Сертифицированный менеджер информационной безопасности Курс, программа, обучение, тестирование, сертификация, подтверждение, поддержка Владимир Булдыжов, CISM

Сертификация CISM Введение. Социально-экономические аспекты ИБ – На чьей стороне перевес в борьбе? Ещё несколько лет назад отчеты о потерях компаний от нарушений информационной безопасности содержали суммы в сотни миллионов $. В начале 2009 года был опубликован отчет McAffee, согласно которому за 2008 год этот ущерб составил уже долларов (1 триллион).отчет McAffee Индустрия ИБ показывает невиданный прогресс, но потери растут быстрее. Ситуация напоминает положение с медициной: прогресс огромный, но болезни не исчезают. Верен ли подход? Нужна ли вообще борьба? Целью индустрии является не ликвидация угроз, а зарабатывание денег. Поэтому ответственность за ИБ предприятия лежит только на сотрудниках его службы ИБ, не на поставщиках. Услуги ИБ оплачиваются бизнесом, а для бизнеса существует только один показатель эффективности чего бы то ни было – экономическая эффективность.

Сертификация CISM Введение. Управленческие аспекты ИБ – ИТ-безопасность – то же самое ли это, что ИБ? Варианты подчинения службы ИБ (СБ, ИТ, фин. службе) имеют преимущества и недостатки. При концентрации управления ИБ в ИТ-подразделении ИБ рассматривается как чисто техническая дисциплина, игнорируются юридические, экономические, методологические, образовательные, социальные, психологические, мотивационные проблемы. – Что это за проблемы и какова природа нарушений ИБ? Большинство нарушений ИБ рассматриваются как технические, например, вирусные атаки, спам или отказы жестких дисков. Но по величине материального ущерба критичными являются нарушения человеческой природы, такие как халатность, утечки информации и мошенничество. Более того, любая техническая угроза имеет человеческие причины. Вирус – следствие нарушения работы с ПО, Интернет, . Уничтожение информации – следствие халатности при резервировании. Угроз информационной безопасности не существует. Есть недостаточная зрелость процессов управления ИБ.

Сертификация CISM предназначена для серьезных специалистов, целенаправленно, планомерно и последовательно строящих свой профессиональный путь, направленный на постоянное самообучение и развитие: вширь (эрудиция, рыночная ниша), вглубь (компетенция, производительность) и ввысь (служебное положение, научные достижения). Позиционирование целевой аудитории CISM Сертификация CISM топ-менеджмент предприятий: CEO, CFO,..., CxO (c-suite), генеральные, исполнительные и финансовые директора, директора по экономике и по операциям, члены совета директоров, учредителей, наблюдательного совета, желающие повысить прозрачность инвестиций в информационную безопасность и зрелость управления рисками; директора по безопасности, по экономической безопасности, по рискам, начальники служб безопасности, желающие более полно контролировать деятельность отдела или группы информационной безопасности вне зависимости от её подчинения; начальники служб информационной безопасности предприятий и организаций, стремящиеся укрепить своё положение и влияние, повысить статус, защитить бюджет ИБ.

Сертификация CISM Введение в предметную область курса CISM ИБ занимается защитой информационных систем (оборудование, ПО, документация, персонал, информация, процессы). В таких системах происходят инциденты – утечки, искажения, сбои. Цель ИБ – снижение ущерба от инцидентов до приемлемого уровня. ИБ – это непрерывный системный комплексный процесс, интегрированный во все бизнес-процессы предприятия и требующий участия всех пользователей – внутренних, внешних и временных. «Обеспечение» ИБ невозможно. Возможно только управление ИБ. Управление ИБ – оптимизационная задача поиска компромисса между уровнем защиты и её ценой. Оптимизация инвестиций в ИБ часто выполняется интуитивно, но такой подход непрозрачен для руководства предприятия. Оптимальность и прозрачность инвестиций в ИБ можно достичь, только применяя методы управления рисками. Умная служба ИБ распределяет ресурсы в соответствии с величиной рисков, а не конкретных инцидентов. А мудрая служба ещё и делает управление ИБ прозрачным для руководства компании и предоставляет ему инструменты управления и контроля инвестиций и проектов по снижению рисков. Как это делается – ключевой предмет курса.

Сертификация CISM Структура курса CISM 1.Стратегическое управление ИБ. Цель: внедрение и поддержка структурной основы для гарантирования соответствия стратегии ИБ целям бизнеса, законодательству и нормативным требованиям. 2.Управление информационными рисками. Цель: определение рисков ИБ и управление или для достижения бизнес-целей. 3.Разработка программы (портфеля проектов) ИБ. Цель: создание и поддержка программы внедрения стратегии ИБ. 4.Управление программой (портфелем проектов) ИБ. Цель: надзор за мероприятиями по информационной безопасности с целью выполнения программы ИБ. 5.Управление инцидентами и реагирование на инциденты. Цель: планирование, разработка и управление мощностями по выявлению и реагированию на инциденты ИБ, а также по восстановлению после них.

Сертификация CISM Что необходимо для получения сертификата CISM сдать экзамен, набрав не менее 450 баллов из 800; документально подтвердить наличие опыта работы в предметной области; подписать кодекс профессиональной этики ISACA и другие обязательства, такие как обязательство постоянно повышать профессионализм. Сертификат CISM подтверждает, что специалист имеет надлежащие знания, опыт и способен эффективно управлять защитой информации в организации или консультировать в указанной области. Для сертификации CISM необходимо:

Сертификация CISM Экзамен Проводится два раза в год (обычно в июне и декабре) в один и тот же день во всем мире. Ближайший экзамен 13 июня, окончание регистрации Состоит из 200 вопросов, по 4 варианта ответов, на английском языке в письменном виде. Вопросы напечатаны в индивидуальных пронумерованных тетрадях. Длится 4 часа в присутствии уполномоченных сотрудников центра сертификации ISACA. Во время экзамена нельзя общаться, пользоваться часами, мобильными телефонами, электронными устройствами, словарями, бумагой и другими предметами, кроме простых карандашей, резинок (ластиков) и выдаваемых тетрадей. Применяются жесткие ограничения на пищу, напитки и выход из комнаты по естественным потребностям. Допуск к экзамену осуществляется на основании паспорта и билета с идентификационным номером, который присваивается при регистрации.

Сертификация CISM Получение и продление сертификата Подтверждаемый документально опыт работы в области информационной безопасности должен быть не менее 5 лет, причем не менее 3 лет в менеджменте информационной безопасности. В зачет 1-2 лет общего опыта в ИБ могут идти различные сертификаты или диплом вуза, но это не отменяет 3-летнего стажа менеджмента. Если на момент сдачи экзамена опыта недостаточно, получение сертификата можно отложить. Результаты экзамена действительны 5 лет, в течение которых можно заполнить заявку на получение сертификата. Сертификат действителен 3 года. Для продления необходимо постоянное профессиональное обучение, участие в онлайн- и оффлайн-событиях ISACA общей продолжительностью не менее 120 часов CPE (Continuing Professional Education) каждые 3 года, причем не менее 20 часов каждый год.

Тренинг Certified Information Security Manager Сертификация CISM Лекции и практические занятия согласно программе. Разбор вопросов. Методические материалы и указания для самостоятельной подготовки, предоставляемые до начала занятий с целью оптимизации времени на самоподготовку, принимая во внимание значительный объем курса. После тренинга методические материалы для дальнейшей самостоятельной подготовки, а также поддержка и ответы на вопросы в режиме переписки по электронной почте. Методическая помощь по английскому языку: разъяснение специфики англоязычных формулировок в вопросах экзамена; авторский словарь из более 500 самых трудных выражений и терминов, составленный на основе учебника, текстов вопросов экзамена и вспомогательных материалов. Обеды. Тренировочный экзамен. Консультации по регистрации на экзамен и прочим орг. вопросам.

Благодарю за внимание! Вопросы? Владимир Булдыжов, CISM buldyzhov.com