Ви переглядаєте архівну версію офіційного сайту НУЛП (2005-2020р.р.). Актуальна версія: https://lpnu.ua
Аудит інформаційної безпеки
Спеціальність: Управління інформаційною безпекою
Код дисципліни: 7.125.03.E.29
Кількість кредитів: 6
Кафедра: Захист інформації
Лектор: доцент Гаранюк Петро Ігорович
Семестр: 3 семестр
Форма навчання: заочна
Результати навчання:
• обробляти отримані результати, аналізувати і осмислювати їх з урахуванням опублікованих матеріалів;
• аналізувати ризики для оцінки реальних загроз порушення захисту та охорони.
• здійснювати пошук інформації в різних джерелах для вирішення задач захисту інформації, критично оцінювати отримані результати та аргументовано захищати прийняті рішення;
• системно мислити та застосовувати творчі здібності до формування принципово нових ідей в сфері інформаційної безпеки;
• ідентифікувати, класифікувати та описувати роботу в сфері захисту інформації;
• виконувати аналіз ризиків та джерел загроз, розробляти модель загроз, розробляти модель порушника;
• проводити аудит безпеки інформаційних систем підприємства;
• формувати перелік заходів для запобігання витоку інформації;
• створити повну множину загроз інформації;
• визначати значення показників уразливості інформації;
• реалізувати план захисту інформаційних систем підприємств, організацій;
• відпрацювати та оформити звітні документи після проведення аудиту ІБ та надати рекомендації для запобігання витоку інформації, збереження цілісності, та конфіденційності.
• аналізувати ризики для оцінки реальних загроз порушення захисту та охорони.
• здійснювати пошук інформації в різних джерелах для вирішення задач захисту інформації, критично оцінювати отримані результати та аргументовано захищати прийняті рішення;
• системно мислити та застосовувати творчі здібності до формування принципово нових ідей в сфері інформаційної безпеки;
• ідентифікувати, класифікувати та описувати роботу в сфері захисту інформації;
• виконувати аналіз ризиків та джерел загроз, розробляти модель загроз, розробляти модель порушника;
• проводити аудит безпеки інформаційних систем підприємства;
• формувати перелік заходів для запобігання витоку інформації;
• створити повну множину загроз інформації;
• визначати значення показників уразливості інформації;
• реалізувати план захисту інформаційних систем підприємств, організацій;
• відпрацювати та оформити звітні документи після проведення аудиту ІБ та надати рекомендації для запобігання витоку інформації, збереження цілісності, та конфіденційності.
Необхідні обов'язкові попередні та супутні навчальні дисципліни:
• Нормативно-правове забезпечення захисту інформації.
• Системи охорони державної таємниці.
• Організаційне забезпечення технічного захисту інформації.
• Системи технічного захисту інформації.
• Системи охорони державної таємниці.
• Організаційне забезпечення технічного захисту інформації.
• Системи технічного захисту інформації.
Короткий зміст навчальної програми:
Місце дисципліни “Аудит інформаційної безпеки” в загальній системі захисту інформації з обмеженим доступом. Мета і завдання курсу. Аналіз інформаційних ризиків організації. Методи оцінювання інформаційних ризиків організації. Управління інформаційними ризиками. Модель побудови системи інформаційної безпеки. Розроблення концепції забезпечення інформаційної безпеки. Поняття аудиту інформаційної безпеки. Програма аудиту інформаційної безпеки. Планування процедури аудиту інформаційної безпеки. Види аудиту. Активний аудит. Експертний аудит. Аудит на відповідність стандартам. Поняття комплексного аудиту безпеки інформаційних систем. Основні напрями аудиту інформаційної безпеки. Контроль та аналіз аудиторських груп, вимоги до аудиторів. Проведення аудиту інформаційної безпеки. Алгоритм проведення аудиту безпеки організації. Перелік даних, необхідних для проведення аудиту інформаційної безпеки. Рекомендації з підготовки звітних документів. Оцінювання результатів проведення аудиту або власного оцінювання стану інформаційної безпеки організації. Інтерпретація результатів проведення аудиту або власного оцінювання стану інформаційної безпеки організації . Етап безпосереднього проведення аудиту виділених приміщень. Заключний етап проведення аудиту виділених приміщень. Аудит безпеки окремих об’єктів ІТ-інфраструктури. Технічна експертиза продуктів та рішень із забезпечення інформаційної безпеки. Особливості аудиту інформаційної безпеки організацій, які використовують аутсорсинг. Особливості аудиту ІБ у банківській системі. Опис існуючої інфраструктури та заходів безпеки. Аналіз ризиків. Оцінювання ризиків відпрацювання документації. Модель оцінювання процесів об’єкту аудита. Точність оцінювання процесів об’єкту аудита. Моделі (алгоритми) обчислення показників інформаційної безпеки.
Рекомендована література:
1. Курило А. П. Аудит информационной безопасности / А. П. Курило, С. Л. Зефиров, В. Б. Голованов и др. – М. : Издательская группа «БДЦ-пресс», 2006. – 304 с.;
2. Ромака В.А., Дудикевич В.Б., Гарасим Ю.Р., Гаранюк П.І Навчальний посібник «Системи менеджменту інформаційної безпеки» НУ «Львівська політехніка» Львів, 2012-230 с
3. Ромака В.А., Лагун А.Е., Гарасим Ю.Р., Рак Т.С., Самотий В.В., Рибій М.М. Підручник «Аудит інформаційної безпеки» ЛДУ БЖД, 2015-362 с.;
4. Замула О.А. Захист державних секретів. Навчальний посібник для студентів спеціальностей напрямку „Інформаційна безпека" Харків. ХНУРЕ, 2003 - 208 с.;
5. ДСТУ ISO 19011:2003. Настанови щодо здійснення аудитів систем управління якістю і екологічного управління. – К. : Держспоживстандарт України, 2004. – 31 с.;
6. Шешукова Т. Г. Аудит: теория и практика применения международных стандартов / Т. Г. Шешукова, М. А. Городилов. – М. : Финансы и статистика, 2005. – 184 с.;
7. Петренко С.А., Петренко А.А. Аудит безопасности интернет. - М. : ДМК Пресе, 2002-416 с.;
8. Петренко С.А "Аудит безопасности Intеrnet", "Технологии защиты информации", "Информационная безопасность предприятия";
9. Закон України “Про інформацію”;
10. Міжнародний стандарт ISO'IEC 27002-2007
11. Міжнародний стандарт ISO'IEC 27001-2005
12. Інформаційно-аналітичний портал ISO27000.RU.
13. 2. Стандарти BS ISO/IEC 27005:2008 RU та BS 77993:2006 RU.
14. 3. Alan Calder & Steve Watkins. Information Security Risk Management for ISO 27001/ISO 17799. – IT Governance Publishing, 2007.
15. Аверченков В.И. Аудит информационной безопасности : учеб. пособие для вузов [электр. ресурс] / В.И. Аверченков. – 2011. – М.: ФЛИНТА. – 269 с.
16. Петренко С.А. Аудит безопасности Intranet / Петренко С.А., Петренко А.А. – 2011. – М.: Компания АйТи; ДМК Пресс. – 386 с.
17. Петренко С. А. Политика безопасности компании при работе в Интернет / С.А. Петренко, В.А. Курбатов. – 2011. – М.: Из-во ДМК Пресс. – 400 с.
2. Ромака В.А., Дудикевич В.Б., Гарасим Ю.Р., Гаранюк П.І Навчальний посібник «Системи менеджменту інформаційної безпеки» НУ «Львівська політехніка» Львів, 2012-230 с
3. Ромака В.А., Лагун А.Е., Гарасим Ю.Р., Рак Т.С., Самотий В.В., Рибій М.М. Підручник «Аудит інформаційної безпеки» ЛДУ БЖД, 2015-362 с.;
4. Замула О.А. Захист державних секретів. Навчальний посібник для студентів спеціальностей напрямку „Інформаційна безпека" Харків. ХНУРЕ, 2003 - 208 с.;
5. ДСТУ ISO 19011:2003. Настанови щодо здійснення аудитів систем управління якістю і екологічного управління. – К. : Держспоживстандарт України, 2004. – 31 с.;
6. Шешукова Т. Г. Аудит: теория и практика применения международных стандартов / Т. Г. Шешукова, М. А. Городилов. – М. : Финансы и статистика, 2005. – 184 с.;
7. Петренко С.А., Петренко А.А. Аудит безопасности интернет. - М. : ДМК Пресе, 2002-416 с.;
8. Петренко С.А "Аудит безопасности Intеrnet", "Технологии защиты информации", "Информационная безопасность предприятия";
9. Закон України “Про інформацію”;
10. Міжнародний стандарт ISO'IEC 27002-2007
11. Міжнародний стандарт ISO'IEC 27001-2005
12. Інформаційно-аналітичний портал ISO27000.RU.
13. 2. Стандарти BS ISO/IEC 27005:2008 RU та BS 77993:2006 RU.
14. 3. Alan Calder & Steve Watkins. Information Security Risk Management for ISO 27001/ISO 17799. – IT Governance Publishing, 2007.
15. Аверченков В.И. Аудит информационной безопасности : учеб. пособие для вузов [электр. ресурс] / В.И. Аверченков. – 2011. – М.: ФЛИНТА. – 269 с.
16. Петренко С.А. Аудит безопасности Intranet / Петренко С.А., Петренко А.А. – 2011. – М.: Компания АйТи; ДМК Пресс. – 386 с.
17. Петренко С. А. Политика безопасности компании при работе в Интернет / С.А. Петренко, В.А. Курбатов. – 2011. – М.: Из-во ДМК Пресс. – 400 с.
Методи і критерії оцінювання:
• письмові звіти з практичних (розрахункових) робіт, усне опитування (семінари) (30%)
• підсумковий контроль (70 %, контрольний захід, екзамен): письмово-усна форма (70%)
• підсумковий контроль (70 %, контрольний захід, екзамен): письмово-усна форма (70%)