- •2. Процессный подход к анализу и управлению рисками. Характеристика процессов.
- •3. Основные понятия и определения: риск, характеристики рисков, анализ рисков, оценка рисков, управление рисками.
- •4.Этапы анализа и оценки рисков.
- •5. Управление рисками. Цели управления рисками. Что включает в себя управление рисками.
- •6. Уровни зрелости организации, определяемые международными стандартами.
- •7. Суть процессов обработки рисков иб.
- •8. Количественная и качественная оценка рисков. Что необходимо учитывать для проведения количественной оценки рисков?
- •9. Понятие Аудит иб. Цели, задачи Аудита. Стандарты в области аудита.
- •1. Комплексный анализ ис предприятия и подсистемы информационной безопасности на методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков.
1. Комплексный анализ ис предприятия и подсистемы информационной безопасности на методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков.
1.1 Комплексная оценка соответствия типовых требований международных стандартов ISO, ДССЗЗІ, специальных требований Заказчика системе информационной безопасности предприятия системе информационной безопасности предприятия.
1.2. Оценка рисков на основе качественных и количественных оценок.
1.3. Инструментальные исследования элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей, защищенности точек доступа предприятия в Internet.
2. Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима информационной безопасности предприятия.
3. Организационно-технологический анализ ИС предприятия.
3.1 Оценка соответствия типовым требованиям руководящих документов СТЗ информации системы информационной безопасности предприятия в области организационно-технологических норм.
3. 2. Анализ документооборота предприятия категории ИЗОД требованиям предприятия по обеспечению конфиденциальности информации.
4. Экспертиза решений и проектов создания КСЗИ на соответствие требованиям по обеспечению информационной безопасности экспертно-документальным методом.
5. Работы, поддерживающие практическую реализацию плана защиты.
5.1. Разработка технического проекта модернизации средств защиты КИС, установленных у Заказчика по результатам проведенного комплексного аналитического исследования корпоративной сети.
6. Подготовка предприятия к аттестации на соответствие требованиям ДСТСЗИ, международных стандартов ISO 15408, ISO 17799, стандарта ISO 9001.
7. Повышение квалификации и переподготовка специалистов.
7.1. Тренинги в области организационно-правовой составляющей защиты информации.
7.2. Обучение основам экономической безопасности.
7.3. Тренинги в области технологии защиты информации.
7.4. Тренинги по применению продуктов (технических средств) защиты информации.
7.5. Обучение действиям при попытке взлома информационных систем.
7.6. Обучение и тренинги по восстановлению работоспособности системы после нарушения штатного режима ее функционирования также по восстановлению данными программ из резервных копий.
8. Сопровождение системы информационной безопасности после проведенного комплексного анализа или анализа элементов системы ИБ предприятия.
9. Ежегодная переоценка состояния ИБ.
11. Организация и порядок проведения аудита.
Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее:
Инициирование процедуры аудита
Сбор информации аудита
Анализ данных аудита
Выработка рекомендаций
Подготовка аудиторского отчета
разработка политик безопасности и других организационно-распорядительных документом по защите информации и участие в их внедрении в работу организации;
постановка задач для ИТ персонала, касающихся обеспечения защиты информации;
участие в обучении пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности;
участие в разборе инцидентов, связанных с нарушением информационной безопасности;
и другие.