заявку на обучение можно здесь.

С вопросами можно обращаться по электронной почте edu@itsecurity.ru или по телефону +7 (495) 980-2345, доб. 9, с 9:30 до 18:00 по московскому времени в будние дни.