Koordinator kontrol informacijske varnosti | ISMS Controls Coordinator

"Eno usposabljanje, dve potrdili." “Lokalno znanje, globalno priznanje.” Po uspešno opravljenem usposabljanju udeleženci pridobite mednarodno priznano IQNET potrdilo Information Security Controls Coordinator according to ISO/IEC 27002 (IQNET Academy) in SIQ potrdilo o uspešno opravljenem usposabljanju

Uvod

To dvodnevno usposabljanje zagotavlja celovit pregled kontrol informacijske varnosti, ki temeljijo na mednarodnem standardu ISO/IEC 27002:2022. Usposabljanje je strukturirano tako, da udeleženci najprej pridobijo razumevanje namena in strukture kontrol, nato pa poglobijo znanje z natančno obravnavo vseh 93 kontrol, razvrščenih v štiri skupine: organizacijske kontrole informacijske varnosti, človeške kontrole, fizične kontrole in tehnološke kontrole.

Prvi dan je namenjen organizacijskim in človeškim kontrolam, drugi dan pa obravnava fizične in tehnološke kontrole. Kontrole se obravnavajo v kontekstu njihove povezave s procesom upravljanja tveganj, pri čemer je poudarek na razumevanju, kako izbrane kontrole odgovarjajo na prepoznane grožnje in ranljivosti znotraj organizacije. Posebna pozornost je namenjena vlogi koordinatorja kontrol informacijske varnosti (ISMS Controls Coordinator), ki usklajuje izbor, prilagoditev, izvajanje in spremljanje učinkovitosti kontrol informacijske varnosti ter zagotavlja njihovo povezavo z rezultati ocene tveganj in skladnost z zahtevami standarda ISO/IEC 27001. Zaželeno je, da je koordinator kontrol informacijske varnosti hkrati tudi lastnik tveganja ali svetovalec lastnikom tveganj pri odločanju o najprimernejših kontrolah.

Praktično delo je sestavni del tega usposabljanja, udeleženci pa so z vrsto jasno strukturiranih vaj spodbujeni k aktivnemu sodelovanju z namenom poglabljanja razumevanja in uporabe obravnavanih vsebin. Program se zaključi s pisnim izpitom, s katerim se preverja razumevanje ključnih pojmov in praktična uporaba pridobljenega znanja.

Program usposabljanja

1. DAN – ORGANIZACIJSKE IN ČLOVEŠKE KONTROLE

➤ 1. Uvod v kontrole informacijske varnosti

Prvi del programa ponuja pregled strukture standarda ISO/IEC 27002:2022 in njegove povezanosti s standardom ISO/IEC 27001:2022, zlasti s Prilogo A, ki vsebuje seznam kontrol. Udeleženci bodo razumeli vlogo kontrol v okviru sistema upravljanja informacijske varnosti (ISMS), spoznali bodo osnovna načela razvrščanja kontrol v štiri kategorije ter pomen pojmov, kot so cilj, namen in smernice za vsako kontrolo. Pojasni se tudi, kako so kontrole povezane s procesom upravljanja tveganj, kjer izbrane kontrole služijo kot odziv na prepoznana tveganja z namenom njihovega zmanjšanja na sprejemljivo raven. Prav tako se razloži namen prilagoditve kontrol dejanskim okoliščinam organizacije.

➤ 2. Organizacijske kontrole – 1. del (kontrole 5.1–5.15)
V tem učnem delu se obravnavajo prve organizacijske kontrole, ki se nanašajo na postavitev temeljev sistema varnosti, vključno s sprejemanjem in izvajanjem politik informacijske varnosti, razporeditvijo odgovornosti, upoštevanjem navzkrižja interesov ter opredelitvijo vlog znotraj organizacije in v odnosu do tretjih strani. Podrobno se prouči kontrole, ki se nanašajo na obveznosti zaposlenih po prenehanju delovnega razmerja ter na razdelitev obveznosti pri zunanjih storitvah, zlasti v oblaku. Vključeno je tudi upravljanje tveganj, ocenjevanje in obravnava tveganj, identifikacija informacijskih sredstev in njihova klasifikacija.

Vaja 1. Kontrole za upravljanje politik in odgovornosti
Vaja je usmerjena v ocenjevanje tveganj, povezanih z določitvijo varnostnih politik, dodeljevanjem odgovornosti, vključevanjem tretjih strani ter klasifikacijo sredstev, z namenom izbire ustreznih organizacijskih kontrol, ki predstavljajo temelj ISMS. 

➤ 3. Organizacijske kontrole – 2. del (kontrole 5.16–5.37)
V nadaljevanju se preuči preostale organizacijske kontrole, ki vključujejo pravila sprejemljive uporabe informacij, upravljanje dostopa, uporabo kriptografskih metod ter strategije za varnostno kopiranje podatkov. Udeleženci se bodo seznanili s postopki za upravljanje dogodkov informacijske varnosti, varnostnimi incidenti in neprekinjenim poslovanjem, kot tudi s kontrolami, ki se nanašajo na notranje presoje, preverjanje skladnosti in spremljanje zakonodajnih zahtev. Poglavje se zaključi s kontrolami, povezanimi z varstvom zasebnosti in upravljanjem osebnih podatkov.
 

Vaja 2. Kontrole za obravnavo incidentov in varnostno kopiranje
Vaja zajema analizo tveganj, povezanih z upravljanjem varnostnih incidentov, neprekinjenim poslovanjem ter varnostnim kopiranjem, z izbiro kontrol, ki omogočajo učinkovito upravljanje.

➤ 4. Človeške (kontrole 6.1–6.8)
V tem delu je poudarek na človeškem vidiku informacijske varnosti. Obravnavajo se odgovornosti, ki se začnejo že v fazi zaposlovanja, vključno s preverjanji in pogodbenimi obveznostmi, nadaljujejo z izobraževanjem in ozaveščanjem zaposlenih ter zaključujejo s pravili za upravljanje vedenja, kršitev varnostnih pravil in sprememb v delovnem razmerju. Posebna pozornost je namenjena krepitvi varnostne kulture v organizaciji.

Vaja 3. Varnostne kontrole za zaposlene
Vaja se osredotoča na prepoznavanje in ocenjevanje tveganj, ki nastajajo v fazah zaposlovanja, dela, sprememb ali prekinitve delovnega razmerja, ter na izbiro kontrol, ki zagotavljajo varnost informacij pri interakciji s človeškimi viri.

2. DAN – FIZIČNE IN TEHNOLOŠKE KONTROLE

➤ 5. Fizične kontrole (kontrole 7.1–7.14)

V petem delu programa se obravnavajo kontrole fizične varnosti, s poudarkom na zaščiti oboda, nadzorovanem dostopu do prostorov, varnem nameščanju in zaščiti opreme. Udeleženci se bodo seznanili s kontrolami za upravljanje napajanja ter z varnostjo pri delu na daljavo in uporabi mobilnih naprav. Dodatno se prouči kontrole, povezane s prenosom, premikanjem in odstranjevanjem opreme, s čimer se zaokroži nabor fizičnih zaščitnih kontrol.

Vaja 4. Kontrole za zaščito prostorov in opreme

Vaja obravnava tveganja, ki izhajajo iz fizičnega dostopa, dela na daljavo, zaščite opreme in okoljskih razmer, cilj pa je izbrati kontrole, ki zagotavljajo zanesljivo zaščito informacijskih sredstev v fizičnem prostoru.

➤ 6. Tehnološke kontrole – 1. del (kontrole 8.1–8.17)

Udeleženci se seznanijo s tehnološkimi kontrolami, ki se nanašajo na upravljanje identitet in dostopov, vključno z overjanjem in avtorizacijo. Poseben poudarek je na varnostnih nastavitvah informacijskih sistemov, varnostnih značilnostih aplikacij ter tehnoloških kontrolah za upravljanje ranljivosti. Obravnava se tudi vzpostavitev sistemov za zapisovanje in spremljanje varnostnih dogodkov zaradi pravočasnega zaznavanja in odziva.

Vaja 5. Kontrole za upravljanje dostopa in uporabniških identitet

Vaja je usmerjena v analizo tehničnih tveganj, povezanih s pravicami dostopa, upravljanjem uporabnikov, overjanjem in nadzorom nad sistemi, ter uporabo ustreznih tehnoloških kontrol za zaščito dostopa do informacij.

➤ 7. Tehnološke kontrole – 2. del (kontrole 8.18–8.34)

V sedmem delu programa se nadaljuje z obravnavo tehnoloških kontrol, s poudarkom na varnosti omrežnega prometa, vključno z ločevanjem omrežij, zaščito podatkov med prenosom in zagotavljanjem varnih komunikacijskih kanalov. Obravnavane bodo kontrole, povezane z razvojem programske opreme, upravljanjem sprememb, preprečevanjem zlonamernih programov in tehnično dokumentacijo. Na ta način se zaokroži tehnološki pristop k zaščiti informacij v sodobnih IT okoljih.
 

Vaja 6. Kontrole za varnost omrežij in razvoj sistemov

Vaja se osredotoča na tveganja, povezana z omrežnimi prenosi, varnostjo sistemov v razvoju, upravljanjem sprememb in zaščito pred zlonamernimi dejavnostmi, ob izbiri kontrol, ki zagotavljajo tehnološko odpornost in zanesljivost.

➤ 8. Zaključno preverjanje znanja – pisni izpit

Zaključni del je namenjen pisnemu preverjanju znanja, s katerim se ocenjuje razumevanje vseh štirih skupin kontrol. Izpit vsebuje vprašanja iz teoretičnega in praktičnega dela.

Komu je usposabljanje namenjeno

Usposabljanje je namenjeno strokovnjakom, ki sodelujejo pri vzpostavitvi, vzdrževanju, nadzoru in izboljševanju sistema upravljanja informacijske varnosti. Posebej je koristen za vodje varnosti, vodje IT, člane ekip ISMS, notranje in zunanje presojevalce, svetovalce ter odločevalce, ki želijo razumeti vlogo kontrol pri izpolnjevanju zahtev standarda ISO/IEC 27001. Primeren je tudi za vse, ki želijo poglobiti razumevanje upravljanja tveganj z učinkovito uporabo kontrol informacijske varnosti.

Učni izidi

Po zaključku usposabljanja bodo udeleženci:

• razumeli strukturo in namen standarda ISO/IEC 27002:2022,

• znali razlikovati štiri skupine kontrol in njihovo medsebojno povezanost,

• znali razlagati namen in smernice vsake posamezne kontrole,

• znali povezati kontrole z rezultati ocene tveganj v ISMS,

• razumeli, kako kontrole prispevajo k izpolnjevanju zahtev standarda ISO/IEC 27001:2022,

• bili usposobljeni za uporabo kontrol v dejanskih organizacijskih kontekstih,

• prepoznali pomen izbire in prilagoditve kontrol glede na potrebe organizacije.

Metodologija

Usposabljanje obsega predavanja, strukturirane analize kontrol, praktične primere in skupinske razprave. Vsaka enota vsebuje teoretično razlago namena kontrole in njene uporabe v povezavi s kontekstom upravljanja tveganj in praktičnimi primeri. Udeležencem je omogočeno postavljanje vprašanj skozi celoten potek usposabljanja. Drugi dan se zaključi s pisnim izpitom, s katerim se ocenjuje razumevanje vsebine.

Literatura

Temeljna literatura za to usposabljanje vključuje naslednje vire:

• ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection – Information security management systems – Requirements
• ISO/IEC 27002:2022 – Information security, cybersecurity and privacy protection – Information security controls

Nastanitev: Ker izobraževanje traja več dni zapored, vam ponujamo možnost prenočitve v Ljubljani. SIQ Ljubljana ima sklenjen poseben dogovor s hotelom Austria Trend Ljubljana, ki se nahaja približno 20 minut hoje od naših predavalnic. Kot alternativna možnost je na voljo tudi hotel Ibis Styles Ljubljana Centre v središču mesta. Za več informacij glede nastanitve nas prosimo kontaktirajte. 

Dodatne informacije: Bojan Varga, telefon: (01) 477 81 08, e-pošta: bojan.varga@siq.si