Программа семинара
«Управление ИT безопасностью в компании»
Тема 1 Создание системы ИТ безопасности в компании. Политика информационной безопасности
- роль и место ИT - безопасности в системе корпоративной безопасности компании;
- основные понятия, термины и определения в области защиты информации;
- нормативно-правовая база Российской Федерации в области защиты информации;
- порядок создания корпоративной нормативной базы в области защиты информации;
- методика разработки политики информационной безопасности в компании;
- построение системы защиты информации. Основные составные части этой системы;
- создание службы информационной безопасности (СИБ) в компании. Разделение функций между СИБ, Службой безопасности и ИT-подразделением. Место СИБ в структуре компании;
- менеджмент ИТ безопасности;
- порядок проведения внутрикорпоративных расследований по фактам нарушения ИТ безопасности в компании;
- анализ особенностей российского рынка ИT- безопасности.
Тема 2 Технические меры по формированию ИТ безопасности в компании
- угрозы информации, представленной в электронном виде;
- типовые сценарии несанкционированного доступа (НСД) к информации, представленной в электронном виде, и направления защиты от них;
- канал утечки информации за счет побочных электромагнитных излучений и наводок и его защита;
- возможная тактика использование программных и аппаратных закладных устройств. Уязвимость современных технических средств обработки информации;
- криптографическая защита информации. Симметричное и несимметричное шифрование. Средства криптографической защиты информации. Практические примеры применения криптографических методов защиты информации;
- защита автономных средств обработки информации, представленной в электронном виде;
- защита корпоративных информационных сетей;
- защита информационных ресурсов от атак через Интернет;
- межсетевые экраны и виртуальные частные сети;
- схема анализа хакерского вторжения;
- угрозы, связанные с продуктами-шпионами и способы защиты от них
Тема 3 Особенности проведения отдельных мероприятий по защите информации компании, представленной в электронном виде
- понятие «конфиденциальная информация». Структура и статус конфиденциальной информации. Конфиденциальная информация, подлежащая защите и конфиденциальная информация, которая может быть защищена. Организационно-правовые, технические и иные мероприятия по защите конфиденциальной информации в компании. Основные ИТ мероприятия по защите конфиденциальной информации;
- понятие "коммерческая тайна" в предпринимательской деятельности. Законодательство Российской Федерации в области защиты коммерческой тайны. Организационно-правовые, технические и иные мероприятия по защите коммерческой тайны компании. Основные ИТ мероприятия по защите коммерческой тайны;
- понятие «персональные данные» в международном и российском законодательстве. Обработка персональных данных в информационных системах. Классификация (аттестация, сертификация) информационных систем обработки персональных данных. Лицензирование деятельности в области защиты конфиденциальной информации. Организационно-правовые, технические и иные мероприятия по защите персональных данных. Основные ИТ мероприятия по защите персональных данных;
- конфиденциальное делопроизводство компании. Понятие электронного конфиденциального документа и электронного конфиденциального делопроизводства. Электронная цифровая подпись как механизм подтверждения авторства и подлинности электронного документа. Организационно-правовые, технические и иные мероприятия по защите конфиденциальных электронных документов. Основные ИТ мероприятия по защите конфиденциального делопроизводства
Тема 4 Аудит ИТ безопасности в компании. Стандарты безопасности информационных систем
- анализ внутренних и внешних угроз информационной безопасности компании;
- порядок проведения активного аудита ИТ безопасности в компании;
- международные и российские стандарты безопасности информационных систем
- американская концепция системного подхода к обеспечению защиты конфиденциальной информации (OPSEC Operation Security)
