Міжнародні стандарти із кібербезпеки
Спеціальність: Управління інформаційною безпекою
Код дисципліни: 7.125.03.E.015
Кількість кредитів: 4.00
Кафедра: Захист інформації
Лектор: Професор Опірський І.Р.
Семестр: 2 семестр
Форма навчання: денна
Завдання: Вивчення навчальної дисципліни передбачає формування та розвиток у студентів компетентностей:
загальних:
• КЗ1. Здатність застосовувати знання у практичних ситуаціях.
• КЗ2. Здатність проводити дослідження на відповідному рівні.
• КЗ3. Здатність до абстрактного мислення, аналізу та синтезу.
• КЗ4. Здатність оцінювати та забезпечувати якість виконуваних робіт.
фахові компетентності:
1. ФКС1. Здатність використовувати професійно-профільовані знання й практичні навички для вирішення практичних завдань в галузі управління інформаційною безпекою та адміністрування систем кібербезпеки.
2. ФКС3. Уміння на основі володіння науковою методологією організовувати процес дослідження систем кібербезпеки.
3. ФКС4.Здатність здійснювати правове забезпечення кібербезпеки, прогнозування та моделювання в соціальній сфері.
4. ФКС 7.Уміння працювати із інцидентами інформаційної безпеки, виконувати їх оцінку, визначати пріоритети та аналізувати інциденти.
5. ФКС 8.Здатність забезпечувати захист інформації, що обробляється в комплексних системах захисту інформації з обмеженим доступом.
6. ФКС 10. Уміння здійснювати оцінку відповідності системи захисту інформації автоматизованої системи своєму призначенню відповідно до вимог діючих стандартів.
Результати навчання: 1. використовувати чинну законодавчо-нормативну базу при організації захисту інформації з обмеженим доступом;
2. регулювати взаємовідносини між суб'єктами інформаційної безпеки, визначати їх права, обов'язки та відповідальність.
3. нормативно забезпечувати дії суб'єктів інформаційної безпеки на всіх рівнях, а саме - людини, суспільства, держави.
4. встановлювати порядок застосування різних сил і засобів забезпечення інформаційної безпеки.
5. відповідно до майбутньої спеціальності оцінювати ефективність цих заходів і визначати необхідні дії по їхньому удосконаленню;
6. знати комплекс стандартів, наказів, положень, що забезпечують організаційно-правових, інженерно-технічні та оперативні заходи, спрямовані на запобігання розголошенню та витоку інформації з обмеженим доступом;
7. розуміти політики інформаційної та кібербезпеки;
8. володіння достатніми знаннями в галузях пов’язаних з інформаційними технологіями, кібербезпекою, інформаційною безпекою, що дасть можливість критично аналізувати ситуацію в даних галузях та визначати ключові тенденції їх розвитку;
9. розуміння інструментів, наукових принципів та стратегій, що мають відношення до діагностування та аналізу стану розвитку кібербезпеки на рівні, що дозволить працевлаштування за фахом, здатність ефективно використовувати на практиці теоретичні знання при управлінні інформаційно безпекою.
10. володіння методами загальнонаукового аналізу у сфері інформаційних технологій та кібербезпеки, володіння фактами, їх розуміння та інтерпретація результатів досліджень у вигляді звітів, публікацій на державній та одній з іноземних мов;
11. володіння правовими та науково-організаційними основами проведення ліцензування, атестації та сертифікації об'єктів захисту інформації.
12. знання основних моделей уразливостей, загроз та атак для обґрунтування варіантів побудови автоматизованої системи моніторингу інформаційної безпеки для інформаційних і комунікаційних систем та її основних складових;
13. володіння типовими підходами та методологіями до проектування та модернізації захищених об'єктів інформаційної діяльності відповідно до нормативних вимог чинних стандартів і технічних умов.
14. здобуття адекватних знань та розумінь, що відносяться до спеціальності 125 «Кібербезпека», масштаб яких буде достатнім, щоб успішно організовувати та проводити дослідження з інформаційної безпеки, формувати та репрезентувати результати професійної діяльності.
15. Уміти здійснювати оцінку відповідності системи захисту інформації автоматизованої системи своєму призначенню відповідно до вимог діючих стандартів.
16. здатність використання різноманітних методів, зокрема
інформаційних технологій, для ефективно спілкування на
професійному та соціальному рівнях.
17. здатність усвідомлювати необхідність навчання впродовж
усього життя з метою поглиблення набутих та здобуття нових
фахових знань
Необхідні обов'язкові попередні та супутні навчальні дисципліни: Основи інформаційної та кібернетичної безпеки
Інформаційна безпека держави
Нормативно-правове забезпечення, стандарти та політика інформаційної та кібербезпеки
Організаційне забезпечення інформаційної кібербезпеки
Короткий зміст навчальної програми: Вступна лекція.
Вступ до системи управління інформаційною безпекою (ISMS) та ISO / IEC 27001
Цілі та структура навчального курсу
Стандарти та нормативна база
Процес сертифікації
Основні поняття та принципи інформаційної безпеки
Система управління інформаційною безпекою (СУІБ)
Основні концепції та принципи аудиту
Вплив тенденцій та технологій на аудит
Аудит на основі доказів
Аудит на основі ризиків
Початок процесу аудиту
Аудит 1 етапу
Підготовка до аудиту етапу 2
Аудит 2 етапу
Комунікація під час аудиту
Процедури аудиту
Створення планів перевірок аудиту
Складання висновків аудиту та звітів про невідповідність
Аудиторська документація та перевірка якості
Закриття аудиту
Оцінка аудитором планів дій
Після початкового аудиту
Управління програмою внутрішнього аудиту
Закриття навчального курсу
Опис: Вступна лекція.
Вступ до системи управління інформаційною безпекою (ISMS) та ISO / IEC 27001
Цілі та структура навчального курсу 2/2
Стандарти та нормативна база
Процес сертифікації 2/4
Основні поняття та принципи інформаційної безпеки
Система управління інформаційною безпекою (СУІБ) 4/8
Основні концепції та принципи аудиту
Вплив тенденцій та технологій на аудит
Аудит на основі доказів
Аудит на основі ризиків 4/12
Початок процесу аудиту
Аудит 1 етапу
Підготовка до аудиту етапу 2 2/14
Аудит 2 етапу
Комунікація під час аудиту
Процедури аудиту 4/18
Створення планів перевірок аудиту
Складання висновків аудиту та звітів про невідповідність 4/22
Аудиторська документація та перевірка якості
Закриття аудиту
Оцінка аудитором планів дій 4/26
Після початкового аудиту
Управління програмою внутрішнього аудиту
Закриття навчального курсу 4/30
Методи та критерії оцінювання: Виконання та захист лабораторних робіт оцінюється максимальним балом 5 балів за одне заняття – максимальна кількість балів – 30.
Успішне виконання контрольної роботи формує допуск до складання заліку.
Залік (Письмова компонента) ( 3 рівня питань):
• 1 рівень – 20 балів (10 питань по 2 бали);
• 2 рівень 20 балів ( 4 питання по 5 балів);
• 3 рівень 30 балів ( 2 питання по 15 балів);
Максимальна кількість балів – 70.
Разом за дисципліну – 100 балів.
Критерії оцінювання результатів навчання: Поточний контроль на аудиторних заняттях проводиться з метою прояснення
• обставин протікання навчального процесу, визначення його результатів у таких формах:
• попереднє виявлення рівня знань студентів перед початком занять;
• поточна перевірка в процесі засвоєння кожної теми, що вивчається;
• оцінка активності студента у процесі лекційних занять;
• оцінка активності студента у процесі практичних занять;
• перевірка виконання лабораторних робіт;
• перевірка виконання контрольної роботи;
• усне опитування засвоєння знань, набутих у процесі виконання лабораторних робіт;
Підсумковий контроль проводиться з метою оцінки результатів навчання на освітньо-кваліфікаційному рівні бакалавра. Підсумковий контроль з дисципліни «Міжнародні стандарти із кібербезпеки» включає семестровий контроль у формі накопичувального заліку.
Порядок та критерії виставляння балів та оцінок: 100–88 балів – («відмінно») виставляється за високий рівень знань (допускаються деякі неточності) навчального матеріалу компонента, що міститься в основних і додаткових рекомендованих літературних джерелах, вміння аналізувати явища, які вивчаються, у їхньому взаємозв’язку і роз витку, чітко, лаконічно, логічно, послідовно відповідати на поставлені запитання, вміння застосовувати теоретичні положення під час розв’язання практичних задач; 87–71 бал – («добре») виставляється за загалом правильне розуміння навчального матеріалу компонента, включаючи розрахунки , аргументовані відповіді на поставлені запитання, які, однак, містять певні (неістотні) недоліки, за вміння застосовувати теоретичні положення під час розв’язання практичних задач; 70 – 50 балів – («задовільно») виставляється за слабкі знання навчального матеріалу компонента, неточні або мало аргументовані відповіді, з порушенням послідовності викладення, за слабке застосування теоретичних положень під час розв’язання практичних задач; 49–26 балів – («не атестований» з можливістю повторного складання семестрового контролю) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння застосувати теоретичні положення під час розв’язання практичних задач; 25–00 балів – («незадовільно» з обов’язковим повторним вивченням) виставляється за незнання значної частини навчального матеріалу компонента, істотні помилки у відповідях на запитання, невміння орієнтуватися під час розв’язання практичних задач, незнання основних фундаментальних положень.
Рекомендована література: 1. ДСТУ 3396.0-96 Захист інформації Технічний захист інформації
2. ДСТУ 3396.1-96 Захист інформаці Технічний захист інформації. Порядок проведення робіт, ДСТУ 3396.2-97. Захист інформації. Технічний захист інформації. Терміни та визначення
3. Вимоги та порядок щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури України
4. Стандарт щодо надання адміністративної послуги з видачі та переоформлення ліцензії, видачі копій, дубліката ліцензії на право провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), торгівлі криптосистемами і засобами криптографічного захисту інформації
5. Регламент європейського парламенту і ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних
6. ISO/IEC 27001
7. ДСТУ ISO/IEC 27002:2015
8. ISO/IEC 27005:2011.
9. Хорошко В.О., Чередниченко B.C., Шелест М.Є. X 80 Основи інформаційної безпеки / За ред. проф. В.О. Хорошка. - К.: ДУІКТ, 2008.- 186 с.
10. Герасименко В.А., Мелюк А.Я. Основы защиты информации. – М.; МИФИ, 1997, 537 с.
11. Голего А.Г., Хорошко В.А. Организационно - техническое обеспечение защиты информации. – К.; КМУГА, 1999, - 120 с.
12. Самохвалов Ю.Я., Темніков В.О., Хорошко В.О. Організаційно – технічне забезпечення захисту інформації. Навчальний посібник / За ред. Проф. В.О.Хорошка – К.; НАУ, 2002, 207 с.
13. Хорошко В.А., Хорошко А.В., Пирцхалава П.Г. Методы и средства защиты информации: Методические указания.– К.; КМУГА, 1997, – 38 с.
Уніфікований додаток: Національний університет «Львівська політехніка» забезпечує реалізацію права осіб з інвалідністю на здобуття вищої освіти. Інклюзивні освітні послуги надає Служба доступності до можливостей навчання «Без обмежень», метою діяльності якої є забезпечення постійного індивідуального супроводу навчального процесу студентів з інвалідністю та хронічними захворюваннями. Важливим інструментом імплементації інклюзивної освітньої політики в Університеті є Програма підвищення кваліфікації науково-педагогічних працівників та навчально-допоміжного персоналу у сфері соціальної інклюзії та інклюзивної освіти. Звертатися за адресою:
вул. Карпінського, 2/4, І-й н.к., кімн. 112
E-mail: nolimits@lpnu.ua
Websites: https://lpnu.ua/nolimits https://lpnu.ua/integration
Академічна доброчесність: Політика щодо академічної доброчесності учасників освітнього процесу формується на основі дотримання принципів академічної доброчесності з урахуванням норм «Положення про академічну доброчесність у Національному університеті «Львівська політехніка» (затверджене вченою радою університету від 20.06.2017 р., протокол № 35).