Аудит, ліцензування та акредитація інформаційної безпеки
Спеціальність: Кібербезпека
Код дисципліни: 6.125.03.E.111
Кількість кредитів: 5.00
Кафедра: Захист інформації
Лектор: Доц., к.т.н. Гаранюк Петро Ігорович
Семестр: 6 семестр
Форма навчання: денна
Завдання: Вивчення навчальної дисципліни передбачає формування у здобувачів освіти компетентностей:
загальні компетентності:
1. ЗК 1. Здатність застосовувати знання у практичних ситуаціях.
2. ЗК 2. Знання та розуміння предметної області та розуміння професії
3. ЗК 5. Здатність до пошуку, оброблення та аналізу інформації
фахові компетентності:
ФКС 3.4. Уміння аналізувати ризики для оцінки реальних загроз порушення захисту та охорони.
ФКС 3.5. Здатність здійснювати правове забезпечення інформаційної безпеки, прогнозування та моделювання в соціальній сфері.
ФКС 3.6. Здатність створювати, впроваджувати, моніторити та вдосконалювати систему менеджменту інформаційної безпеки підприємства (установи).
ФКС 3.7. Уміння реагувати на інциденти інформаційної безпеки;
ФКС 3.8. Здатність проводити аудит підприємств (установ) за інформаційною безпекою
Результати навчання: У результаті вивчення навчальної дисципліни здобувач освіти повинен бути здатним продемонструвати такі програмні результати навчання:
ЗН 3.3. Забезпечувати введення підзвітності і системи управління доступом до електронних інформаційних ресурсів і процесів в інформаційних та інформаційно-телекомунікаційних (автоматизованих) системах з використанням журналів реєстрації подій, їх аналізу та встановлених процедур захисту
ЗН 3.4. Проводити атестації (спираючись на облік та обстеження) режимних територій (зон), приміщень, тощо в умовах додержання режиму секретності із фіксуванням результатів у відповідних документах.
ЗН 3.6. Впроваджувати процеси виявлення, ідентифікації, аналізу та реагування на інциденти інформаційної і/або кібербезпеки
ЗН 3.7. Застосовувати національні та міжнародні регулюючі акти у сфері інформаційної безпеки та/або кібербезпеки для розслідування інцидентів
ЗН 3.8. Вирішувати задачі забезпечення безперервності бізнеспроцесів організації на основі теорії ризиків та встановленої системи управління інформаційною безпекою, згідно з вітчизняними та міжнародними вимогами та стандартами
ЗН 3.10. Здійснювати аналіз та мінімізацію ризиків обробки інформації в інформаційно-телекомунікаційних системах
Необхідні обов'язкові попередні та супутні навчальні дисципліни: Нормативно-правове забезпечення, стандарти та політика інформаційної і кібернетичної безпеки
Менеджмент інформаційної безпеки
Короткий зміст навчальної програми: «Аудит, ліцензування та акредитація інформаційної безпеки» знайомить студентів з загальними принципами проведення аудиту в організаціях, надання послуги у галузі технічного та криптографічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню. Оцінювання захищеності інформації,. Основними поняттями управління інформаційною безпекою підприємства на базі міжнародних стандартів серії ISO/IEC серії 27000. Значна увага приділяється засвоєнню принципів, завдань системи інформаційної безпеки, вивченню нормативної та правової бази з питань організації та проведення аудиту інформаційної безпеки, методик оцінки інформаційних ризиків, здійсненню комплексу заходів, спрямованих на розроблення і впровадження інформаційних технологій, які забезпечують обробку інформації в інформаційно-телекомунікаційних системах згідно з вимогами, встановленими нормативно-правовими актами та нормативними документами у сфері захисту інформації.
Опис: Передумови та основні напрямки розвитку
інформаційної безпеки
Діяльність міжнародних організацій в сфері інформаційної
безпеки
Стандартизація в сфері менеджменту інформаційної безпеки
Роботи спеціалізованих міжнародних організацій та об'єднань в
галузі інформаційної безпеки
Управління інформаційною безпекою на рівні великих
постачальників інформаційних систем
Організаційне забезпечення інформаційної безпеки на
Державному рівні: практика США
Забезпечення інформаційної безпеки на державному рівні:
практика України
Забезпечення інформаційної безпеки на державному рівні:
практика України (криптографічні методи захисту)
Забезпечення інформаційної безпеки на державному рівні:
практика України (технічні методи захисту)
Аудит інформаційної безпеки на рівні підприємства:
основні напрямки і структура політики безпеки
Зміст деталізованої політики безпеки
Департамент інформаційної безпеки і робота з персоналом
Організація реагування на надзвичайні ситуації (інциденти)
Аудит стану інформаційної безпеки на підприємстві
Надання послуг у сфері інформаційної безпеки
Надання послуг у сфері інформаційної безпеки (страхування)
Міжнародний стандарт ISO/IEC 27001
Міжнародний стандарт ISO/IEC 27001 перелік захисних заходів та їх цілей
Методи та критерії оцінювання: Поточний контроль, який складається з виконання практичних робіт та захисту звітів. Екзаменаційний контроль який складається з письмової та усної компоненти.
Критерії оцінювання результатів навчання: Поточний контроль (40 балів):
1. Лабораторні заняття – 35 балів.
2. Практичні заняття – 5 балів.
Екзаменаційний контроль (60 балів):
письмова компонента - 55 балів
усна компонента - 5 балів
Порядок та критерії виставляння балів та оцінок: 100–88 балів – («відмінно») виставляється за високий рівень знань (допускаються деякі неточності) навчального матеріалу компонента, що міститься в основних і додаткових рекомендованих літературних джерелах, вміння аналізувати явища, які вивчаються, у їхньому взаємозв’язку і роз витку, чітко, лаконічно, логічно, послідовно відповідати на поставлені запитання, вміння застосовувати теоретичні положення під час розв’язання практичних задач; 87–71 бал – («добре») виставляється за загалом правильне розуміння навчального матеріалу компонента, включаючи розрахунки , аргументовані відповіді на поставлені запитання, які, однак, містять певні (неістотні) недоліки, за вміння застосовувати теоретичні положення під час розв’язання практичних задач; 70 – 50 балів – («задовільно») виставляється за слабкі знання навчального матеріалу компонента, неточні або мало аргументовані відповіді, з порушенням послідовності викладення, за слабке застосування теоретичних положень під час розв’язання практичних задач; 49–26 балів – («не атестований» з можливістю повторного складання семестрового контролю) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння застосувати теоретичні положення під час розв’язання практичних задач; 25–00 балів – («незадовільно» з обов’язковим повторним вивченням) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння орієнтуватися під час розв’язання практичних задач, незнання основних фундаментальних положень.
Рекомендована література: 1. Ромака В.А., Лагун А.Е., Гарасим Ю.Р., Рак Т.С., Самотий В.В., Рибій М.М. Підручник «Аудит інформаційної безпеки» ЛДУ БЖД, 2015-362 с.;
2. Політика інформаційної безпеки: підручник. / В. Л. Бурячок, Р. В. Грищук, В. О. Хорошко /. За заг. ред. докт. техн. наук, проф. В.О. Хорошка. – К. : ПВП «Задруга», 2014. – 204 с.
3. Головань С.М. Нормативно-правове забезпечення інформаційної безпеки. / С.М.Головань, О.С.Петров, В.О.Хорошко. – Луганськ: Вид. Наука, 2012. – 480 с.
4. Андрєєв В.І. Основи інформаційної безпеки. /В.І.Андреєв, В.О.Хорошко, В.С.Чередніченко, М.Є.Шелест. За ред.проф. В.О.Хорошка. – Вид 2-е, доповн. і перероб. – К.: ДУІКТ, 2009. – 292 с.
5. Кобозєва А.А. Аналіз захищеності інформаційних систем. / А.А.Кобозєва, І.О.Мачалін, В.О.Хорошко Бурячок В.Л.
6. Технологія прийняття рішень у складних соціотехнічних системах: Монографія. / В.Л. Бурячок, В.О. Хорошко. / Під заг. ред. докт. техн. наук, проф.В.О. Хорошка.
Уніфікований додаток: Національний університет «Львівська політехніка» забезпечує реалізацію права осіб з інвалідністю на здобуття вищої освіти. Інклюзивні освітні послуги надає Служба доступності до можливостей навчання «Без обмежень», метою діяльності якої є забезпечення постійного індивідуального супроводу навчального процесу студентів з інвалідністю та хронічними захворюваннями. Важливим інструментом імплементації інклюзивної освітньої політики в Університеті є Програма підвищення кваліфікації науково-педагогічних працівників та навчально-допоміжного персоналу у сфері соціальної інклюзії та інклюзивної освіти. Звертатися за адресою:
вул. Карпінського, 2/4, І-й н.к., кімн. 112
E-mail: nolimits@lpnu.ua
Websites: https://lpnu.ua/nolimits https://lpnu.ua/integration
Академічна доброчесність: Політика щодо академічної доброчесності учасників освітнього процесу формується на основі дотримання принципів академічної доброчесності з урахуванням норм «Положення про академічну доброчесність у Національному університеті «Львівська політехніка» (затверджене вченою радою університету від 20.06.2017 р., протокол № 35).
Аудит, ліцензування та акредитація інформаційної безпеки (курсова робота)
Спеціальність: Кібербезпека
Код дисципліни: 6.125.03.E.114
Кількість кредитів: 2.00
Кафедра: Захист інформації
Лектор: Доц., к.т.н. Гаранюк Петро Ігорович
Семестр: 6 семестр
Форма навчання: денна
Завдання: Вивчення навчальної дисципліни передбачає формування у здобувачів освіти компетентностей:
фахові компетентності:
ФКС 3.4. Уміння аналізувати ризики для оцінки реальних загроз порушення захисту та охорони.
ФКС 3.5. Здатність здійснювати правове забезпечення інформаційної безпеки, прогнозування та моделювання в соціальній сфері.
ФКС 3.6. Здатність створювати, впроваджувати, моніторити та вдосконалювати систему менеджменту інформаційної безпеки підприємства (установи).
ФКС 3.7. Уміння реагувати на інциденти інформаційної безпеки;
ФКС 3.8. Здатність проводити аудит підприємств (установ) за інформаційною безпекою
Результати навчання: У результаті вивчення навчальної дисципліни здобувач освіти повинен бути здатним продемонструвати такі програмні результати навчання:
ЗН 3.3. Забезпечувати введення підзвітності і системи управління доступом до електронних інформаційних ресурсів і процесів в інформаційних та інформаційно-телекомунікаційних (автоматизованих) системах з використанням журналів реєстрації подій, їх аналізу та встановлених процедур захисту
ЗН 3.4. Проводити атестації (спираючись на облік та обстеження) режимних територій (зон), приміщень, тощо в умовах додержання режиму секретності із фіксуванням результатів у відповідних документах.
ЗН 3.6. Впроваджувати процеси виявлення, ідентифікації, аналізу та реагування на інциденти інформаційної і/або кібербезпеки
ЗН 3.7. Застосовувати національні та міжнародні регулюючі акти у сфері інформаційної безпеки та/або кібербезпеки для розслідування інцидентів
ЗН 3.8. Вирішувати задачі забезпечення безперервності бізнеспроцесів організації на основі теорії ризиків та встановленої системи управління інформаційною безпекою, згідно з вітчизняними та міжнародними вимогами та стандартами
ЗН 3.10. Здійснювати аналіз та мінімізацію ризиків обробки інформації в інформаційно-телекомунікаційних системах
Необхідні обов'язкові попередні та супутні навчальні дисципліни: Нормативно-правове забезпечення, стандарти та політика інформаційної і кібернетичної безпеки
Менеджмент інформаційної безпеки
Короткий зміст навчальної програми: «Аудит, ліцензування та акредитація інформаційної безпеки» знайомить студентів з загальними принципами проведення аудиту в організаціях, надання послуги у галузі технічного та криптографічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню. Оцінювання захищеності інформації,. Основними поняттями управління інформаційною безпекою підприємства на базі міжнародних стандартів серії ISO/IEC серії 27000. Значна увага приділяється засвоєнню принципів, завдань системи інформаційної безпеки, вивченню нормативної та правової бази з питань організації та проведення аудиту інформаційної безпеки, методик оцінки інформаційних ризиків, здійсненню комплексу заходів, спрямованих на розроблення і впровадження інформаційних технологій, які забезпечують обробку інформації в інформаційно-телекомунікаційних системах згідно з вимогами, встановленими нормативно-правовими актами та нормативними документами у сфері захисту інформації.
Опис: Мета курсової роботи. Види робіт та послідовність їх виконання при проведенні аудиту підприємства на базі Українських та міжнародних стандартів серії ISO/IEC серії 27000 для отримання ліцензії на господарську діяльність з криптографічного та технічного захисту інформації для подальшої акредитації підприємства. Засвоєнню принципів, завдань системи інформаційної безпеки, вивченню нормативної та правової бази з питань організації інформаційної безпеки, методик оцінки інформаційних ризиків, здійсненню комплексу заходів, спрямованих на розроблення і впровадження інформаційних технологій, які забезпечують обробку інформації в інформаційно-телекомунікаційних системах згідно з вимогами, встановленими нормативно-правовими актами та нормативними документами у сфері захисту інформації.
Вимоги до звіту з курсового проектування, який повинен складатися зі зброшурованих розрахунково-пояснювальної записки та графічної частини, виконаних згідно з вимогами ЄСКД.
Методи та критерії оцінювання: Оцінювання рівня досягнення результатів навчання здійснюється під час семестрового контролю в процесі захисту студентом результатів курсовї роботи.
Під час захисту студент представляє отримані результати виконаного курсового проектування. Усна компонента дозволяє здійснити перевірку рівня знань студентів з теорії та виявлення навичок застосування отриманих знань при вирішенні практичних завдань, а також навиків самостійної роботи з навчальною і науковою літературою.
Підготовка до захисту результатів курсової роботи дає можливість кожному студенту осмислити весь пройдений курс у цілому, сконцентрувати увагу на вузлових моментах, закріпити у пам'яті його основний зміст.
Критерії оцінювання результатів навчання: Захист курсової роботи дозволяє оцінити результати навчання студентів за такими критеріями:
- рівень теоретичних знань, набутих в процесі курсової роботи (усне опитування – до 18 балів);
- рівень практичних навиків розробки (оцінка – до 32 балів);
- отримані результати курсової роботи та рівень виконання звітної проектної документації відповідно до вимог державних та галузевих стандартів (рецензування пояснювальної записки – до 50 балів).
Порядок та критерії виставляння балів та оцінок: 100–88 балів – («відмінно») виставляється за високий рівень знань (допускаються деякі неточності) навчального матеріалу компонента, що міститься в основних і додаткових рекомендованих літературних джерелах, вміння аналізувати явища, які вивчаються, у їхньому взаємозв’язку і роз витку, чітко, лаконічно, логічно, послідовно відповідати на поставлені запитання, вміння застосовувати теоретичні положення під час розв’язання практичних задач; 87–71 бал – («добре») виставляється за загалом правильне розуміння навчального матеріалу компонента, включаючи розрахунки , аргументовані відповіді на поставлені запитання, які, однак, містять певні (неістотні) недоліки, за вміння застосовувати теоретичні положення під час розв’язання практичних задач; 70 – 50 балів – («задовільно») виставляється за слабкі знання навчального матеріалу компонента, неточні або мало аргументовані відповіді, з порушенням послідовності викладення, за слабке застосування теоретичних положень під час розв’язання практичних задач; 49–26 балів – («не атестований» з можливістю повторного складання семестрового контролю) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння застосувати теоретичні положення під час розв’язання практичних задач; 25–00 балів – («незадовільно» з обов’язковим повторним вивченням) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння орієнтуватися під час розв’язання практичних задач, незнання основних фундаментальних положень.
Рекомендована література: 1. Ромака В.А., Лагун А.Е., Гарасим Ю.Р., Рак Т.С., Самотий В.В., Рибій М.М. Підручник «Аудит інформаційної безпеки» ЛДУ БЖД, 2015-362 с.;
2. Політика інформаційної безпеки: підручник. / В. Л. Бурячок, Р. В. Грищук, В. О. Хорошко /. За заг. ред. докт. техн. наук, проф. В.О. Хорошка. – К. : ПВП «Задруга», 2014. – 204 с.
3. Головань С.М. Нормативно-правове забезпечення інформаційної безпеки. / С.М.Головань, О.С.Петров, В.О.Хорошко. – Луганськ: Вид. Наука, 2012. – 480 с.
4. Андрєєв В.І. Основи інформаційної безпеки. /В.І.Андреєв, В.О.Хорошко, В.С.Чередніченко, М.Є.Шелест. За ред.проф. В.О.Хорошка. – Вид 2-е, доповн. і перероб. – К.: ДУІКТ, 2009. – 292 с.
5. Кобозєва А.А. Аналіз захищеності інформаційних систем. / А.А.Кобозєва, І.О.Мачалін, В.О.Хорошко Бурячок В.Л.
6. Технологія прийняття рішень у складних соціотехнічних системах: Монографія. / В.Л. Бурячок, В.О. Хорошко. / Під заг. ред. докт. техн. наук, проф.В.О. Хорошка.
Уніфікований додаток: Національний університет «Львівська політехніка» забезпечує реалізацію права осіб з інвалідністю на здобуття вищої освіти. Інклюзивні освітні послуги надає Служба доступності до можливостей навчання «Без обмежень», метою діяльності якої є забезпечення постійного індивідуального супроводу навчального процесу студентів з інвалідністю та хронічними захворюваннями. Важливим інструментом імплементації інклюзивної освітньої політики в Університеті є Програма підвищення кваліфікації науково-педагогічних працівників та навчально-допоміжного персоналу у сфері соціальної інклюзії та інклюзивної освіти. Звертатися за адресою:
вул. Карпінського, 2/4, І-й н.к., кімн. 112
E-mail: nolimits@lpnu.ua
Websites: https://lpnu.ua/nolimits https://lpnu.ua/integration
Академічна доброчесність: Політика щодо академічної доброчесності учасників освітнього процесу формується на основі дотримання принципів академічної доброчесності з урахуванням норм «Положення про академічну доброчесність у Національному університеті «Львівська політехніка» (затверджене вченою радою університету від 20.06.2017 р., протокол № 35).