Аудит інформаційної безпеки
Спеціальність: Кібербезпека
Код дисципліни: 6.125.04.E.124
Кількість кредитів: 3.00
Кафедра: Захист інформації
Лектор: Доц., к.т.н. Гаранюк Петро Ігорович
Семестр: 6 семестр
Форма навчання: денна
Завдання: Вивчення навчальної дисципліни передбачає формування у здобувачів освіти компетентностей:
загальні компетентності:
1. ЗК 1. Здатність застосовувати знання у практичних ситуаціях.
2. ЗК 2. Знання та розуміння предметної області та розуміння професії
3. ЗК 5. Здатність до пошуку, оброблення та аналізу інформації
Результати навчання: У результаті вивчення навчальної дисципліни здобувач освіти повинен бути здатним продемонструвати такі програмні результати навчання:
У результаті вивчення навчальної дисципліни здобувач освіти повинен бути здатним продемонструвати такі результати навчання:
1. ЗН 15. Володіння методами загальнонаукового аналізу у сфері інформаційних технологій та інформаційної безпеки;
2. ЗН 21. Знання нових вітчизняних та міжнародних стандартів інформаційної безпеки.
3. ЗН 22. Знання основних моделей уразливостей, загроз та атак для обґрунтування варіантів побудови автоматизованої системи моніторингу інформаційної безпеки для інформаційних і комунікаційних систем та її основних складових
Необхідні обов'язкові попередні та супутні навчальні дисципліни: Оцінювання ризиків та планування відновлення ІС, Організація інформаційних технологій на підприємстві
Короткий зміст навчальної програми: Сучасний стан аудиту інформаційної безпеки організації, дає вичерпні відповіді на низку запитань, які виникають при його здійсненні, зокрема, як проводити аудит, які процедури використовувати, до яких результатів може зумовити аудит, хто має право проводити таку перевірку, як оцінити результати аудиту і т.д.
А тому важливою складовою розвитку бізнесу є автоматизація бізнес-процесів з використанням засобів обчислювальної техніки та телекомунікаційних систем, що супроводжується стрімким збільшенням об’ємів інформації, яка отримується, обробляється, передається та зберігається в електронному вигляді в інформаційних системах. У зв’язку з цим інформаційні системи стають ключовими у забезпеченні ефективного розвитку підприємства, компанії, фірми.
Опис: Вступ. Основи побудови систем інформаційної безпеки. Мета та завдання інформаційної безпеки.
Загрози інформаційній безпеці та їх джерела. Аналіз інформаційних ризиків організації. 1
Практичні й лабораторні роботи – репродуктивний метод, евристичний метод, са¬мостійна робота – дослід¬ницький метод
Практичні й лабораторні роботи – репродуктивний метод, евристичний метод, са¬мостійна робота – дослід¬ницький метод 1
Поняття аудиту інформаційної безпеки. Програма аудиту інформаційної безпеки.
Планування процедури аудиту інформаційної безпеки. Види аудиту. 1
Активний аудит. Експертний аудит.
Аудит на відповідність стандартам. Поняття комплексного аудиту безпеки інформаційних систем. 1
Основні напрями аудиту інформаційної безпеки. Контроль та аналіз аудиторських груп, вимоги до аудиторів.
Проведення аудиту інформаційної безпеки. Алгоритм проведення аудиту безпеки організації. 1
Перелік даних, необхідних для проведення аудиту інформаційної безпеки. Рекомендації з підготовки звітних документів.
Оцінювання результатів проведення аудиту або власного оцінювання стану інформаційної безпеки організації. Інтерпретація результатів проведення аудиту або власного оцінювання стану інформаційної безпеки організації. 1
Поняття аудиту інформаційної безпеки. Програма аудиту інформаційної безпеки.
Стандарт «Критерії оцінювання надійності комп’ютерних систем» (Помаранчева книга). Гармонізовані критерії європейських країн. 1
Основні поняття Загальних критеріїв. Методологія оцінювання інформаційних технологій за Загальними критеріями.
Оцінювання рівня довіри функціональної безпеки інформаційної технології. Огляд класів та сімейств Загальних критеріїв. 1
Німецький стандарт BSI. Британський стандарт BS 7799. Міжнародний стандарт ISO 17799.
Аудит інформаційної безпеки на відповідність міжнародному стандарту ISO/IEC 17799:2000 (BS 7799-1:2000). 1
Стандарт COBIT. Аудит інформаційної безпеки на відповідність вимогам. Асоціації аудиту та управління інформаційними системами (вимогам стандарту СОВІТ).
Приклад проведення аудиту інформаційної безпеки підсистеми розрахунку та видачі заробітної плати. Стандарти та керівництва, розроблені у рамках проекту SCORE. 1
Національні стандарти та керівництва з аудиту інформаційною безпекою GAO/AIMD-12.19.6 «Керівництво з аудиту засобів управління федеральних інформаційних систем».
Планування аудиту при застосуванні положень FISCAM. Оцінювання та тестування при застосуванні положень FISCAM. Підсумковий документ аудиту при застосуванні положень FISCAM. 1
Завдання та зміст робіт при проведенні аудиту інформаційної безпеки корпоративної системи. Практичні підходи до аналізу та оцінювання біжучого стану ІБ організації.
Аудит безпеки зовнішнього периметра корпоративної мережі. Дослідження зовнішнього периметра мережі на предмет захищеності. 1
Аудит виділених приміщень. Підготовчий етап аудиту виділених приміщень.
Етап безпосереднього проведення аудиту виділених приміщень. Заключний етап проведення аудиту виділених приміщень. 1
Аудит безпеки окремих об’єктів ІТ-інфраструктури. Технічна експертиза продуктів та рішень із забезпечення інформаційної безпеки.
Особливості аудиту інформаційної безпеки організацій, які використовують аутсорсинг. Особливості аудиту ІБ у банківській системі. 1
Методичні рекомендації НБУ щодо впровадження системи управління ІБ та методики оцінювання ризиків. Підготовка до впровадження СУІБ. Опис існуючої інфраструктури та заходів безпеки. Аналіз ризиків.Оцінювання ризиків відпрацювання документації. Модель оцінювання процесів об’єкту аудита. Точність оцінювання процесів об’єкту аудита. Моделі (алгоритми) обчислення показників інформаційної безпеки. 1
Методи та критерії оцінювання: Поточний контроль, який складається з виконання лабораторних робіт та захисту звітів, виконання та захисту контрольної роботи, усне опитування, оцінювання активності під час практичних занять. Екзаменаційний контроль, який складається з письмового опитування та усної компоненти.
Критерії оцінювання результатів навчання: Поточний контроль (40 балів):
1. Лабораторні заняття – 35 балів.
2. Практичні заняття – 5 балів.
Екзаменаційний контроль (60 балів):
письмова компонента - 55 балів
усна компонента - 5 балів
Порядок та критерії виставляння балів та оцінок: 100–88 балів – («відмінно») виставляється за високий рівень знань (допускаються деякі неточності) навчального матеріалу компонента, що міститься в основних і додаткових рекомендованих літературних джерелах, вміння аналізувати явища, які вивчаються, у їхньому взаємозв’язку і роз витку, чітко, лаконічно, логічно, послідовно відповідати на поставлені запитання, вміння застосовувати теоретичні положення під час розв’язання практичних задач; 87–71 бал – («добре») виставляється за загалом правильне розуміння навчального матеріалу компонента, включаючи розрахунки , аргументовані відповіді на поставлені запитання, які, однак, містять певні (неістотні) недоліки, за вміння застосовувати теоретичні положення під час розв’язання практичних задач; 70 – 50 балів – («задовільно») виставляється за слабкі знання навчального матеріалу компонента, неточні або мало аргументовані відповіді, з порушенням послідовності викладення, за слабке застосування теоретичних положень під час розв’язання практичних задач; 49–26 балів – («не атестований» з можливістю повторного складання семестрового контролю) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння застосувати теоретичні положення під час розв’язання практичних задач; 25–00 балів – («незадовільно» з обов’язковим повторним вивченням) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння орієнтуватися під час розв’язання практичних задач, незнання основних фундаментальних положень.
Рекомендована література: 1. Ромака В.А., Дудикевич В.Б., Гарасим Ю.Р., Гаранюк П.І Навчальний посібник «Системи менеджменту інформаційної безпеки» НУ «Львівська політехніка» Львів, 2012-230 с
2. Ромака В.А., Лагун А.Е., Гарасим Ю.Р., Рак Т.С., Самотий В.В., Рибій М.М. Підручник «Аудит інформаційної безпеки» ЛДУ БЖД, 2015-362 с.;
3. Міжнародні стандарти ISO 17799-2000, ISO'IEC 27001-2005, ISO'IEC 27002-2007
4.Alan Calder & Steve Watkins. Information Security Risk Management for ISO 27001/ISO 17799. – IT Governance Publishing, 2007
Уніфікований додаток: Національний університет «Львівська політехніка» забезпечує реалізацію права осіб з інвалідністю на здобуття вищої освіти. Інклюзивні освітні послуги надає Служба доступності до можливостей навчання «Без обмежень», метою діяльності якої є забезпечення постійного індивідуального супроводу навчального процесу студентів з інвалідністю та хронічними захворюваннями. Важливим інструментом імплементації інклюзивної освітньої політики в Університеті є Програма підвищення кваліфікації науково-педагогічних працівників та навчально-допоміжного персоналу у сфері соціальної інклюзії та інклюзивної освіти. Звертатися за адресою:
вул. Карпінського, 2/4, І-й н.к., кімн. 112
E-mail: nolimits@lpnu.ua
Websites: https://lpnu.ua/nolimits https://lpnu.ua/integration
Академічна доброчесність: Політика щодо академічної доброчесності учасників освітнього процесу формується на основі дотримання принципів академічної доброчесності з урахуванням норм «Положення про академічну доброчесність у Національному університеті «Львівська політехніка» (затверджене вченою радою університету від 20.06.2017 р., протокол № 35).