Аудит, ліцензування та акредитація інформаційної безпеки

Спеціальність: Кібербезпека
Код дисципліни: 6.125.03.E.104
Кількість кредитів: 5.00
Кафедра: Захист інформації
Лектор: Доц., к.т.н. Гаранюк Петро Ігорович
Семестр: 5 семестр
Форма навчання: денна
Мета вивчення дисципліни: Метою викладання дисципліни є формування знань про організацію системи державного ліцензування в галузі захисту інформації, проведення аудиту та атестації об'єктів захисту інформації, а також організації заходів з інформаційної безпеки на об'єкті інформатизації та їх правове забезпечення. Дисципліна розкриває основні поняття та види інформації, що захищається відповідно до законодавства України та міжнародних стандартів, дає знання про систему захисту державної таємниці, конфіденційної інформації, формує професійні компетенції, необхідні для здійснення професійної діяльності.
Завдання: Вивчення навчальної дисципліни передбачає формування у здобувачів освіти компетентностей: загальні компетентності: 1. ЗК 1. Здатність застосовувати знання у практичних ситуаціях. 2. ЗК 2. Знання та розуміння предметної області та розуміння професії 3. ЗК 5. Здатність до пошуку, оброблення та аналізу інформації фахові компетентності: ФКС 3.4. Уміння аналізувати ризики для оцінки реальних загроз порушення захисту та охорони. ФКС 3.5. Здатність здійснювати правове забезпечення інформаційної безпеки, прогнозування та моделювання в соціальній сфері. ФКС 3.6. Здатність створювати, впроваджувати, моніторити та вдосконалювати систему менеджменту інформаційної безпеки підприємства (установи). ФКС 3.7. Уміння реагувати на інциденти інформаційної безпеки; ФКС 3.8. Здатність проводити аудит підприємств (установ) за інформаційною безпекою
Результати навчання: У результаті вивчення навчальної дисципліни здобувач освіти повинен бути здатним продемонструвати такі результати навчання: 1. ЗН 15. Володіння методами загальнонаукового аналізу у сфері інформаційних технологій та інформаційної безпеки; 2. ЗН 21. Знання нових вітчизняних та міжнародних стандартів інформаційної безпеки. 3. ЗН 22. Знання основних моделей уразливостей, загроз та атак для обґрунтування варіантів побудови автоматизованої системи моніторингу інформаційної безпеки для інформаційних і комунікаційних систем та її основних складових
Необхідні обов'язкові попередні та супутні навчальні дисципліни: Прогнозування та моделювання в соціальній сфері та забезпечення неперервоності ІБ бізнесу, Комп'ютерна обробка інформації
Короткий зміст навчальної програми: «Аудит, ліцензування та акредитація інформаційної безпеки» знайомить студентів з загальними принципами проведення аудиту в організаціях, надання послуги у галузі криптографічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню. Послуги у галузі технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню. Оцінювання захищеності інформації, що не становить державної таємниці. Основними поняттями управління інформаційною безпекою підприємства на базі міжнародних стандартів серії ISO/IEC серії 27000. Значна увага приділяється засвоєнню принципів, завдань системи інформаційної безпеки, вивченню нормативної та правової бази з питань організації та проведення аудиту інформаційної безпеки, методик оцінки інформаційних ризиків, здійсненню комплексу заходів, спрямованих на розроблення і впровадження інформаційних технологій, які забезпечують обробку інформації в інформаційно-телекомунікаційних системах згідно з вимогами, встановленими нормативно-правовими актами та нормативними документами у сфері захисту інформації.
Опис: Передумови та основні напрямки розвитку інформаційної безпеки Діяльність міжнародних організацій в сфері інформаційної безпеки Стандартизація в сфері менеджменту інформаційної безпеки Роботи спеціалізованих міжнародних організацій та об'єднань в галузі інформаційної безпеки Управління інформаційною безпекою на рівні великих постачальників інформаційних систем Організаційне забезпечення інформаційної безпеки на Державному рівні: практика США Забезпечення інформаційної безпеки на державному рівні: практика України Забезпечення інформаційної безпеки на державному рівні: практика України (криптографічні методи захисту) Забезпечення інформаційної безпеки на державному рівні: практика України (технічні методи захисту) Аудит інформаційної безпеки на рівні підприємства: основні напрямки і структура політики безпеки Зміст деталізованої політики безпеки Департамент інформаційної безпеки і робота з персоналом Організація реагування на надзвичайні ситуації (інциденти) Аудит стану інформаційної безпеки на підприємстві Надання послуг у сфері інформаційної безпеки Надання послуг у сфері інформаційної безпеки (страхування) Міжнародний стандарт ISO/IEC 27001 Міжнародний стандарт ISO/IEC 27001 перелік захисних заходів та їх цілей
Методи та критерії оцінювання: Поточний контроль, який складається з виконання лабораторних робіт та захисту звітів, виконання та захисту контрольної роботи, усне опитування, оцінювання активності під час практичних занять. Екзаменаційний контроль, який складається з письмового опитування та усної компоненти.
Критерії оцінювання результатів навчання: оточний контроль (40 балів): 1. Лабораторні заняття – 35 балів. 2. Практичні заняття – 5 балів. Екзаменаційний контроль (60 балів): письмова компонента - 55 балів усна компонента - 5 балів
Порядок та критерії виставляння балів та оцінок: 100–88 балів – («відмінно») виставляється за високий рівень знань (допускаються деякі неточності) навчального матеріалу компонента, що міститься в основних і додаткових рекомендованих літературних джерелах, вміння аналізувати явища, які вивчаються, у їхньому взаємозв’язку і роз витку, чітко, лаконічно, логічно, послідовно відповідати на поставлені запитання, вміння застосовувати теоретичні положення під час розв’язання практичних задач; 87–71 бал – («добре») виставляється за загалом правильне розуміння навчального матеріалу компонента, включаючи розрахунки , аргументовані відповіді на поставлені запитання, які, однак, містять певні (неістотні) недоліки, за вміння застосовувати теоретичні положення під час розв’язання практичних задач; 70 – 50 балів – («задовільно») виставляється за слабкі знання навчального матеріалу компонента, неточні або мало аргументовані відповіді, з порушенням послідовності викладення, за слабке застосування теоретичних положень під час розв’язання практичних задач; 49–26 балів – («не атестований» з можливістю повторного складання семестрового контролю) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння застосувати теоретичні положення під час розв’язання практичних задач; 25–00 балів – («незадовільно» з обов’язковим повторним вивченням) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння орієнтуватися під час розв’язання практичних задач, незнання основних фундаментальних положень.
Рекомендована література: 1. Ромака В.А., Лагун А.Е., Гарасим Ю.Р., Рак Т.С., Самотий В.В., Рибій М.М. Підручник «Аудит інформаційної безпеки» ЛДУ БЖД, 2015-362 с.; 2. Політика інформаційної безпеки: підручник. / В. Л. Бурячок, Р. В. Грищук, В. О. Хорошко /. За заг. ред. докт. техн. наук, проф. В.О. Хорошка. – К. : ПВП «Задруга», 2014. – 204 с. 3. Головань С.М. Нормативно-правове забезпечення інформаційної безпеки. / С.М.Головань, О.С.Петров, В.О.Хорошко. – Луганськ: Вид. Наука, 2012. – 480 с. 4. Андрєєв В.І. Основи інформаційної безпеки. /В.І.Андреєв, В.О.Хорошко, В.С.Чередніченко, М.Є.Шелест. За ред.проф. В.О.Хорошка. – Вид 2-е, доповн. і перероб. – К.: ДУІКТ, 2009. – 292 с. 5. Кобозєва А.А. Аналіз захищеності інформаційних систем. / А.А.Кобозєва, І.О.Мачалін, В.О.Хорошко 6. Бурячок В.Л. Технологія прийняття рішень у складних соціотехнічних системах: Монографія. / В.Л. Бурячок, В.О. Хорошко. / Під заг. ред. докт. техн. наук, проф.В.О. Хорошка.
Уніфікований додаток: Національний університет «Львівська політехніка» забезпечує реалізацію права осіб з інвалідністю на здобуття вищої освіти. Інклюзивні освітні послуги надає Служба доступності до можливостей навчання «Без обмежень», метою діяльності якої є забезпечення постійного індивідуального супроводу навчального процесу студентів з інвалідністю та хронічними захворюваннями. Важливим інструментом імплементації інклюзивної освітньої політики в Університеті є Програма підвищення кваліфікації науково-педагогічних працівників та навчально-допоміжного персоналу у сфері соціальної інклюзії та інклюзивної освіти. Звертатися за адресою: вул. Карпінського, 2/4, І-й н.к., кімн. 112 E-mail: nolimits@lpnu.ua Websites: https://lpnu.ua/nolimits https://lpnu.ua/integration
Академічна доброчесність: Політика щодо академічної доброчесності учасників освітнього процесу формується на основі дотримання принципів академічної доброчесності з урахуванням норм «Положення про академічну доброчесність у Національному університеті «Львівська політехніка» (затверджене вченою радою університету від 20.06.2017 р., протокол № 35).

Аудит, ліцензування та акредитація інформаційної безпеки (курсова робота)

Спеціальність: Кібербезпека
Код дисципліни: 6.125.03.E.106
Кількість кредитів: 2.00
Кафедра: Захист інформації
Лектор: Доц., к.т.н. Гаранюк Петро Ігорович
Семестр: 5 семестр
Форма навчання: денна
Мета вивчення дисципліни: Метою курсової роботи є: розширення та закріплення теоретичних знань; набуття практичних навиків з розробки та організації захисту інформації на підприємстві, проведення аудиту та атестації об'єктів захисту інформації, а також організації заходів з інформаційної безпеки на об'єкті інформатизації, правове забезпечення для подальшого отримання ліцензії для проведення заходів з технічного та криптографічного захисту інформації. Курсова робота розкриває основні поняття та види інформації, що захищається відповідно до законодавства України та міжнародних стандартів, дає знання про систему захисту державної таємниці, конфіденційної інформації, формує професійні компетенції, необхідні для здійснення професійної діяльності.
Завдання: Вивчення навчальної дисципліни передбачає формування у здобувачів освіти компетентностей: загальні компетентності: 1. ЗК 1. Здатність застосовувати знання у практичних ситуаціях. 2. ЗК 2. Знання та розуміння предметної області та розуміння професії 3. ЗК 5. Здатність до пошуку, оброблення та аналізу інформації фахові компетентності: ФКС 3.4. Уміння аналізувати ризики для оцінки реальних загроз порушення захисту та охорони. ФКС 3.5. Здатність здійснювати правове забезпечення інформаційної безпеки, прогнозування та моделювання в соціальній сфері. ФКС 3.6. Здатність створювати, впроваджувати, моніторити та вдосконалювати систему менеджменту інформаційної безпеки підприємства (установи). ФКС 3.7. Уміння реагувати на інциденти інформаційної безпеки; ФКС 3.8. Здатність проводити аудит підприємств (установ) за інформаційною безпекою
Результати навчання: У результаті вивчення навчальної дисципліни здобувач освіти повинен бути здатним продемонструвати такі результати навчання: 1. ЗН 15. Володіння методами загальнонаукового аналізу у сфері інформаційних технологій та інформаційної безпеки; 2. ЗН 21. Знання нових вітчизняних та міжнародних стандартів інформаційної безпеки. 3. ЗН 22. Знання основних моделей уразливостей, загроз та атак для обґрунтування варіантів побудови автоматизованої системи моніторингу інформаційної безпеки для інформаційних і комунікаційних систем та її основних складових
Необхідні обов'язкові попередні та супутні навчальні дисципліни: Прогнозування та моделювання в соціальній сфері та забезпечення неперервоності ІБ бізнесу, Комп'ютерна обробка інформації
Короткий зміст навчальної програми: «Аудит, ліцензування та акредитація інформаційної безпеки» знайомить студентів з загальними принципами проведення аудиту в організаціях, надання послуги у галузі криптографічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню. Послуги у галузі технічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню. Оцінювання захищеності інформації, що не становить державної таємниці. Основними поняттями управління інформаційною безпекою підприємства на базі міжнародних стандартів серії ISO/IEC серії 27000. Значна увага приділяється засвоєнню принципів, завдань системи інформаційної безпеки, вивченню нормативної та правової бази з питань організації та проведення аудиту інформаційної безпеки, методик оцінки інформаційних ризиків, здійсненню комплексу заходів, спрямованих на розроблення і впровадження інформаційних технологій, які забезпечують обробку інформації в інформаційно-телекомунікаційних системах згідно з вимогами, встановленими нормативно-правовими актами та нормативними документами у сфері захисту інформації.
Опис: Мета курсової роботи. Види робіт та послідовність їх виконання при проведенні аудиту підприємства на базі Українських та міжнародних стандартів серії ISO/IEC серії 27000 для отримання ліцензії на господарську діяльність з криптографічного та технічного захисту інформації для подальшої акредитації підприємства. Засвоєнню принципів, завдань системи інформаційної безпеки, вивченню нормативної та правової бази з питань організації інформаційної безпеки, методик оцінки інформаційних ризиків, здійсненню комплексу заходів, спрямованих на розроблення і впровадження інформаційних технологій, які забезпечують обробку інформації в інформаційно-телекомунікаційних системах згідно з вимогами, встановленими нормативно-правовими актами та нормативними документами у сфері захисту інформації. Вимоги до звіту з курсового проектування, який повинен складатися зі зброшурованих розрахунково-пояснювальної записки та графічної частини, виконаних згідно з вимогами ЄСКД. .
Методи та критерії оцінювання: Підсумковий (заліковий) контроль здійснюється за результатами перевірки виконання курсової роботи відповідно до поставленого завдання та усного опитування.
Критерії оцінювання результатів навчання: • Виконання курсової роботи(70 балів) • Усне опитування (30 балів)
Порядок та критерії виставляння балів та оцінок: 100–88 балів – («відмінно») виставляється за високий рівень знань (допускаються деякі неточності) навчального матеріалу компонента, що міститься в основних і додаткових рекомендованих літературних джерелах, вміння аналізувати явища, які вивчаються, у їхньому взаємозв’язку і роз витку, чітко, лаконічно, логічно, послідовно відповідати на поставлені запитання, вміння застосовувати теоретичні положення під час розв’язання практичних задач; 87–71 бал – («добре») виставляється за загалом правильне розуміння навчального матеріалу компонента, включаючи розрахунки , аргументовані відповіді на поставлені запитання, які, однак, містять певні (неістотні) недоліки, за вміння застосовувати теоретичні положення під час розв’язання практичних задач; 70 – 50 балів – («задовільно») виставляється за слабкі знання навчального матеріалу компонента, неточні або мало аргументовані відповіді, з порушенням послідовності викладення, за слабке застосування теоретичних положень під час розв’язання практичних задач; 49–26 балів – («не атестований» з можливістю повторного складання семестрового контролю) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння застосувати теоретичні положення під час розв’язання практичних задач; 25–00 балів – («незадовільно» з обов’язковим повторним вивченням) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння орієнтуватися під час розв’язання практичних задач, незнання основних фундаментальних положень.
Рекомендована література: 1. Ромака В.А., Лагун А.Е., Гарасим Ю.Р., Рак Т.С., Самотий В.В., Рибій М.М. Підручник «Аудит інформаційної безпеки» ЛДУ БЖД, 2015-362 с.; 2. Політика інформаційної безпеки: підручник. / В. Л. Бурячок, Р. В. Грищук, В. О. Хорошко /. За заг. ред. докт. техн. наук, проф. В.О. Хорошка. – К. : ПВП «Задруга», 2014. – 204 с. 3. Головань С.М. Нормативно-правове забезпечення інформаційної безпеки. / С.М.Головань, О.С.Петров, В.О.Хорошко. – Луганськ: Вид. Наука, 2012. – 480 с. 4. Андрєєв В.І. Основи інформаційної безпеки. /В.І.Андреєв, В.О.Хорошко, В.С.Чередніченко, М.Є.Шелест. За ред.проф. В.О.Хорошка. – Вид 2-е, доповн. і перероб. – К.: ДУІКТ, 2009. – 292 с. 5. Кобозєва А.А. Аналіз захищеності інформаційних систем. / А.А.Кобозєва, І.О.Мачалін, В.О.Хорошко 6. Бурячок В.Л. Технологія прийняття рішень у складних соціотехнічних системах: Монографія. / В.Л. Бурячок, В.О. Хорошко. / Під заг. ред. докт. техн. наук, проф.В.О. Хорошка.
Уніфікований додаток: Національний університет «Львівська політехніка» забезпечує реалізацію права осіб з інвалідністю на здобуття вищої освіти. Інклюзивні освітні послуги надає Служба доступності до можливостей навчання «Без обмежень», метою діяльності якої є забезпечення постійного індивідуального супроводу навчального процесу студентів з інвалідністю та хронічними захворюваннями. Важливим інструментом імплементації інклюзивної освітньої політики в Університеті є Програма підвищення кваліфікації науково-педагогічних працівників та навчально-допоміжного персоналу у сфері соціальної інклюзії та інклюзивної освіти. Звертатися за адресою: вул. Карпінського, 2/4, І-й н.к., кімн. 112 E-mail: nolimits@lpnu.ua Websites: https://lpnu.ua/nolimits https://lpnu.ua/integration
Академічна доброчесність: Політика щодо академічної доброчесності учасників освітнього процесу формується на основі дотримання принципів академічної доброчесності з урахуванням норм «Положення про академічну доброчесність у Національному університеті «Львівська політехніка» (затверджене вченою радою університету від 20.06.2017 р., протокол № 35).