Аудит інформаційної безпеки
Спеціальність: Кібербезпека
Код дисципліни: 6.125.04.E.127
Кількість кредитів: 5.00
Кафедра: Захист інформації
Лектор: Доц., к.т.н. Гаранюк Петро Ігорович
Семестр: 5 семестр
Форма навчання: денна
Завдання: Вивчення навчальної дисципліни передбачає формування у здобувачів освіти компетентностей:
фахові компетентності:
ФКС 4.1. Володіння медотодологіями проведення оцінки ризиків та проактивного виявленння загроз, вміння ідентифікувати вразливості інформаційної безпеки та застосовувати ефективні інструменти для їх помягшення.
ФКС 4.2. Уміння написати політику кібербезпеки на об’єкті інформаційної діяльності, спираючись на міжнародні та вітчизняні стандарти, а також застосовувати кращі існуючі практики.
ФКС 4.3. Уміння працювати із інцидентами інформаційної безпеки, виконувати їх оцінку, визначати пріоритети та аналізувати інциденти.
ФКС 4.4. Здатність опрацьовувати та аналізувати журнали реєстрації подій, уміння розробляти синтаксичні аналізатори.
ФКС 4.6. Уміння проводити криміналістичну експертизу слідів кібератак в кібернетичному просторі
ФКС 4.9. Здатність виконувати моніторинг даних, комп’ютерних зловживань та аномалій.
Результати навчання: У результаті вивчення навчальної дисципліни здобувач освіти повинен бути здатним продемонструвати такі програмні результати навчання:
ЗН 4.1. Вирішувати завдання захисту програм та інформації, що обробляється в інформаційно-телекомунікаційних системах програмно-апаратними засобами та давати оцінку результативності якості прийнятих рішень
ЗН 4.2. Впроваджувати заходи та забезпечувати реалізацію процесів попередження отриманню несанкціонованого доступу і захисту в інформаційних та інформаційно-телекомунікаційних (автоматизованих) систем на основі еталонної моделі взаємодії
відкритих систем.
ЗН 4.4. Аналізувати та проводити оцінку ефективності та рівня захищеності ресурсів різних класів в інформаційних та інформаційно-телекомунікаційних (автоматизованих) системах в ході проведення випробувань згідно встановленої політики інформаційної та/або кібербезпеки.
ЗН 4.5. Здійснювати оцінювання можливості реалізації потенційних загроз інформації, що обробляється в інформаційнотелекомунікаційних системах та ефективності використання комплексних засобів захисту в умовах реалізації загроз різних класі
ЗН 4.6. Здійснювати оцінювання можливості несанкціонованого доступу до елементів інформаційно-телекомунікаційних систем
ЗН 4.9. Вирішувати задачі забезпечення безперервності бізнес процесів організації на основі теорії ризиків.
Необхідні обов'язкові попередні та супутні навчальні дисципліни: Нормативно-правове забезпечення, стандарти та політика інформаційної і кібернетичної безпеки
Міжнародні стандарти і практики у галузі інформаційної безпеки
Короткий зміст навчальної програми: Сучасний стан аудиту інформаційної безпеки організації, дає вичерпні відповіді на низку запитань, які виникають при його здійсненні, зокрема, як проводити аудит, які процедури використовувати, до яких результатів може зумовити аудит, хто має право проводити таку перевірку, як оцінити результати аудиту і т.д.
А тому важливою складовою розвитку бізнесу є автоматизація бізнес-процесів з використанням засобів обчислювальної техніки та телекомунікаційних систем, що супроводжується стрімким збільшенням об’ємів інформації, яка отримується, обробляється, передається та зберігається в електронному вигляді в інформаційних системах. У зв’язку з цим інформаційні системи стають ключовими у забезпеченні ефективного розвитку підприємства, компанії, фірми.
Опис: Загрози інформаційній безпеці та їх джерела. Аналіз інформаційних ризиків організації. Модель побудови системи інформаційної безпеки. Розроблення концепції забезпечення інформаційної безпеки. Поняття аудиту інформаційної безпеки. Програма аудиту інформаційної безпеки. Аудит на відповідність стандартам. Поняття комплексного аудиту безпеки інформаційних систем. Німецький стандарт BSI. Британський стандарт BS 7799. Міжнародний стандарт ISO 17799. Аудит інформаційної безпеки на відповідність міжнародному стандарту ISO/IEC 17799:2000 (BS 7799-1:2000). Аудит безпеки окремих об’єктів ІТ-інфраструктури. Технічна експертиза продуктів та рішень із забезпечення інформаційної безпеки.
Методи та критерії оцінювання: Поточний контроль, який складається з виконання лабораторних робіт та захисту звітів. Екзаменаційний контроль який складається з письмової та усної компоненти.
Критерії оцінювання результатів навчання: Розподіл балів у 100-бальній шкалі:
Поточний контроль, лабораторні роботи – 30 балів
Екзаменаційний контроль, письмова та усна компонента - 70 балів
Порядок та критерії виставляння балів та оцінок: 100–88 балів – («відмінно») виставляється за високий рівень знань (допускаються деякі неточності) навчального матеріалу компонента, що міститься в основних і додаткових рекомендованих літературних джерелах, вміння аналізувати явища, які вивчаються, у їхньому взаємозв’язку і роз витку, чітко, лаконічно, логічно, послідовно відповідати на поставлені запитання, вміння застосовувати теоретичні положення під час розв’язання практичних задач; 87–71 бал – («добре») виставляється за загалом правильне розуміння навчального матеріалу компонента, включаючи розрахунки , аргументовані відповіді на поставлені запитання, які, однак, містять певні (неістотні) недоліки, за вміння застосовувати теоретичні положення під час розв’язання практичних задач; 70 – 50 балів – («задовільно») виставляється за слабкі знання навчального матеріалу компонента, неточні або мало аргументовані відповіді, з порушенням послідовності викладення, за слабке застосування теоретичних положень під час розв’язання практичних задач; 49–26 балів – («не атестований» з можливістю повторного складання семестрового контролю) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння застосувати теоретичні положення під час розв’язання практичних задач; 25–00 балів – («незадовільно» з обов’язковим повторним вивченням) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння орієнтуватися під час розв’язання практичних задач, незнання основних фундаментальних положень.
Рекомендована література: 1. Ромака В.А., Дудикевич В.Б., Гарасим Ю.Р., Гаранюк П.І Навчальний посібник «Системи менеджменту інформаційної безпеки» НУ «Львівська політехніка» Львів, 2012-230 с
2. Ромака В.А., Лагун А.Е., Гарасим Ю.Р., Рак Т.С., Самотий В.В., Рибій М.М. Підручник «Аудит інформаційної безпеки» ЛДУ БЖД, 2015-362 с.;
3. Міжнародні стандарти ISO 17799-2000, ISO'IEC 27001-2005, ISO'IEC 27002-2007
4. Alan Calder & Steve Watkins. Information Security Risk Management for ISO 27001/ISO 17799. – IT Governance Publishing, 2007
Уніфікований додаток: Національний університет «Львівська політехніка» забезпечує реалізацію права осіб з інвалідністю на здобуття вищої освіти. Інклюзивні освітні послуги надає Служба доступності до можливостей навчання «Без обмежень», метою діяльності якої є забезпечення постійного індивідуального супроводу навчального процесу студентів з інвалідністю та хронічними захворюваннями. Важливим інструментом імплементації інклюзивної освітньої політики в Університеті є Програма підвищення кваліфікації науково-педагогічних працівників та навчально-допоміжного персоналу у сфері соціальної інклюзії та інклюзивної освіти. Звертатися за адресою:
вул. Карпінського, 2/4, І-й н.к., кімн. 112
E-mail: nolimits@lpnu.ua
Websites: https://lpnu.ua/nolimits https://lpnu.ua/integration
Академічна доброчесність: Політика щодо академічної доброчесності учасників освітнього процесу формується на основі дотримання принципів академічної доброчесності з урахуванням норм «Положення про академічну доброчесність у Національному університеті «Львівська політехніка» (затверджене вченою радою університету від 20.06.2017 р., протокол № 35).