Проведение семинара возможно в онлайн формате на официальной платформе International Business Academy.
По завершению обучения вам будет предоставлена ссылка на запись, которая будет активна в течение месяца.
*даты требуют дополнительного согласования
Цель программы:
Обучение руководителей, IT-специалистов и сотрудников служб безопасности принципам и методам построения НЕ ФОРМАЛЬНОЙ риск-ориентированной системы менеджмента информационной безопасности (СМИБ) в соответствии с международным стандартом ISO 27001:2022, которая действительно будет способствовать защите информации и снижению кибер-угроз за счёт раскрытия в теме тренинга следующих направлений:
— Снижение рисков информационной безопасности — защита от кибер-атак, утечек данных и инцидентов ИБ
— Повышение устойчивости IT-систем — минимизация сбоев и простоев за счёт внедрения риск-ориентированных процессов
— Оптимизация процессов ИБ — интеграция управления рисками в процессы IT и бизнеса, сокращение неэффективных затрат
— Повышение эффективности внутреннего мониторинга — переход от формальных проверок к риск-ориентированному внутреннему аудиту СМИБ
— Соответствие требованиям законодательства и сертификационных органов — снижение количества несоответствий при проверках и аудитах
— Повышение качества управленческих решений — внедрение методов принятия решений на основе количественной оценки кибер-рисков
— Поддержка целей цифровой трансформации и ESG — обеспечение доверия клиентов и партнёров к цифровым сервисам компании
Задачи:
— Разобрать требования стандарта ISO 27001:2022
— Освоить методы идентификации, анализа и управления рисками информационной безопасности на основе ISO 31010
— Научиться применять инструменты алгоритмического анализа (SWOT, PEST, «5 сил Портера») для формирования контекста организации в сфере ИБ
— Разработать риск-ориентированную модель бизнес-процессов в части информационной безопасности
— Изучить методы количественной оценки кибер-рисков (имитационное моделирование Монте-Карло, скоринговая модель, диаграмма Торнадо)
— Сформировать систему KPI (по процессам) и KRI (ключевых рисковых индикаторов) для управления ИБ
— Освоить подходы к планированию и проведению риск-ориентированных внутренних аудитов СМИБ (ISO 19011)
— Закрепить знания в практических кейсах, групповых работах (например, моделирование рисков утечки данных) и интерактивных играх
Развиваемые навыки:
— Стратегическое мышление в области ИБ — умение связывать стратегию компании с целями информационной безопасности
— Процессный подход — описание и оптимизация процессов ИБ в соответствии с ISO 27001
— Управление рисками ИБ — методы идентификации, анализа, оценки и обработки кибер-угроз
— Принятие решений на основе количественной оценки кибер-рисков — повышение качества планирования и устойчивости бизнеса
— Аудиторские навыки — проведение внутренних аудитов СМИБ в соответствии с ISO 19011
— Оценка результативности СМИБ — мониторинг KPI и KRI, анализ инцидентов и корректирующих действий
— Работа с заинтересованными сторонами — учёт требований регуляторов, клиентов и партнёров при построении системы ИБ
Использование инструментов искусственного интеллекта — освоение навыков применения ИИ для анализа, планирования и документирования процессов; участникам предоставляется готовый промпт, который они смогут использовать самостоятельно в дальнейшей работе
Введение
Знакомство/ введение/ обзор курса/ представление слушателей
История стандартизации. Введение в ISO
Семь принципов менеджмента
Контекст компании
Понимание организации и её контекста применительно к рискам и структуре компании
Метод «5К», Методика «5 сил Майкла Портера», SWOT-анализ, PEST-анализ
Заинтересованные стороны, требования и ожидания заинтересованных сторон
Понимание заинтересованных сторон. Связь заинтересованных сторон и контекста
Принятые обязательства, взаимосвязь с контекстом компании
Оценка степени соответствия принятым обязательствам
Примеры методик оценки соответствия принятым обязательствам
Область применения Системы менеджмента информационной безопасности (СМИБ)
Области применения СМИБ и связь её с контекстом
Бизнес-процессы
Процессный подход
Взаимосвязь контекста и процессов
Порядок идентификации процессов — лучшие практики
Варианты описания процессов
Критерии процессов (KPI)
Виды критериев: input KPI и output KPI
Взаимосвязь критериев и стратегии компании
Введение в риск-менеджмент
Распространённые мифы в области риск-менеджмента и их разоблачение
Система-1, Система-2 и понятие «ментальных ловушек»
Идентификация рисков
Ментальные ловушки на этапе идентификации рисков
Методы идентификации рисков (из ISO 31010:2019):
— Декомпозиция цели и метод MECE (Mutually Exclusive & Collectively Exhaustive)
— «Мозговой штурм»
— База данных реализовавшихся рисков
— Метод «RIR — Risk Identification Report»
— Контрольные «чек-листы»
— Анализ влияния на деятельность («процессный подход»)
Анализ риска
Ментальные ловушки на этапе анализа рисков
Методы анализ риска (из ISO 31010:2019):
— Метод «5 почему»
— Метод «галстук-бабочка»
— Метод «деревья решений»
— Метод имитационного моделирования «Монте-Карло» и др.
Примеры анализа рисков и заполнения Регистра рисков
Определение степени риска
Ментальные ловушки на этапе оценивания рисков
Различные варианты оценивания риска (качественный, количественный и их комбинация из ISO 31010:2019)
Оценка и анализ влияния рисков на принимаемое решение
Способы визуализации итогов оценки: Карты рисков, Деревья решений, Скоринговая модель
Воздействие на риск
Ментальные ловушки на этапе воздействия на риск
Шесть способов обработки риска
Выбор метода обработки риска
Примеры обработки риска
Мониторинг и анализ рисков
Ключевые рисковые показатели (КРП). Взаимосвязь КРП и KPI
Лидерство
Риск-ориентированное принятие решений
Методы повышения качества принимаемых корпоративных решений из методики «Decision Quality»
Взаимосвязь стратегии, контекста и Политики в области СМИБ
Рекомендации по разработке Политики в области СМИБ
Ответственность и полномочия
Методы описания действий по процессам (в виде регламентов/ контрольных процедур)
Дизайн бизнес-процессов и контролей
Основные требования/ рекомендации по разработке контрольных процедур и частые ошибки
Цели СМИБ
Требования стандартов к целеполаганию
Взаимосвязь стратегии, контекста, Политики и Целей СМИБ
Лучшие практики по целеполаганию с учётом рисков
Ресурсы
Определение необходимой компетентности персонала для функционирования процессов
Определение необходимой инфраструктуры для функционирования процессов
Внутрифирменная база знаний.
Эффективные коммуникации. Документированная информация.
Осуществление деятельности
Оценка рисков информационной безопасности
Обработка рисков информационной безопасности
Проверка
Внутренний аудит СМИБ.
Порядок планирования, проведения и анализа результатов риск-ориентированного внутреннего аудита СМИБ.
Анализ СМИБ. Лучшие практики.
Улучшения
Корректирующие действия. Примеры и лучшие практики.
Постоянное улучшение.
Групповая игра «интерактивный разбор требований и ситуаций из ISO 27001»