ІТ аудит кібербезпеки

Спеціальність: Адміністрування систем кібербезпеки
Код дисципліни: 7.125.04.O.003
Кількість кредитів: 4.00
Кафедра: Захист інформації
Лектор: доц., к. ф.-м. н. Лах Ю.В.
Семестр: 1 семестр
Форма навчання: денна
Мета вивчення дисципліни: Засвоєння студентами підходів до розуміння проблем захисту інформації та проведення аудиту інформаційних систем підприємств, організацій, компаній.
Завдання: КЗ1. Здатність застосовувати знання у практичних ситуаціях. КФ3. Здатність досліджувати, розробляти і супроводжувати методи та засоби інформаційної безпеки та/або кібербезпеки на об’єктах інформаційної діяльності та критичної інфраструктури. КФ7. Здатність досліджувати, розробляти та впроваджувати методи і заходи протидії кіберінцидентам, здійснювати процедури управління, контролю та розслідування, а також надавати рекомендації щодо попередження та аналізу кіберінцидентів в цілому. КФ8. Здатність досліджувати, розробляти, впроваджувати та супроводжувати методи і засоби криптографічного та технічного захисту інформації на об’єктах інформаційної діяльності та критичної інфраструктури, в інформаційних системах, а також здатність оцінювати ефективність їх використання, згідно встановленої стратегії і політики інформаційної безпеки та/або кібербезпеки організації.
Результати навчання: РН3. Провадити дослідницьку та/або інноваційну діяльність в сфері інформаційної безпеки та/або кібербезпеки, а також в сфері технічного та криптографічного захисту інформації у кіберпросторі. РН11. Аналізувати, контролювати та забезпечувати ефективне функціонування системи управління доступом до інформаційних ресурсів відповідно до встановлених стратегії і політики інформаційної безпеки та/або кібербезпеки організації. РН13. Досліджувати, розробляти, впроваджувати та використовувати методи та засоби криптографічного та технічного захисту інформації бізнес/операційних процесів, а також аналізувати і надавати оцінку ефективності їх використання в інформаційних системах, на об’єктах інформаційної діяльності та критичної інфраструктури. РН15. Зрозуміло і недвозначно доносити власні висновки з проблем інформаційної безпеки та/або кібербезпеки, а також знання та пояснення, що їх обґрунтовують до персоналу, партнерів та інших осіб.
Необхідні обов'язкові попередні та супутні навчальні дисципліни: Попередні: Методи та засоби захисту інформації Правове забезпечення інформаційної безпеки Системи охорони державної таємниці Супутні: Управління ризиками інформаційної безпеки Менеджмент у сфері захисту інформації Управління інцидентами інформаційної безпеки
Короткий зміст навчальної програми: Сучасний стан аудиту інформаційної безпеки організації, дає вичерпні відповіді на низку запитань, які виникають при його здійсненні, зокрема, як проводити аудит, які процедури використовувати, до яких результатів може зумовити аудит, хто має право проводити таку перевірку, як оцінити результати аудиту і т.д. Відомо, що в умовах ринкової економіки фінансово-промислові компанії стикаються з жорсткою глобальною конкуренцією, зростаючими вимогами регулюючих органів, споживачів, необхідністю запровадження сучасних інформаційних технологій. А тому важливою складовою розвитку бізнесу є автоматизація бізнес-процесів з використанням засобів обчислювальної техніки та телекомунікаційних систем, що супроводжується стрімким збільшенням об’ємів інформації, яка отримується, обробляється, передається та зберігається в електронному вигляді в інформаційних системах. У зв’язку з цим інформаційні системи стають ключовими у забезпеченні ефективного розвитку підприємства, компанії, фірми. З іншого боку, у сучасних умовах, коли інформаційні системи пронизують усі сфери діяльності людини, а з урахуванням необхідності їхнього зв’язку з Інтернетом вони стають відкритими для реалізації внутрішніх та зовнішніх загроз, проблема інформаційної безпеки організації стає не менш важливою, ніж економічна, екологічна та фізична безпека.
Опис: 1. Вступ. Основи побудови систем інформаційної безпеки. Мета та завдання інформаційної безпеки. Загрози інформаційній безпеці та їх джерела. Аналіз інформаційних ризиків організації. 2. Методи оцінювання інформаційних ризиків організації. Управління інформаційними ризиками. Модель побудови системи інформаційної безпеки. Розроблення концепції забезпечення інформаційної безпеки. 3. Поняття аудиту інформаційної безпеки. Програма аудиту інформаційної безпеки. Планування процедури аудиту інформаційної безпеки. Види аудиту. 4. Основні напрями аудиту інформаційної безпеки. Контроль та аналіз аудиторських груп, вимоги до аудиторів. Проведення аудиту інформаційної безпеки. Алгоритм проведення аудиту безпеки організації. 5. Оцінювання результатів аудиту. Перелік даних, необхідних для проведення аудиту інформаційної безпеки. Рекомендації з підготовки звітних документів. Оцінювання результатів проведення аудиту або власного оцінювання стану інформаційної безпеки організації. Інтерпретація результатів проведення аудиту або власного оцінювання стану інформаційної безпеки організації. 6. Стандарти. Поняття аудиту інформаційної безпеки. Програма аудиту інформаційної безпеки. Стандарт «Критерії оцінювання надійності комп’ютерних систем» (Помаранчева книга). Гармонізовані критерії європейських країн. Робота «синьої» команди по захисту інформації в інтернеті. 7. Основні поняття Загальних критеріїв оцінки. Методологія оцінювання інформаційних технологій за Загальними критеріями. Оцінювання рівня довіри функціональної безпеки інформаційної технології. Огляд класів та сімейств Загальних критеріїв. 8. Міжнародні стандарти. Німецький стандарт BSI. Британський стандарт BS 7799. Міжнародний стандарт ISO 17799. Аудит інформаційної безпеки на відповідність міжнародному стандарту ISO/IEC 17799:2000 (BS 7799-1:2000). 9. Стандарти та бібліотеки. GAAP, ISACA, COBIT, ISO, ITIL, NIST та ін. 10. Національні стандарти та керівництва з аудиту інформаційною безпекою GAO/AIMD-12.19.6 «Керівництво з аудиту засобів управління федеральних інформаційних систем». Планування аудиту при застосуванні положень FISCAM. Оцінювання та тестування при застосуванні положень FISCAM. 11. Аудит корпоративних організацій. Лабораторні підходи до аналізу та оцінювання біжучого стану ІБ організації. Аудит безпеки зовнішнього периметра корпоративної мережі. Дослідження зовнішнього периметра мережі на предмет захищеності. 12. Аудит виділених приміщень. Підготовчий етап аудиту виділених приміщень. Етап безпосереднього проведення аудиту виділених приміщень. Заключний етап проведення аудиту виділених приміщень. 13. Аудит безпеки окремих об’єктів ІТ-інфраструктури. Технічна експертиза продуктів та рішень із забезпечення інформаційної безпеки. Особливості аудиту ІБ у банківській системі. 14. Аудит інформаційної безпеки банківських установ. Методичні рекомендації НБУ щодо впровадження системи управління ІБ та методики оцінювання ризиків. Підготовка до впровадження СУІБ. 15. Оцінювання проведення аудиту інформаційної безпеки. Модель оцінювання процесів об’єкту аудита. Точність оцінювання процесів об’єкту аудиту. Моделі (алгоритми) обчислення показників інформаційної безпеки.
Методи та критерії оцінювання: Виконання та захист лабораторних робіт -65 Контрольна робота -35
Критерії оцінювання результатів навчання: Виконання та захист лабораторних робіт-65 Контрольна робота -35
Порядок та критерії виставляння балів та оцінок: 100–88 балів – («відмінно») виставляється за високий рівень знань (допускаються деякі неточності) навчального матеріалу компонента, що міститься в основних і додаткових рекомендованих літературних джерелах, вміння аналізувати явища, які вивчаються, у їхньому взаємозв’язку і роз витку, чітко, лаконічно, логічно, послідовно відповідати на поставлені запитання, вміння застосовувати теоретичні положення під час розв’язання практичних задач; 87–71 бал – («добре») виставляється за загалом правильне розуміння навчального матеріалу компонента, включаючи розрахунки , аргументовані відповіді на поставлені запитання, які, однак, містять певні (неістотні) недоліки, за вміння застосовувати теоретичні положення під час розв’язання практичних задач; 70 – 50 балів – («задовільно») виставляється за слабкі знання навчального матеріалу компонента, неточні або мало аргументовані відповіді, з порушенням послідовності викладення, за слабке застосування теоретичних положень під час розв’язання практичних задач; 49–26 балів – («не атестований» з можливістю повторного складання семестрового контролю) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння застосувати теоретичні положення під час розв’язання практичних задач; 25–00 балів – («незадовільно» з обов’язковим повторним вивченням) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння орієнтуватися під час розв’язання практичних задач, незнання основних фундаментальних положень.
Рекомендована література: 1. White A., Clark B. Blue Team Field Manual (BTFM). Published January 13th 2017 by Create space Independent Publishing Platform. - 134 pp. Web resource - https://it.b-ok2.org/book/3382257/0b54cd 2. Murdoch D. Blue Team Handbook: SOC, SIEM, and Threat Hunting Use Cases (V1.02): A Condensed Guide for the Security Operations Team. Create Space Independent Publishing Platform. – July, 2019. – 258pp. 3. Курило А. П. Аудит информационной безопасности / А. П. Курило, С. Л. Зефиров, В. Б. Голованов и др. – М. : Издательская группа «БДЦ-пресс», 2006. – 304 с. 4. Замула О.А. Захист державних секретів. Навчальний посібник для студентів спеціальностей напрямку „Інформаційна безпека" Харків. ХНУРЕ, 2003 - 208 с.; 5. ДСТУ ISO 19011:2003. Настанови щодо здійснення аудитів систем управління якістю і екологічного управління. – К. : Держспоживстандарт України, 2004. – 31 с.; 6. Шешукова Т. Г. Аудит: теория и практика применения международных стандартов / Т. Г. Шешукова, М. А. Городилов. – М. : Финансы и статистика, 2005. – 184 с.; 7. Петренко С.А., Петренко А.А. Аудит безопасности интернет. - М. : ДМК Пресе, 2002-416 с.; 8. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. - М. : Горячая линия - Техноком. 2000 452 с.; 9. Петренко С.А "Аудит безопасности Intеrnet", "Технологии защиты информации", "Информационная безопасность предприятия"; 10. Закон України “Про інформацію”; 11. Міжнародний стандарт ISO'IEC 27002-2007 12. Міжнародний стандарт ISO'IEC 27001-2005
Уніфікований додаток: Національний університет «Львівська політехніка» забезпечує реалізацію права осіб з інвалідністю на здобуття вищої освіти. Інклюзивні освітні послуги надає Служба доступності до можливостей навчання «Без обмежень», метою діяльності якої є забезпечення постійного індивідуального супроводу навчального процесу студентів з інвалідністю та хронічними захворюваннями. Важливим інструментом імплементації інклюзивної освітньої політики в Університеті є Програма підвищення кваліфікації науково-педагогічних працівників та навчально-допоміжного персоналу у сфері соціальної інклюзії та інклюзивної освіти. Звертатися за адресою: вул. Карпінського, 2/4, І-й н.к., кімн. 112 E-mail: nolimits@lpnu.ua Websites: https://lpnu.ua/nolimits https://lpnu.ua/integration
Академічна доброчесність: Політика щодо академічної доброчесності учасників освітнього процесу формується на основі дотримання принципів академічної доброчесності з урахуванням норм «Положення про академічну доброчесність у Національному університеті «Львівська політехніка» (затверджене вченою радою університету від 20.06.2017 р., протокол № 35).