Курс Обеспечение кибербезопасности в реалиях бизнес-требований РФ

Для чего курс

Курс разработан с учетом требований законодательства и стандартов по информационной безопасности, а также в смежных сферах.

По мере появления новых нормативных актов или актуальных для нас изменений – мы своевременно знакомим обучающихся с изменением обстановки.

Мы следим за трендами – наш курс обновляется по мере появления новых средств и технологий защиты информации. Они будут полезны как специалистам с высоким уровнем экспертизы, так и тем, кто только «вливается» в тематику ИТ-технологий в целом, и информационной безопасности в частности.

Мы отслеживаем аппаратные и программные ноу-хау, имеем опыт участия в интеграционных проектах по ИТ и ИБ, как с позиции сейловой во взаимодействии с заказчиками и курирования команд разных подразделений – «helicopter view», так и с позиции непосредственно технического руководства проектами «на земле» – опыт решения конкретных задач по обеспечению информационной безопасности предприятий.

Курс сочетает в себе как теоретическую базу, так и практический опыт: обучающееся получают системные знания, учатся использовать их уже во время обучения у себя на предприятиях.

Также, для представителей системных интеграторов и в целом, компаний- исполнителей – курс будет полезен для увеличения числа возможных сделок за счет риск-ориентированного подхода при обосновании ИТ/ИБ проектов, а также для эффективного внедрения решений информационной безопасности.

Для заказчика важно получение информации о рисках для бизнеса при принятии управленческих решений, а также для получения независимой оценки состояния информационной безопасности.

Курс позволит заложить крепкий базис для выстраивания долгосрочных отношений со своими заказчиками и будет способствовать повышению его лояльности.

В условиях модернизации производственных активов по программам, предполагающим современный подход к производству, основанный на массовом внедрении ИТ в промышленность, масштабной автоматизации бизнес-процессов и применении машинного обучения (Индустрия 4.0), с одной стороны, а также учитывая всем известные события в нашей стороне и риски, которые не всегда позволяют двигаться в сторону цифровизации, с другой стороны – необходимо находить баланс между закрываемыми рисками/внедрением новых технологий и мерами/средствами, которые используются для достижения целей деятельности предприятия в жестких конкурентных условиях и военно-политической обстановки вокруг Российской Федерации.

Поэтому, для представителей Заказчика – курс поможет принять взвешенное решение с учетом современных реалий по выбору наиболее оптимального набора средств и систем ИБ и обоснованию по его расширению или перекладыванию затрат на развитие смежных систем.

С позиции финансистов и планово-экономического отдела – будет более прозрачно видно насколько эффективно используется бюджет на собственную ИТ/ИБ.

Представителям подразделений ИТ/ИБ предприятия курс поможет в выстраивании диалога на языке бизнеса с ТОП-менеджментом при обосновании технических решений и бюджетов под них в поддержку стратегии развития предприятия с поправкой на ту или иную отрасль.

Учитывая обычно небольшой штат по ИБ, отсутствие необходимых ресурсов и компетенций для самостоятельной оценки рисков – безусловно не всегда желание брать всю ответственность на себя – курс поможет грамотно распределить ответственность и парировать риски. Как следствие – поможет понять методику для решения «конфликта интересов» между службами ИТ/ИБ и службой эксплуатации технологического оборудования.

Владельцам ключевых бизнес-процессов (технологических цепочек) курс поможет парировать риски по информационной безопасности.

В условиях ухода западных вендоров по информационной безопасности курс поможет при переходе с существующих ИТ/ИБ систем на Российские.

Записаться на курс у менеджера

Кому будет полезен курс

  • заместителям руководителей службы ИБ предприятия по указу № 250;
  • менеджеру по работе с клиентами или руководителю/администратору проектов системного интегратора;
  • руководителю предприятия, руководителю среднего и высшего звена;
  • представителям подразделений ИТ/ИБ предприятия;
  • специалистам по ИТ/ИБ, желающим расширить свои компетенции для более эффективной адаптации к современным реалия;
  • владельцу критичных бизнес-процессов (технологических цепочек) предприятия, руководителю смежного подразделения;
  • начинающим ИБ/ИТ специалистам для построения «правильной компетностной базы» с целью дальнейшего развития по выбранному вектору в ИБ/ИТ.

Старт зимнего потока - 23 января 2023 года

  • Цена: 53.990 руб;
  • Уроков в неделю: 2;
  • Продолжительность обучения: 360 часов;
  • Период обучения: 6 месяцев;
  • Форма обучения: дистанционная, без отрыва от трудовой деятельности.

Возможна оплата в рассрочку на 3 - 24 месяца.

Программа курса «Обеспечение кибербезопасности в реалиях бизнес-требований РФ»

  1. Введение: Обеспечение ИБ с позиции требований бизнеса. Основные бизнес- процессы организации, практики риск-ориентированного подхода в организациях. Ландшафт угроз ИБ. APT-атаки. Инсайдеры, саботаж, промышленный шпионаж. Риски ИБ промышленного IoT в Индустрии 4.0. Модели работы ИТ/ИБ на предприятии. Безопасность как сервис. Корпоративная серс-модель. Проблемы регулирования. Нормативный и корпоративный комплаенс. Основные принципы построения систем в защищенном исполнении в рамках проектов цифровой трансформации. «Карта» в области методологического обеспечения и стандартизации ИБ в компании. Модель управления угрозами информационной безопасности.
  2. Направления защиты: Эшелонированная защита информации. Обзор вендоров и принципов построения систем защиты информации. Системы управления активами, системы контроля защищенности. Системы управления доступом. Развитие типов угроз и мер защиты. Системы сбора и корреляций событий ИБ (SIEM). Системы обнаружения аномалий в технологических сегментах. Поведенческий анализ (XDR. EDR, NDR). Системы реагирования на инциденты ИБ (IRP платформы). Сиcтемы класса SOAR. Системы повышения осведомлённости сотрудников. Системы резервного копирования и восстановления. PBBA target/integrated systems. Системы контроля неизменности конфигурации. Технический стандарт. Полный цикл работ по информационной безопасности.
  3. Инциденты и процессы информационной безопасности: Принципы построения эффективной системы управления инцидентами. Создание системы процессов ИБ технологического сегмента. Система KPI, ожидаемые результаты. Создание инфраструктуры и организационной модели SOC для обеспечения тотального контроля над процессами и информацией в инфраструктуре крупной компании на всех уровнях. Противодействие мошенническим операциям введение системы контролей надлежащего исполнения дизайна бизнес-процессов компании и выявления несанкционированных действий. (Antifraud). Развертывание и обеспечение эффективности процесса контроля утечек чувствительной информации компании и формирование киберкультуры персонала.
  4. Структура «бизнес-машины»: Стратегическое и оперативное управление организацией. Оптимальные балансы. Структура бизнес-машины (БМ), цели и задачи подсистем. Принципы формирования системы сбалансированных показателей (ССП), выделение критичных процессов в подсистемах БП. Принципы корреляции бизнес-процессов и процессов ИБ. Системное и ручное управление. Проблематика управленческой диагностики. Стратегия развития организации (Матрица продукт/рынок). Стратегия диверсификации в ИТ. Шаги по выстраиванию системы – формализация (ЦДС). Практика: оценка активов и принципы обоснования использования ИТ-систем.
  5. Показатели эффективности БП: Общая Показатели эффективности бизнес- процессов – результирующие оценки, выделение «критичных костей» в ключевые бизнес-процессы и оценка их влияния. Риски ИБ, характерные для ключевых БП. Практика: Для организации (на основе занятий 2-4) строим систему БП, считаем показатели эффективности БП и делаем маппинг БП и процессов ИБ, считаем общие бизнес показатели по ИБ, используя матрицу КБП,КФУ,ЦДС, ССП.
  6. Обзор Российского ИБ-комплаенса: Развитие НПА в РФ. Общая классификация требований по ИБ для разных сфер и потребность ИБ в организациях из разных сфер с точки зрения бизнеса. Классификация регуляторов и кто за что отвечает. Разница в регулировании защиты информации разными регуляторами. Корпоративный риск-аппетит (к принятию комплаенс-рисков не только в ИБ – требования, ответственность и практика на местах).
  7. Критичные отраслевые требования регуляторов по ИБ: Требования к безопасности информации и проблемы трактовки закона на местах разных НПА. Требования к продукции ИБ как таковой. Общие направления защиты информации. Требования по ИБ правообладателя. Требования к ГИС. Каталог защитных мер по ИБ. Определение защитных меры и соотношение защитных мер и угроз. Модель угроз. Уровень доверия. Классы ИС. Оценка соответствия средств защиты информации. Тема КИИ в отраслевом контексте (ФЗ-187). ГосСопка и взаимодействие с НКЦКИ, обеспечение безопасности значимых объектов КИИ, Организация работ по ИБ ЗОКИИ, Реагирование, Контроль. Импортозамещение в динамике по сертификации СрЗИ в условиях санкций. Как работать в рамках импортозамещения и соблюдения Указа № 250. Практика: Для организации прописываем основные требования регуляторов и выделяем наиболее острые требования.
  8. Риски ИБ для разных стейкхолдеров: потребности и «баланс» при оценке рисков ИБ, ключевые вопросы при оценки рисков. Обзор Российских и международных НПА по рискам ИБ. Общие методики оценки рисков – мировая и Российская практика. Использование риск ориентированного подхода в ИБ для стейкхолдеров.
  9. Функционал стейкхолдеров: Методики распределения обязанностей внутри группы/проекта при выполнении работ по ИТ/ИБ. Методики определения потребностей в оценке рисков ИБ. Возможные потребности Заказчика в области оценки рисков ИБ или проблемы. Функционал стейкхолдеров при оценке рисков ИБ. Методики решения «конфликта интересов служб». Функциональная матрица. Практика: Для организации определяем функционал стейкхолдеров по методике.
  10. Методики и вводная часть по расчетам риска ИБ: Комплаенс. Непрерывность бизнеса. Характеристики информации. Корпоративные активы. Взаимосвязь целей информационной безопасности с орг.стрктурой и бизнес-машиной. Структура бизнес-процессов. Идентификация и основы оценки активов. Разделение зон ответственности ИБ и ИТ. Модель управления угрозами и связка угроз, рисков, мер защиты. Система оперативного управления инцидентами. Организационная структура информационной безопасности с позиции крупного предприятия. Подходы к оценке рисков ИБ. Расчет количественных рисков ИБ на примере крупного предприятия. Результаты расчета количественного риска ИБ для крупного металлургического холдинга. Обзор инструментария для оценки рисков и проведения аудита ИБ.
  11. Расчет и параметры: Математическая модель оценки рисков. Описание ключевых параметров оценки. Расчет количественных рисков для конкретного предприятия. Работа с результатами оценки рисков предприятия. Заключительные вопросы. беседа с аудиторией. Практика: Для организации А определяем основные параметры по оценке рисков.
  12. Обоснование проекта: как обосновать проведение закупки и принимаемые управленческие решения. Подходы к обоснованию программы проектов ИБ на основе оценки рисков: международный компаленс, валидный для страховой компании с приложением на практику и ФЗ в РФ: угрозы, сценарии, риски и меры защиты от них. Выстраивание программы проектов ИБ: меры защиты информации, направления защиты информации и определение программы проектов ИБ. Практика: Для организации делаем стыковку угроз-сценариев-мер защиты.
  13. Обоснование решений и принятой стратегии: математическое обоснование принимаемых решений по выстраиванию программы проектов ИБ. Заключительные вопросы. Беседа с аудиторией. Практика: Для организации заполняем матрицу для обоснования проекта по одной из подсистем ИБ.
  14. Выполняемые работы консалтинговой компании: Перечень выполняемых работ по оценке и парированию рисков ИБ и что может предложить консалтинговая компания: перечень выполняемых работ и взаимодействие с внешними специалистами. Необходимый уровень компетенций проектной команды консалтинговой компании.
  15. Страхование рисков ИБ и взаимодействие с интегратором: Матрица рисков и угроз, модель приоритизации проектов. Сервисная модель ИБ, opex&capex в ИБ. Страхование ответственности и снижение расходов на обслуживание ИБ: способы работы с рисками, аутсорсинг. Принципы работы системного интегратора и его связка с вендорами, дистрибьюторами. Уровни и структура принятия решений в интеграторе.
  16. Экзамен (задания).

Записаться на курс