Свържете се с нас

Съдържание и теми, включени в курса

ISO/IEC 27002:2022 е най-новият международен стандарт, предоставящ практически насоки за контроли върху информационната сигурност, наред с ISO/IEC 27001 за създаване, внедряване и подобряване на Система за управление на информационната сигурност (СУИС). Тази подобрена учебна програма е съобразена с ревизията от 2022 г. и включва актуална терминология от областта на човешките ресурси и набирането на персонал, използвана в длъжностните характеристики за информационна сигурност.

Основи на информационната сигурност, киберсигурността и поверителността

  • Основи на информационната сигурност: конфиденциалност, цялостност и наличност (триадата CIA) в съвременни корпоративни среди
  • Еволюция на заплахите в киберсигурността: рансъмуер, атаки от национални държави, вътрешни заплахи и компрометиране на веригата на доставки
  • Поверителност на етапа на проектиране и регулаторно съответствие с GDPR, CCPA и глобални рамки за защита на данните
  • Управление на информацията: собственост, отчетност и съгласуване на заинтересованите страни между отделите
  • Управление на доверието и парадигмата на архитектурата с нулево доверие (zero-trust) в хибридни и облачни инфраструктурни среди

Рамката ISO/IEC 27001–27002 и управление на СУИС

  • Жизнен цикъл на СУИС съгласно ISO/IEC 27001: Планиране-Изпълнение-Проверка-Действие (PDCA) и пътища за сертификация
  • Връзка между ISO/IEC 27001 и актуализирания каталог с контроли ISO/IEC 27002:2022
  • Разработване на политика за информационна сигурност и структури за управление на най-високо ниво
  • Съпоставяне на регулаторното съответствие: стратегии за хармонизиране с NIST CSF, CIS Controls, SOC 2 и HIPAA
  • Метрики за информационна сигурност, ключови показатели за ефективност (KPIs) и отчитане за непрекъснато подобрение

Организационни контроли — Рамката на Контролна група 5

  • Роли, отговорности и разделение на задълженията в информационната сигурност на различни организационни нива
  • Програми за разузнаване на заплахи и платформи за управление на информацията за сигурността (SIEM, SOAR)
  • Управление на състоянието на сигурността в облака (CSPM) и съответствие на инфраструктурата като код
  • Сигурност на социални медии, BYOD и отдалечена работа: управление на мобилни устройства и защита на крайни точки
  • Мониторинг, откриване на инциденти и управление на риска от трети страни в сложни ИТ екосистеми

Контроли за хората — Сигурността на работната сила

  • Осведоменост за сигурността, техники за промяна на поведението и програми за симулация на фишинг
  • Проверка на предисторията, контроли за сигурност при назначаване и освобождаване през целия жизнен цикъл на заетостта
  • Устойчивост на отдалечената работна сила и политики за сигурен достъп при гъвкаво работно време
  • Рамки за компетентност: съгласуване на обучението по информационна сигурност с ролите на всички нива
  • Изграждане на култура с приоритет на сигурността и междуфункционално сътрудничество в управлението на риска

Физически контроли — Сигурност на сгради и активи

  • Проектиране на сигурни сгради: периметрова сигурност, системи за наблюдение и физически контрол на достъпа
  • Поддръжка на оборудване, осигуряване на веригата на доставки и управление на жизнения цикъл на активите
  • Сигурност на центрове за данни: контрол на околната среда, резервиране на захранването и готовност за възстановяване при бедствия
  • Методи за сигурно унищожаване на чувствителни носители: стандарти за дезинфекция и интегритет на веригата на доставки
  • Нововъзникващи физически заплахи: сигурност на IoT устройства и повърхности за атака в интелигентни сгради

Технологични контроли и напреднали области на сигурността

  • Криптографски контроли: управление на жизнения цикъл на ключове, PKI и оптимизация на криптиране, управлявана от изкуствен интелект
  • Сигурност на приложенията: сигурен SDLC, сигурност на API, интеграция на DevSecOps и инструменти SAST/DAST
  • Контроли на мрежовата архитектура: сегментиране, микросегментиране, защитни стени и IDS/IPS от следващо поколение
  • Сигурност на имейл: антифишинг, DMARC/SPF/DKIM и защита срещу компрометиране на бизнес имейл (BEC)
  • Изкуствен интелект и машинно обучение в киберсигурността: автоматизирано откриване на заплахи и смекчаване на последствията от adversarial AI

Оценка на риска за информационната сигурност и съответствие

  • Методологии за оценка на риска, съгласувани с ISO/IEC 27005: идентифициране, анализ и оценка
  • Планиране на третирането на риска и декларация за приложимост (SOA)
  • Готовност за одит на съответствието: координация на вътрешен/външен одит и одитиране, базирано на доказателства
  • Методологии за тестване за проникване и жизнен цикъл на управление на уязвимостите
  • Нововъзникващи заплахи: риск от квантови изчисления, екологична устойчивост (зелени ИТ) и технологии за подобряване на поверителността (PETs)

Подготовка за изпит PECB и приложение в реалния свят

  • Структура на изпита PECB ISO/IEC 27002 Foundation, области на компетентност и стратегии за подготовка
  • Примерни казуси: внедряване на информационна сигурност в секторите на финансовите услуги, здравеопазването и технологиите
  • Изграждане на осведоменост и култура за информационна сигурност във вашата организация след сертификация
  • Поддържане на сертификацията, професионално развитие и кариерни пътеки за роли в информационната сигурност

Резюме на проучването

Съществуващата двудневна програма е силно съкратена и пропуска значителния обхват на ISO/IEC 27002:2022, който въведе 93 контроли, групирани в четири теми (Организационни, Хора, Физически, Технологични) — спрямо 114 контроли в 14 контролни категории във версията от 2013 г. Ключовите тенденции в набирането на персонал за информационна сигурност за 2024–2026 г. включват архитектура с нулево доверие, операции по сигурност, управлявани от изкуствен интелект, управление на състоянието на сигурността в облака, интеграция на DevSecOps, сигурност на веригата на доставки, технологии за подобряване на поверителността, квантово-устойчива криптография и управление на риска от трети страни. Обявите на HR за позиции като Анализатор по информационна сигурност, Ръководител на СУИС, Служител по съответствието, Специалист по киберсигурност и Мениджър на риска последователно изискват тези компетенции.

Изисквания

Няма специфични изисквания за посещаване на този курс.

 14 Часа

Брой участници


Цена за участник

Отзиви от участници (4)

Предстоящи Курсове

Свързани Kатегории