Аудит інформаційної безпеки

Спеціальність: Кібербезпека
Код дисципліни: 6.125.04.E.124
Кількість кредитів: 3.00
Кафедра: Захист інформації
Лектор: Доц., к.т.н. Гаранюк Петро Ігорович
Семестр: 6 семестр
Форма навчання: денна
Мета вивчення дисципліни: Метою даної дисципліни є передача студенту знань з теоретичних основ та методів організації та проведення аудиту інформаційної безпеки у сфері захисту інформації на основі сімейства міжнародних стандартів ISO/IEC 17799, 27000. Вивчення дисципліни необхідне для формування уявлень про організацію робіт по проектуванню та експлуатації комплексних систем захисту інформаційних ресурсів, організацією та правового регулювання діяльності служби безпеки об’єкта захисту інформації. Предмет дає студенту практичні навики у побудові систем менеджменту інформаційної безпеки на основі сімейства міжнародних стандартів ISO/IEC 17799, 27000.
Завдання: Вивчення навчальної дисципліни передбачає формування у здобувачів освіти компетентностей: загальні компетентності: 1. ЗК 1. Здатність застосовувати знання у практичних ситуаціях. 2. ЗК 2. Знання та розуміння предметної області та розуміння професії 3. ЗК 5. Здатність до пошуку, оброблення та аналізу інформації
Результати навчання: У результаті вивчення навчальної дисципліни здобувач освіти повинен бути здатним продемонструвати такі програмні результати навчання: У результаті вивчення навчальної дисципліни здобувач освіти повинен бути здатним продемонструвати такі результати навчання: 1. ЗН 15. Володіння методами загальнонаукового аналізу у сфері інформаційних технологій та інформаційної безпеки; 2. ЗН 21. Знання нових вітчизняних та міжнародних стандартів інформаційної безпеки. 3. ЗН 22. Знання основних моделей уразливостей, загроз та атак для обґрунтування варіантів побудови автоматизованої системи моніторингу інформаційної безпеки для інформаційних і комунікаційних систем та її основних складових
Необхідні обов'язкові попередні та супутні навчальні дисципліни: Оцінювання ризиків та планування відновлення ІС, Організація інформаційних технологій на підприємстві
Короткий зміст навчальної програми: Сучасний стан аудиту інформаційної безпеки організації, дає вичерпні відповіді на низку запитань, які виникають при його здійсненні, зокрема, як проводити аудит, які процедури використовувати, до яких результатів може зумовити аудит, хто має право проводити таку перевірку, як оцінити результати аудиту і т.д. А тому важливою складовою розвитку бізнесу є автоматизація бізнес-процесів з використанням засобів обчислювальної техніки та телекомунікаційних систем, що супроводжується стрімким збільшенням об’ємів інформації, яка отримується, обробляється, передається та зберігається в електронному вигляді в інформаційних системах. У зв’язку з цим інформаційні системи стають ключовими у забезпеченні ефективного розвитку підприємства, компанії, фірми.
Опис: Вступ. Основи побудови систем інформаційної безпеки. Мета та завдання інформаційної безпеки. Загрози інформаційній безпеці та їх джерела. Аналіз інформаційних ризиків організації. 1 Практичні й лабораторні роботи – репродуктивний метод, евристичний метод, са¬мостійна робота – дослід¬ницький метод Практичні й лабораторні роботи – репродуктивний метод, евристичний метод, са¬мостійна робота – дослід¬ницький метод 1 Поняття аудиту інформаційної безпеки. Програма аудиту інформаційної безпеки. Планування процедури аудиту інформаційної безпеки. Види аудиту. 1 Активний аудит. Експертний аудит. Аудит на відповідність стандартам. Поняття комплексного аудиту безпеки інформаційних систем. 1 Основні напрями аудиту інформаційної безпеки. Контроль та аналіз аудиторських груп, вимоги до аудиторів. Проведення аудиту інформаційної безпеки. Алгоритм проведення аудиту безпеки організації. 1 Перелік даних, необхідних для проведення аудиту інформаційної безпеки. Рекомендації з підготовки звітних документів. Оцінювання результатів проведення аудиту або власного оцінювання стану інформаційної безпеки організації. Інтерпретація результатів проведення аудиту або власного оцінювання стану інформаційної безпеки організації. 1 Поняття аудиту інформаційної безпеки. Програма аудиту інформаційної безпеки. Стандарт «Критерії оцінювання надійності комп’ютерних систем» (Помаранчева книга). Гармонізовані критерії європейських країн. 1 Основні поняття Загальних критеріїв. Методологія оцінювання інформаційних технологій за Загальними критеріями. Оцінювання рівня довіри функціональної безпеки інформаційної технології. Огляд класів та сімейств Загальних критеріїв. 1 Німецький стандарт BSI. Британський стандарт BS 7799. Міжнародний стандарт ISO 17799. Аудит інформаційної безпеки на відповідність міжнародному стандарту ISO/IEC 17799:2000 (BS 7799-1:2000). 1 Стандарт COBIT. Аудит інформаційної безпеки на відповідність вимогам. Асоціації аудиту та управління інформаційними системами (вимогам стандарту СОВІТ). Приклад проведення аудиту інформаційної безпеки підсистеми розрахунку та видачі заробітної плати. Стандарти та керівництва, розроблені у рамках проекту SCORE. 1 Національні стандарти та керівництва з аудиту інформаційною безпекою GAO/AIMD-12.19.6 «Керівництво з аудиту засобів управління федеральних інформаційних систем». Планування аудиту при застосуванні положень FISCAM. Оцінювання та тестування при застосуванні положень FISCAM. Підсумковий документ аудиту при застосуванні положень FISCAM. 1 Завдання та зміст робіт при проведенні аудиту інформаційної безпеки корпоративної системи. Практичні підходи до аналізу та оцінювання біжучого стану ІБ організації. Аудит безпеки зовнішнього периметра корпоративної мережі. Дослідження зовнішнього периметра мережі на предмет захищеності. 1 Аудит виділених приміщень. Підготовчий етап аудиту виділених приміщень. Етап безпосереднього проведення аудиту виділених приміщень. Заключний етап проведення аудиту виділених приміщень. 1 Аудит безпеки окремих об’єктів ІТ-інфраструктури. Технічна експертиза продуктів та рішень із забезпечення інформаційної безпеки. Особливості аудиту інформаційної безпеки організацій, які використовують аутсорсинг. Особливості аудиту ІБ у банківській системі. 1 Методичні рекомендації НБУ щодо впровадження системи управління ІБ та методики оцінювання ризиків. Підготовка до впровадження СУІБ. Опис існуючої інфраструктури та заходів безпеки. Аналіз ризиків.Оцінювання ризиків відпрацювання документації. Модель оцінювання процесів об’єкту аудита. Точність оцінювання процесів об’єкту аудита. Моделі (алгоритми) обчислення показників інформаційної безпеки. 1
Методи та критерії оцінювання: Поточний контроль, який складається з виконання лабораторних робіт та захисту звітів, виконання та захисту контрольної роботи, усне опитування, оцінювання активності під час практичних занять. Екзаменаційний контроль, який складається з письмового опитування та усної компоненти.
Критерії оцінювання результатів навчання: Поточний контроль (40 балів): 1. Лабораторні заняття – 35 балів. 2. Практичні заняття – 5 балів. Екзаменаційний контроль (60 балів): письмова компонента - 55 балів усна компонента - 5 балів
Порядок та критерії виставляння балів та оцінок: 100-88 балів - атестований з оцінкою «відмінно» - Високий рівень: здобувач освіти демонструє поглиблене володіння поняттєвим та категорійним апаратом навчальної дисципліни, системні знання, вміння і навички їх практичного застосування. Освоєні знання, вміння і навички забезпечують можливість самостійного формулювання цілей та організації навчальної діяльності, пошуку та знаходження рішень у нестандартних, нетипових навчальних і професійних ситуаціях. Здобувач освіти демонструє здатність робити узагальнення на основі критичного аналізу фактичного матеріалу, ідей, теорій і концепцій, формулювати на їх основі висновки. Його діяльності ґрунтується на зацікавленості та мотивації до саморозвитку, неперервного професійного розвитку, самостійної науково-дослідної діяльності, що реалізується за підтримки та під керівництвом викладача. 87-71 балів - атестований з оцінкою «добре» - Достатній рівень: передбачає володіння поняттєвим та категорійним апаратом навчальної дисципліни на підвищеному рівні, усвідомлене використання знань, умінь і навичок з метою розкриття суті питання. Володіння частково-структурованим комплексом знань забезпечує можливість їх застосування у знайомих ситуаціях освітнього та професійного характеру. Усвідомлюючи специфіку задач та навчальних ситуацій, здобувач освіти демонструє здатність здійснювати пошук та вибір їх розв’язання за поданим зразком, аргументувати застосування певного способу розв’язання задачі. Його діяльності ґрунтується на зацікавленості та мотивації до саморозвитку, неперервного професійного розвитку. 70-50 балів - атестований з оцінкою «задовільно» - Задовільний рівень: окреслює володіння поняттєвим та категорійним апаратом навчальної дисципліни на середньому рівні, часткове усвідомлення навчальних і професійних задач, завдань і ситуацій, знання про способи розв’язання типових задач і завдань. Здобувач освіти демонструє середній рівень умінь і навичок застосування знань на практиці, а розв’язання задач потребує допомоги, опори на зразок. В основу навчальної діяльності покладено ситуативність та евристичність, домінування мотивів обов’язку, неусвідомлене застосування можливостей для саморозвитку. 49-00 балів - атестований з оцінкою «незадовільно» - Незадовільний рівень: свідчить про елементарне володіння поняттєвим та категорійним апаратом навчальної дисципліни, загальне уявлення про зміст навчального матеріалу, часткове використання знань, умінь і навичок. В основу навчальної діяльності покладено ситуативно-прагматичний інтерес.
Рекомендована література: 1. Ромака В.А., Дудикевич В.Б., Гарасим Ю.Р., Гаранюк П.І Навчальний посібник «Системи менеджменту інформаційної безпеки» НУ «Львівська політехніка» Львів, 2012-230 с 2. Ромака В.А., Лагун А.Е., Гарасим Ю.Р., Рак Т.С., Самотий В.В., Рибій М.М. Підручник «Аудит інформаційної безпеки» ЛДУ БЖД, 2015-362 с.; 3. Міжнародні стандарти ISO 17799-2000, ISO'IEC 27001-2005, ISO'IEC 27002-2007 4.Alan Calder & Steve Watkins. Information Security Risk Management for ISO 27001/ISO 17799. – IT Governance Publishing, 2007
Уніфікований додаток: Національний університет «Львівська політехніка» забезпечує реалізацію права осіб з інвалідністю на здобуття вищої освіти. Інклюзивні освітні послуги надає Служба доступності до можливостей навчання «Без обмежень», метою діяльності якої є забезпечення постійного індивідуального супроводу навчального процесу студентів з інвалідністю та хронічними захворюваннями. Важливим інструментом імплементації інклюзивної освітньої політики в Університеті є Програма підвищення кваліфікації науково-педагогічних працівників та навчально-допоміжного персоналу у сфері соціальної інклюзії та інклюзивної освіти. Звертатися за адресою: вул. Карпінського, 2/4, І-й н.к., кімн. 112 E-mail: nolimits@lpnu.ua Websites: https://lpnu.ua/nolimits https://lpnu.ua/integration
Академічна доброчесність: Політика щодо академічної доброчесності учасників освітнього процесу формується на основі дотримання принципів академічної доброчесності з урахуванням норм «Положення про академічну доброчесність у Національному університеті «Львівська політехніка» (затверджене вченою радою університету від 20.06.2017 р., протокол № 35).