Translate

сряда, 17 декември 2014 г.

Нови услуги, свързани Payment Card Industry Data Security Standard (PCI DSS) ver.3.0


Payment Card Industry Data Security Standard (PCI DSS) ver.3.0 (Novembre, 2013)


Във връзка с влизането в сила на версия 3.0 на стандарта за сигурност на данните, съдържащи се в банковите карти за електронно разплащане INFOSEC SERVICE BG предлага набор от услуги за малки и средни търговци, както следва:
- определяне на степента на съответствие на използваните от тях системи за разплащания с изискванията на PCI DSS ver. 3.0;
- разработване на мерки за постигане на необходимото и достатъчно съответствие на използваните от тях системи за разплащания с изискванията на PCI DSS ver. 3.0;
- обучение по изискванията на PCI DSS ver. 3.0 и подхода за изграждане на на системи за разплащания, отговаряща на необходимите и достатъчни изисквания за сигурност на този стандарт;
- обучение по изграждане на на система за разплащания, отговаряща на изискванията на PCI DSS ver. 3.0, в обхвата на Система за управление на информационната сигурност, в съответствие с изискванията на ISO 27001:2013 и препоръките на ISO 27002:2013.

За въпроси и допълнителна информация:

+0359 886 655 315 - Пламен Каменов
infosecservicebg@gmail.com





четвъртък, 11 декември 2014 г.

Противодействие на заплахите към информационната сигурност от "вътрешни" хора - курс за обучение












ПРОГРАМА

ЗА ПРОВЕЖДАНЕ НА КУРС ЗА ОБУЧЕНИЕ НА ТЕМА:


Мерки за противодействие на заплахите
към информационната сигурност,
предизвикани от злонамерени „вътрешни хора”
(злонамерен „вътрешен човек”)

 Забележка:

За целите на този Курс за обучение,  под злонамерени „вътрешни хора” или злонамерен „вътрешен човек” се разбира настоящ  или бивш служител, контрактор или бизнес партньор, който отговаря на следните основни критерии:

-          - има или е имал упълномощен достъп до мрежа (и), системи или данни / информация на организацията;
- умишлено превишава или умишлено използва този упълномощен достъп по начин, който нарушава конфиденциалността, интегритета и / или наличността / достъпността на данни / информация или на информационните системи на организацията, като цяло.

СЪДЪРЖАНИЕ И ГРАФИК ЗА ПРОВЕЖДАНЕ НА КУРСА


ДЕН
ВРЕМЕ
СЪДЪРЖАНИЕ
I-ви


09.30 – 10.20







10.30 – 11.20









11.30 – 12.30







12.30 – 13.00
Въведение
1. Реална ли е заплаха от злонамерени „вътрешни хора” ?
2. Може ли да се противодейства на злонамерени „вътрешни хора” ?
3. Данни и тенденции за / в действията на злонамерените „вътрешни хора”

Практика 1 – Провеждане на оценка и анализ на рисковете към информационната сигурност от заплахи, произтичащи от злонамерени „вътрешни хора” и бизнес партньори
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Практика 2 – Документиране и прилагане на политики и контролит по сигурността
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Обсъждане на въпроси, свързани с разгледаните Практики за противодействие

II - ри


09.30 – 10.20











10.30 – 11.20
















11.30 – 12.30







12.30 - 13.00
Практика 3 – Провеждане на периодично обучение и/или запознаване на всички служители на организацията с потенциалните заплахи към сигурността, произтичащи от „вътрешни хора”, и последствията от тяхната реализация
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Практика 4 – Наемане на персонал и последващо наблюдение, и противодействие при установено,  неприемливо поведение
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Практика 5 –Управление на състоянието на работната среда
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Практика 6 –Описание на информационните активи  
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Обсъждане на въпроси, свързани с разгледаните Практики за противодействие
III - ти


09.30 – 10.20







10.30 – 11.20





















11.30 – 12.30









12.30 – 13.30
Практика 7 – Въвеждане на политики и практики за управление на паролите за достъп
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Практика 8 – Прилагане на принципа за разделяне на задълженията и делегиране на най-малко привилегии
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Практика 9 –Прилагане на  специални споразумения по сигурността, за каквато и да било „облачна” ИТ услуга (ползвана от организацията), включващи и клаузи за  ограничаване на достъпа и способностите за наблюдение от страна на доставчика на услугата.
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Практика 10 –Прилагане на стриктен контрол на достъпа и наблюдение (политика за наблюдение и контрол) на привилегированите потребители
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Обсъждане на въпроси, свързани с разгледаните Практики за противодействие

IV - ти


09.30 – 10.20







10.30 – 11.20


















11.30 – 12.30








12.30 – 13.00
Практика 11 – Въвеждане на процес на контрол на промените в ИТ системите
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Практика 12 – Внедряване на система за управление (вкл. за корелация ) на информацията и възникналите събития по сигурността
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Практика 13 – Наблюдеение и контрол на отдалечения достъп от всички крайни точки, вкл. от мобилни устройства
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Практика 14– Разработване и прилагане на цялостна процедура по сигурностт при прекъсване на трудовите взаимоотношения
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Обсъждане на въпроси, свързани с разгледаните Практики за противодействие

V - ти


09.30 – 10.20








10.30 – 11.20


















11.30 – 12.30















12.30 – 13.00
Практика 15– Внедряване на сигурни процеси за временно запазване, архивиране и възстановяване на информацията
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Практика 16– Разработване и внедряване на цялостна програма за противодействие на заплахите, произтичащи от злонамерени  „вътрешни хора”
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Практика 17– Определяне на базови критерии за оценка на нормалното поведение на мрежовите устройства
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Практика 18– Контрол на работата със социалните медии
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Практика 19– Противодействие на неупълномощеното „извличане” на данни
1. Мерки за защита
2. Предизвикателства за прилагане
3. Пример
4. Практически решения
5. Стандарти, свързани с Практиката

Обсъждане на  въпроси, свързани с разгледаните Практики за противодействие



 

Начин на провеждане на курса:

1. Основна лекция, с презентация по всички точки от съдържанието на курса.
2.Събеседване и дискусия с участниците в курса по всички точки от съдържанието на курса.


Материали за участниците в курса:

 Презентация на всички точки от съдържанието на курса.

Всички участници, завършили успешно курса получават съответното Удостоверение за завършено обучение.

Лектор и подготвил курса:

Пламен Каменов

-       Водещ одитор  ISI 27001 / 9001 / 20000;
-       Експерт по информационна, фирмена сигурност и стопанско управление

Контакти:


+0359 886 655 315 







събота, 6 декември 2014 г.

Курсове за обучение по информационна сигурност


КУРСОВЕ ПО ИНФОРМАЦИОННА СИГУРНОСТ И СИСТЕМИ ЗА НЕЙНОТО УПРАВЛЕНИЕ

В следващата таблица е направено обобщено описание на основните курсове за обучение по въпроси, свързани с информационната сигурност и системите за нейното управление.
Всички курсове са подготвени и се водят от Пламен Каменов – експерт по изграждане на Системи за управление на информационната сигурност (СУИС), Системи за управление на ИТ услугите (СУУ) и Системи за управление на качеството (СУК); водещ одитор - ISO 27001 / ISO 20000 / 9001

Контакти и повече информация:
+359 886 655 315Пламен Каменов

Наименование на курса
Кратко описание на курса
Продължителност на курса
1
Подход и методология за изграждане на СУИС, в съответствие с изискванията на ISO 27001:2013 и препоръките на ISO 27001:2013
Целта на курса е да подпомогне компаниите самостоятелно да изградят, поддържат и развиват СУИС, отговаряща на изискванията на ISO 27001:2013 и препоръките на ISO 27002:2013.

20 учебни часа
(5 дни х 4 часа)
2
Подход и методология за изграждане на СУУ, в съответствие с изискванията на ISO 20000-1:2011
Курса има за цел да обучи екипи на фирми за самостоятелно разработване, внедряване и поддръжка на СУУ, отговаряща на изискванията на ISO 20000-1:2011 и препоръките на ISO 20000-2:2012

20 учебни часа
(5 дни х 4 часа)
3
Извършване на преход на СУИС от изискванията на ISO 27001:2005 към изискванията на ISO 27001:2013
Курса е предназначен за организации, внедрили СУИС, отговаряща на изискванията на ISO 27001:2005 и планирали нейното развитие в съответствие с изискванията на ISO 27001:2013.
Курса е подходящ и за организации, на които предстои външен одит на СУИС, сертифицирана по ISO 27001:2005, за сертифициране по новите изисквания на ISO 27001:2013.
Курса осигурява на преминалите обучението, да извършат самостоятелно прехода на изградената СУИС към новите изисквания на ISO 27001:2013 - в т.ч. разработване на нови документи, актуализиране на съществуващи документи и да подпомогнат организацията при подготовката на последващ одит на СУИС.

25 учебни часа
(5 дни х 5 часа)
4
Прилагане на мерки за противодействие на заплахите към информационната сигурност, предизвикани от „вътрешни” хора.
Курса е предназначен за специалисти в областта на информационната сигурност и мениджъри на средно управленско ниво. В курса са разгледани основните практики за противодействие на злонамерени "вътрешни хора", създаващи рискове за информационната сигурност и бизнеса на съответната организация.
За целите на този
курс за обучение, под злонамерени „вътрешни хора” или злонамерен „вътрешен човек” се разбира настоящ или бивш служител, контрагент или бизнес партньор, който отговаря на следните основни критерии:
- има или е имал упълномощен достъп до мрежа (и), системи или данни / информация на организацията;
- умишлено превишава или умишлено използва този упълномощен достъп по начин, който нарушава конфиденциалността, интегритета и / или наличността / достъпността на данни / информация или на информационните системи на организацията, като цяло

20 учебни часа
(5 дни х 4 часа)
5
Практически метод за анализ и оценка на рисковете към информационната сигурност, и избор на защитни / контролни механизми за противодействие
Курса осигурява придобиването на необходимите и достатъчни практически знания, и умения за :
-          самостоятелно управление на рисковете към информационната сигурност;
-          аргументиран избор на защитни / контролни механизми за противодействие на разкритите и неприемливи рискове

12 учебни часа
(3 дни по 4 часа)
6
Практически метод за определяне на обхвата на СУИС
Курса осигурява придобиването на необходимите и достатъчни практически знания, и умения за определяне на активите от обхвата на СУИС в т.ч.:данни / информация, софтуер, хардуер, ИТ услуги, документи, персонал.

8 учебни часа
(2 дни по 4 часа

Забележки:
1. Всички курсове са предназначени за корпоративно обучение
2. Всички курсове се провеждат в подходящ офис на организацията заявител или на друго, избрано от нея място.
3. Цената на курсовете подлежи на договаряне, след направено запитване от съответната организация
4. Периода за провеждане на курсовете се договаря, при запитване от съответната организация.