Управління ризиками інформаційної безпеки - Робоча програма навчальної дисципліни (Силабус)
Реквізити навчальної дисципліни
| Рівень вищої освіти | Другий (магістерський) |
| Галузь знань | 12 Інформаційні технології |
| Спеціальність | 126 Інформаційні системи та технології |
| Освітня програма | Інформаційне забезпечення робототехнічних систем |
| Статус дисципліни | Нормативна |
| Форма навчання | очна(денна)/заочна |
| Рік підготовки, семестр | 1 курс, осінній семестр |
| Обсяг дисципліни | 4.5 кредити (135 год) |
| Семестровий контроль/ контрольні заходи | Іспит |
| Розклад занять | Лекції: віторок -10.25-12.00 Практичні: четвер – 10.25 – 12.00 (другий тиждень) |
| Мова викладання | Українська/Англійська/Німецька/Французька |
| Інформація про керівника курсу / викладачів | Лектор: к.т.н., , доцент, Пасько В.П. |
| Розміщення курсу | https://campus.kpi.ua |
Програма навчальної дисципліни
Опис навчальної дисципліни, її мета, предмет вивчання та результати навчання
Відмінністю сучасного суспільства є перехід до нової фази свого розвитку – постіндустріальної формації. Серед характерних особливостей цієї формації – надзвичайно висока концентрація енергетичних ресурсів в об’єктах техносфери, що інтенсифікує руйнівні сили можливих небезпечних техногенних явищ, глобалізація світового економічного ринку, яка призводить до зростання кількості учасників конкурентної боротьби та підвищення її гостроти, неконтрольоване збільшення обсягів інформації, що циркулюють у різних галузях людської діяльності й, на жаль, часто ведуть до поглиблення невизначеності та непрогнозованості результатів цієї діяльності в цілому. Все це надає привід стверджувати, що нове суспільство – це суспільство ризику, однією з головних задач якого стає аналіз можливих ризиків та нейтралізація небезпек.
В цій ситуації на перший план виходить проблема формування теоретико-методичних засад аналізу та управління ризиками (зокрема у сфері інформаційної безпеки), розгляду загальних аспектів якої присвячений даний курс.).
Мета вивчення дисципліни “Управління ризиками інформаційної безпеки” полягає у формуванні у майбутніх спеціалістів умінь та компетенцій для забезпечення ефективної оцінки ризиків та управління ними в інформаційних системах, необхідних для подальшої роботи, навчити їх застосуванню методів та засобів оцінювання ризиків та управління ними у інформаційних системах в умовах широкого використання сучасних інформаційних технологій.
Головне завдання дисципліни - надати студентам знання, основні рекомендації та загальні принципи щодо здійснення, підтримки і поліпшення системи управління інформаційною безпекою підприємства на базі міжнародних стандартів ISO/IEC серії 27000, що забезпечують загальну настанову щодо безпеки інформації на загальноприйнятих показниках.
Фахові компетентності спеціальності
Ф К 5 Здатність застосовувати вітчизняні та міжнародні методичні й нормативні документи, пропозиції та проводити заходи щодо реалізації розроблених проектів
Ф К 8 Здатність забезпечувати конфіденційність, доступність і цілісність інформації, що використовується в комплексній системі захисту інформації в інтелектуальних робототехнічних системах
ФК 13 Здатність до пошуку, оброблення та узагальнення інформації з різних джерел
ФК 16 Здатність використовувати математико-статистичні методи та моделі формування оптимальних рішень за умов багатокритерійності, в умовах невизначеності та нечіткості, методів та моделей багато особового прийняття рішень, розробляти та застосовувати моделі, методи та алгоритми прийняття рішень в умовах конфлікту, нечіткої інформації, невизначеності та ризиків
Програмні результати навчання
ПРН 6 Знати і застосовувати сучасні професійні стандарти і інші нормативно-правові документи з проектування та супроводження інформаційних систем
ПРН 11 Знати основні загроз та ризики інформаційної безпеки і вміти застосовувати сучасні програмні та технічні засоби захисту інформації в інформаційно-комунікаційних системах
ПРН 12 Забезпечувати конфіденційність, доступність і цілісність інформації, що використовується в комплексній системі захисту інформації в інтелектуальних робототехнічних системах на основі криптографічних методів
ПРН 16 Працювати з науковою, науково-технічною літературою та науковою періодикою, застосовувати методи систематизації інформації, готувати звіти за результатами науково-дослідних робіт
ПРН 19 Формалізувати задачі прийняття рішень, обґрунтовано вибрати метод та алгоритм оптимізації рішень для побудованої моделі задачі, знаходити розв’язки багатокритеріальних задач прийняття рішень, застосовувати експертні процедури та технології прийняття рішень
Пререквізити та постреквізити дисципліни (місце в структурно-логічній схемі навчання за відповідною освітньою програмою)
Вивчення дисципліни “Управління ризиками інформаційної безпеки» передбачає наявність систематичних та ґрунтовних знань із суміжних курсів («Теорія ймовірностей та математична статистика», „Безпека інформаційних систем ”, «Моделювання технічних систем», «Проектування інформаційних систем»).
Зміст навчальної дисципліни
Тема 1. Поняття ризику. Різні підходи до визначення ризику
Тема 2. Принципи і порядок розробки комплексних систем захисту інформації
Тема 3. Менеджмент інформаційної безпеки
Тема 4. Методи аналізу і загального оцінювання ризиків інформаційної безпеки
Тема 5. Інструментальні засоби моделювання загроз та оцінювання ризиків інформаційної безпеки
Тема 6. Управління інцидентами інформаційної безпеки. Метрики ефективності інформаційної безпеки.
Навчальні матеріали та ресурси
Базова
ISO/IEC 27004:2016 (E). Information technology — Security techniques — Information security management — Measurement.
ДСТУ ISO /IEC 31010:2013 (ISO /IEC 31010:2009, IDT) «Керування ризиком. Методи загального оцінювання ризику».
ДСТУ ISO/IEC 27001:2015 (ISO/IEC 27001:2013; Cor 1:2014, IDТ) «Інформаційні технології. методи захисту системи управління інформаційною безпекою. Вимоги».
Загурський О.А. Управління ризиками. - К.: Університет Україна, 2016. - 244 с.
Корченко О.Г. Аудит та управління інцидентами інформаційної безпеки: навч. посіб. [Електронний ресурс] / [Корченко О.Г., Гнатюк С.О., Казмірчук С.В. та ін.]. –К.: Центр навч.-наук. та наук.-пр. видань НАСБ України, 2014. – 190 с. – Режим доступу:http://193.178.34.24/bitstream/NAU/38027/1/Audit%26Incident_15042014.pdf
Милославская Н. Г., Сенаторов М. Ю., Толстой А. И. Управление рисками информационной безопасности. Учебное пособие для вузов. – М.: Горячая линия-Телеком, 2016.– 245 с.
НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в АС.
НД ТЗІ 3.7-003-05. Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі.
Додаткова
OWASP Threat Dragon [Електронний ресурс]. Режим доступу: https://www.owasp.org/index.php/About\_The\_Open\_Web\_Application\_Security\_Project.
OWASP Threat Dragon on Github [Електронний ресурс]. Режим доступу: https://github.com/mikegoodwin/ owasp-threat-dragon-desktop.
The Open Web Application Security Project (OWASP) Електронний ресурс]. Режим доступу: https://www.owasp.org.
CAIRIS [Електронний ресурс]. Режим доступу: https://cairis.org/.
CAIRIS [Електронний ресурс]. https://github.com/failys/cairis.
Mozilla launches free, online threat modelling tool [Електронний ресурс]. Режим доступу: https://siliconangle.com/blog/2015/04/01/mozilla-launches-free-online-threat-modelling-tool/
Microsoft Threat Modeling Tool [Електронний ресурс]. Режим доступу: https://docs.microsoft.com/enus/azure/security/azure-security-threat-modeling-tool
Threat Modeling [Електронний ресурс]. Режим доступу: https://msdn.microsoft.com/enus/ library/ff648644.aspx.
RiskWatch technical specifications [Електронний ресурс]. Режим доступу: http://www.riskwatch.com/wpcontent/ uploads/2014/05/SWDataSheet.pdf.
RiskWatch [Електронний ресурс]. Режим доступу: http://www.riskwatch.com/
vsRisk [Електронний ресурс]. Режим доступу: https://www.vigilantsoftware.co.uk/product/vsriskstandalone.
Методология OCTAVE для оценки информационных рисков [Електронний ресурс]. – Режим доступу: http://www.risk24.ru/octave.htm
Методологии управления ИТ-рисками [Електронний ресурс]. – Режим доступу:http://www.iso27000.ru/chitalnyi-zai/upravlenie-riskamiinformacionnoi bezopasnosti/metodologii-upravleniya-it-riskami
Грищук Р.В., Даник Ю.Г. Основи кібернетичної безпеки: Монографія /; за заг. ред. Ю. Г. Даника. Житомир: ЖНАЕУ, 2016.
Петренко С. А. Управление информационными рисками. Экономически оправданная безопасность / С. А. Петренко, С. В. Симонов. – М. : Академия АйТи : ДМК Пресс, 2008. – 384 с.
Корченко О.Г., Казмірчук С.В., Ахметов Б.Б., Прикладні системи оцінювання ризиків інформаційної безпеки. Монографія, Київ, ЦП «Компринт», 2017 – 435 с.
Навчальний контент
Методика опанування навчальної дисципліни (освітнього компонента)
Методика опанування навчальної дисципліни (освітнього компонента)
| Форма навчання | Семестрові (кредитні) модулі | Всього кредитів /годин | Розподіл навчального часу за видами занять | Семестрова атестація | |||
| Лекції | Практичні (семінарські) заняття | Лабораторні роботи | СРС | ||||
| Денна | Всього | ||||||
| 1 | 4.5/135 | 36 | 18 | 0 | 81 | залік |
ЛЕКЦІЇ
| № з/п | Назва теми лекції та перелік основних питань |
| Тема 1. Предмет, мета і задачі курсу. Сучасний стан в сфері інформаційної безпеки. Загрози інформаційної безпеки організацій (підприємств, установ). Поняття системи менеджменту інформаційною безпекою (СУІБ). Сучасний стан впровадження СМІБ в діяльність організацій (підприємств, установ). | |
| Тема 1. Поняття ризику інформаційної безпеки. Кількісне визначення величини ризику. Процесна модель управління ризиками. Способи обробки ризику | |
| Тема 2. Принципи і порядок розробки комплексних систем захисту інформації. Порядок робіт зі створення КСЗІ, принципи побудови СУІБ. Методики обстеження середовищ функціонування ІТС. | |
| Тема 2. Небезпеки, загрози для об’єктів ризику, види, характеристики, класифікація. Моделі загроз. Моделі порушника | |
| Тема 2. Поняття вразливостей інформаційної системи. Ідентифікація активів інформаційної безпеки. Ідентифікація організаційних вразливостей. Ідентифікація технічних вразливостей. Оцінювання вразливостей. Визначення цінності активів: критерії оцінки збитку. | |
| Тема 3. Ризик-менеджмент інформаційної безпеки. Теоретичні основи менеджменту інформаційної безпеки. Основні етапи створення СМІБ згідно стандарту ISO 27001. Розробка, впровадження і функціонування СМІБ. Управління документацією. Управління записами. Обов’язки керівництва. Менеджмент ресурсів. Аналіз СМІБ з боку керівництва. Постійне покращення. Корегуючи дії. | |
| Тема 3. Основні методи оцінки та аналізу інформаційних ризиків. Ризик-менеджмент. Стандарти NIST 800-30 та ISO 27002 | |
| Тема 4. Методи аналізу і загального оцінювання ризиків інформаційної безпеки Методика оцінки ризиків компанії Microsoft. Вихідні параметри. Оцінка загроз та вразливостей. Якісна оцінка ризиків. Кількісна оцінка ризиків. | |
| Тема 4.. Методи аналізу і загального оцінювання ризиків інформаційної безпеки. Методики оцінки ризиків інформаційної безпеки OCTAVE, RiskWatch. Вихідні параметри. Оцінка загроз та вразливостей. Алгоритм оцінки ризиків. | |
| Тема 4. Методи аналізу і загального оцінювання ризиків інформаційної безпеки згідно стандарту ISO 31010 | |
| Тема 5. Інструментальні засоби моделювання загроз та оцінювання ризиків інформаційної безпеки | |
| Тема 5. Інструментальні засоби моделювання загроз та оцінювання ризиків інформаційної безпеки | |
| Тема 5. Інструментальні засоби моделювання загроз та оцінювання ризиків інформаційної безпеки | |
| Тема 6. Управління інцидентами інформаційної безпеки. Етапи управління інцидентами інформаційної безпеки відповідно до ISO/IEC 27035 | |
| Тема 6. Особливості менеджменту інцидентів за вимогами міжнародного стандарту ITIL. Концепція побудови, структура та функціональні особливості ефективної системи менеджменту інцидентів ІБ | |
| Тема 6. Загальна характеристика діяльності груп CERT/CSIRT та етапи їх створення. Обробка інцидентів інформаційної безпеки групами CERT/CSIRT | |
| Тема 7. Принципи збору інформації для системи виявлення і блокування атак. | |
| Тема 7. Метрики ефективності інформаційної безпеки. |
ПРАКТИЧНІ ЗАНЯТТЯ
| Практична робота | Тема | Години |
|---|---|---|
| Практична робота 1 | Методи загального оцінювання ризиків інформаційної безпеки згідно стандарту IEC/ISO 31010 | 2 |
| Практична робота 2 | Методи загального оцінювання ризиків інформаційної безпеки згідно стандарту IEC/ISO 31010 | 2 |
| Практична робота 3 | Методи загального оцінювання ризиків інформаційної безпеки згідно стандарту IEC/ISO 31010 | 2 |
| Практична робота 4 | Методи загального оцінювання ризиків інформаційної безпеки згідно стандарту IEC/ISO 31010 | 2 |
| Практична робота 5 | Дослідження методики оцінки ризиків інформаційної безпеки. Оцінка залишкового ризику в організації при застосуванні заходів і засобів щодо захисту інформації. | 2 |
| Практична робота 6 | Дослідження методики оцінки ризиків інформаційної безпеки. Оцінка залишкового ризику в організації при застосуванні заходів і засобів щодо захисту інформації. | 2 |
| Практична робота 7 | Дослідження методики оцінки ризиків інформаційної безпеки. Оцінка залишкового ризику в організації при застосуванні заходів і засобів щодо захисту інформації. | 2 |
| Практична робота 8 | Дослідження методики оцінки ризиків інформаційної безпеки. Оцінка залишкового ризику в організації при застосуванні заходів і засобів щодо захисту інформації. | 2 |
| Практична робота 9 | Модульна контрольна робота | 2 |
| Загалом | 18 |
ТЕМАТИКА ІНДИВІДУАЛЬНИХ ЗАВДАНЬ
Методи аналізування для загального оцінювання ризиків (IEC/ISO 31010)
| № | Метод |
|---|---|
| B 8.2 | ALARP, ALARA and SFAIRP |
| B.5.2 | Bayesian analysis |
| B.4.2 | Bayesian networks |
| B.1.2 | Brainstorming |
| B.5.4 | Business impact analysis |
| B.6.1 | Causal mapping |
| B.5.5 | Cause-consequence analysis |
| B.2.2 | Checklists, classifications and taxonomies |
| B.3.2 | Cindynic approach |
| B.10.3 | Consequence/likelihood matrix |
| B.9.2 | Cost/benefit analysis |
| B.6.2 | Cross impact analysis |
| B.9.3 | Decision tree analysis |
| B.1.3 | Delphi technique |
| B.5.6 | Event tree analysis |
| B.2.3 | Failure modes and effects analysis |
| B.2.3 | Failure modes and effects and criticality analysis |
| B.5.7 | Fault tree analysis |
| B.8.3 | F-N diagrams |
| B.9.4 | Game theory |
| B.2.4 | Hazard and operability studies (HAZOP) |
| B.4.3 | Hazard analysis and critical control points (HACCP) |
| B.5.8 | Human reliability analysis |
| B.3.3 | Ishikawa (fishbone) |
| B.4.4 | Layer protection analysis (LOPA) |
| B.5.9 | Markov analysis |
| B.5.10 | Monte Carlo simulation |
| B.9.5 | Multi-criteria analysis (MCA) |
| B.1.4 | Nominal group technique |
| B.8.4 | Pareto charts |
| B 5.11 | Privacy impact analysis/ data privacy impact assessment (PIA/DPIA) |
| B.8.5 | Reliability centred maintenance |
| B.8.6 | Risk indices |
| B.10.4 | S-curves |
| B.2.5 | Scenario analysis |
| B.1.5 | Structured or semi-structured interviews |
| B.2.6 | Structured "What if?" (SWIFT) |
| B.1.6 | Surveys |
| B.7.1 | Toxicological risk assessment |
| B.7.2 | Value at risk (VaR) |
| Методи і засоби аналізу та оцінювання ризиків……. | |
| 1 | Метод CRAMM…………………………………. |
| 2 | Метод на основі байесовских мереж………….. |
| 3 | Метод VAR……………………………………… |
| 4 | Методика COBRA………………………………. |
| 5 | Метод Coras……………………………………... |
| 6 | Метод EBIOS……………………………………. |
| 7 | Метод ISAMM…………………………………… |
| 8 | Методологія IRAM2……………………………... |
| 9 | Система RiskWatch……………………………... |
| 10 | Інструментарій RA2 art of risk………………..... |
| 11 | Інструментарій PTA………………..................... |
| 12 | Система КЕС управління інформаційною безпекою «АванГард»……………………………… |
| 13 | Система Enterprise Risk Assessor………………. |
| 14 | Система vsRisk, Risk Assessment Tool…………. |
| 15 | Система OCTAVE………………………………. |
| Засоби моделювання загроз | |
| 16 | Система OVVL |
| 17 | Система IriusRisk |
| 18 | Система Threat Modeling Tool |
| 19 | Система MyAppSecurity |
| 21 | Система PyTM |
| 22 | Система securiCAD |
| 23 | Система SD Elements от Security Compass |
| 24 | Система Tutamantic |
| 25 | Система OWASP Threat Dragon Project |
| 26 | Система Mozilla SeaSponge |
| 27 | Бази даних вразливостей інформаційної безпеки. |
| 28 | Система Digital Security |
Самостійна робота студента/аспіранта
Самостійна робота студентів складається з:
підготовки до аудиторних занять;
підготовка до виконання практичних робіт;
підготовка до модульної контрольної роботи
підготовка до залік.
САМОСТІЙНА РОБОТА
| № | Назва теми | Кількість годин |
|---|---|---|
| 1 | Вивчення теоретичного матерiалу з використанням кон- спектiв i навчальної лiтератури |
20 |
| 2 | Пiдготовка до практичних занять | 9 |
| 3 | Методи розрахунку ризиків ІБ | 10 |
| 4 | Порядок розробки моделі порушника | 4 |
| 5 | Документи СУІБ по оцінці ризиків згідно стандарту ISO27001: реєстр інформаційних активів, реєстр вимог безпеки, реєстр інформаційних ризиків, звіт о визначенні ризика ІБ | 6 |
| 6 | Основи побудови системи менеджменту інформаційної без- пеки |
12 |
| 7 | Інструментальні засоби моделювання загроз та оцінювання ризиків інформаційної безпеки | 15 |
| 8 | Управління інцидентами, пов’язаними з забезпечення безпеки інформації |
5 |
| Загалом | 81 |
Політика та контроль
Політика навчальної дисципліни (освітнього компонента)
Форми організації освітнього процесу, види навчальних занять і оцінювання результатів навчання регламентуються Положенням про організацію освітнього процесу в Національному технічному університеті України «Київському політехнічному інституті імені Ігоря Сікорського».
Політика виставлення оцінок: кожна оцінка виставляється відповідно до розроблених викладачем та заздалегідь оголошених студентам критеріїв, а також мотивується в індивідуальному порядку на вимогу студента; у випадку не виконання студентом усіх передбачених навчальним планом видів занять (практичних робіт, контрольних робіт) до заліку він не допускається.
Відвідування є обов'язковим Якщо студент не може бути присутніми на заняттях, він все одно несете відповідальність за виконання практичних завдань.
Порядок зарахування пропущених занять. Відпрацювання пропущеного практичного заняття здійснюється шляхом самостійного виконання завдання і його захисту відповідно розкладу та графіку консультацій викладача.
Реферати також можуть підготувати студенти, у яких недостатньо рейтингових балів.
Політика академічної поведінки та доброчесності: конфліктні ситуації мають відкрито обговорюватись в академічних групах з викладачем, необхідно бути взаємно толерантним, поважати думку іншого. Плагіат та інші форми нечесної роботи неприпустимі. Всі індивідуальні завдання студент має виконати самостійно із використанням рекомендованої літератури й отриманих знань та навичок. Цитування в письмових роботах допускається тільки із відповідним посиланням на авторський текст
Норми академічної етики: дисциплінованість; дотримання субординації; чесність; відповідальність; робота в аудиторії з відключеними мобільними телефонами. Повага один до одного дає можливість ефективніше досягати поставлених результатів. При виконанні практичних завдань студент може користуватися ноутбуками. Проте під час лекційних занять та обговорення завдань практичних завдань не слід використовувати ноутбуки, смартфони, планшети чи комп’ютери. ,
Дотримання академічної доброчесності студентів й викладачів регламентується кодекс честі Національного технічного університету України «Київський політехнічний інститут», положення про організацію освітнього процесу в КПІ ім. Ігоря Сікорського
Види контролю та рейтингова система оцінювання результатів навчання (РСО)
| Види контролю | Бали |
|---|---|
| Практичні завдання (2 роботи) | 2*40 |
| Контрольна робота | 20 |
| Залік |
1. Рейтинг студента з кредитного модуля складається з балів, що він отримує за:
підготовку та захист двох самостійних практичних завдань. Виконання завдання з полягає у підготовці і захисту реферату (doc-файл) і презентації згідно тематики дисципліни.
модульної контрольної роботи;
2. Критерії нарахування балів.
2.1. Роботи практичних завдань оцінюються із 40 балів кожне:
«відмінно» – повна відповідь (реферат та презентація) з прикладом
застосування засобу чи методу – 36-40 балів;
«дуже добре» – повна відповідь без прикладу застосування засобу чи
методу – 31-35 балів;
«добре» – достатньо повна відповідь з незначними недоліками – 26-30
балів;
«задовільно» – неповна відповідь – 26-30 балів;
«достатньо» – неповна відповідь та помилки – 21-25 балів;
«незадовільно» – відповідь не відповідає вимогам до «задовільно» – 0
балів.
2.3. Модульна контрольна робота оцінюється із 20 балів за такими критеріями:
«відмінно» – повна відповідь (не менше 90% потрібної інформації) –
18-20 балів;
«добре» – достатньо повна відповідь (не менше 75% потрібної
інформації) або повна відповідь з незначними помилками – 15-17 балів;
«задовільно» – неповна відповідь (не менше 60% потрібної інформації)
та незначні помилки – 11-14 бали;
«незадовільно» – відповідь не відповідає вимогам до «задовільно» –
0–3 балів.
Таблиця відповідності рейтингових балів оцінкам за університетською шкалою:
| Кількість балів | Оцінка |
| 100-95 | Відмінно |
| 94-85 | Дуже добре |
| 84-75 | Добре |
| 74-65 | Задовільно |
| 64-60 | Достатньо |
| Менше 60 | Незадовільно |
| Не виконані умови допуску | Не допущено |
Додаткова інформація з дисципліни (освітнього компонента)
Робочу програму навчальної дисципліни (силабус):
Складено доцент кафедри інформаційних систем та технологій, к.т.н., доцент Пасько Віктор Петрович
Ухвалено кафедрою інформаційних систем та технологій (протокол № 1 від 30.08.2021 р.)
Погоджено Методичною комісією факультету інформатики та обчислювальної техніки (протокол № 1 від 30.08.2021 р.)
