Управління ризиками інформаційної безпеки - Робоча програма навчальної дисципліни (Силабус)

Реквізити навчальної дисципліни
Рівень вищої освіти Другий (магістерський)
Галузь знань 12 Інформаційні технології
Спеціальність 126 Інформаційні системи та технології
Освітня програма Інтегровані інформаційні системи, Інформаційне забезпечення робототехнічних систем, Інформаційні управляючі системи та технології
Статус дисципліни Нормативна
Форма навчання очна(денна)/заочна
Рік підготовки, семестр 1 курс, осінній семестр
Обсяг дисципліни 3 кредити (90 год)
Семестровий контроль/ контрольні заходи Атестація/Залік
Розклад занять

Лекції: четвер -10.25-12.00 (другий тиждень)

Практичні: четвер – 8.30 – 17.45)
Мова викладання Українська/Англійська/Німецька/Французька
Інформація про керівника курсу / викладачів

Лектор, практичні: к.т.н., , доцент, Пасько В.П.

vpasko@tk.kpi.ua
Розміщення курсу https://campus.kpi.ua

Програма навчальної дисципліни

Опис навчальної дисципліни, її мета, предмет вивчання та результати навчання

Відмінністю сучасного суспільства є перехід до нової фази свого розвитку – постіндустріальної формації. Серед характерних особливостей цієї формації – надзвичайно висока концентрація енергетичних ресурсів в об’єктах техносфери, що інтенсифікує руйнівні сили можливих небезпечних техногенних явищ, глобалізація світового економічного ринку, яка призводить до зростання кількості учасників конкурентної боротьби та підвищення її гостроти, неконтрольоване збільшення обсягів інформації, що циркулюють у різних галузях людської діяльності й, на жаль, часто ведуть до поглиблення невизначеності та непрогнозованості результатів цієї діяльності в цілому. Все це надає привід стверджувати, що нове суспільство – це суспільство ризику, однією з головних задач якого стає аналіз можливих ризиків та нейтралізація небезпек.

В цій ситуації на перший план виходить проблема формування теоретико-методичних засад аналізу та управління ризиками (зокрема усфері інформаційної безпеки), розгляду загальних аспектів якої присвячений даний курс.).

Мета вивчення дисципліни “Управління ризиками інформаційної безпеки” полягає у формуванні у майбутніх спеціалістів умінь та компетенцій для забезпечення ефективної оцінки ризиків та управління ними в інформаційних системах, необхідних для подальшої роботи, навчити їх застосуванню методів та засобів оцінювання ризиків та управління ними у інформаційних системах в умовах широкого використання сучасних інформаційних технологій.

Пререквізити та постреквізити дисципліни (місце в структурно-логічній схемі навчання за відповідною освітньою програмою)

Вивчення дисципліни “Управління ризиками інформаційної безпеки» передбачає наявність систематичних та ґрунтовних знань із суміжних курсів («Теорія ймовірностей та математична статистика», „Безпека інформаційних систем ”, «Моделювання технічних систем», «Проектування інформаційних систем»).

Зміст навчальної дисципліни

Тема 1. Поняття ризику. Різні підходи до визначення ризику

Тема 2. Принципи і порядок розробки комплексних систем захисту інформації Тема 3. Менеджмент інформаційної безпеки

Тема 4. Методи аналізу і загального оцінювання ризиків інформаційної безпеки

Тема 5. Інструментальні засоби моделювання загроз та оцінювання ризиків інформаційної безпеки

Тема 6. Управління інцидентами інформаційної безпеки

Тема 7. Метрики ефективності інформаційної безпеки

В рамках дисципліни заплановано наступні види навчальних занять:

лекції;

практичні заняття;самостійна робота.

На лекціях розкриваються основні теоретичні питання. Теми та організація самостійної роботи повністю узгоджуються з метою дисципліни та проводяться з використанням рекомендованої літератури та інформації в Internet. В дистанційному режимі використовуються засоби Google Meet та відповідні презентації, а також матеріали дистанційного курсу.

Самостійна робота полягає в дослідженні існуючих методів і засобів оцінювання ризиків. Завдання практичних занять виконуються та захищаються у відповідності до встановлених дедлайнів на протязі семестру.

Під час виконання практикумів а також під час контрольних заходів здобувачами повинна дотримуватись політика академічної доброчесності, згідно Кодексу Честі НТУУ “КПІ”.

Залік та робота в семестрі

Залік проставляється по результатах роботи в семестрі. Рейтингова оцінка роботи за семестр складається з результатів за МКР та практикумами.

Тематика практичних занять

Практикум 1

Методи загального оцінювання ризиків

  1. Мозковий штурм ( Brainstorming) — допоміжний метод ризик-менеджменту, який забезпечує збирання великої кількості ідей та оцінок від компетентних осіб щодо ідентифікації потенційних видів відмов та пов'язаних з ними чинників, критерії прийняття рішень. Сформований перелік ідей та оцінок у подальшому ранжується групою експертів. Цей метод передбачає застосування спеціальних прийомів активізації учасників обговорення.

  2. Структуроване або напівструктуроване опитування ( Structured or semi-structured interviews) — допоміжний метод ризик-менеджменту, який забезпечує збирання інформації від компетентних осіб щодо ідентифікації потенційних ризиків за допомогою аркушів наведених запитань. Застосовується у випадку, коли зібрати експертів для «мозкової атаки» неможливо або недоречно. Є засобом щодо отримання вхідних даних для подальшого загального оцінювання ризиків.

  3. Метод Дельфі ( Delphi method), або метод експертних оцінок — допоміжний метод

ризик-менеджменту, який забезпечує підготовку консенсусної оцінки групи експертів, які сприятимуть ідентифікуванню джерела ризику та впливу, кількісному оцінюванню ймовірностей й наслідків, оцінювання ризиків. Передбачає індивідуальну незалежну роботу експертів.

  1. Переліки контрольних запитань ( Checklist) — метод пошуку, що дозволяє ідентифікувати ризики, уможливлюючи складання переліку типивих невизначеностей для подальшого їх розгляду.

  2. Попереднє аналізування небезпечних чинників (РНА) ( Preliminary hazard analysis, PHA) — метод пошуку, призначений для ідентифікації небезпечних чинників та ситуацій/подій, що можуть завдати шкоду конкретним видам діяльності, технічному засобу чи системі.

  3. Дослідження небезпечних чинників і працездатності (НАZOР) ( Hazard and operability study, HAZOP) — метод функційного аналізування, який дає змогу ідентифікувати ризики, щоб визначити можливі відхилення від передбачуваної/очікуваної діяльності, виявити критичність відхилів.

  4. Аналізування небезпечних чинників і критичні точки контролю

(НАССР) ( Hazard analysis and critical control points, HACCP) — метод функційного аналізування, який є систематичним, проактивним і прентивним для забезпечення якості продукції, надійності та безпечності процесів за допомогою вимірювання і моніторингу перебування визначених характеристик у встановлених межах.

  1. Загальне оцінювання екологічного ризику ( Toxicity assessment) — метод аналізування сценарію, який дозволяє ідентифікувати та аналізувати небезпечні чинники, можливі способи впливу цього чинника на цільовий об'єкт задля встановлення ймовірності виникнення конкретної шкоди.

  2. Структурований метод «Що якщо» (SWIFT) ( Structured What If Technique, SWIFT) — допоміжний метод ризик-менеджменту, що стимулює тематичні робочі групи експертів ідентифікувати ризики.

  3. Аналізування сценаріїв ( Scenario analysis) — метод, що належить до групи аналізування сценарію, який забезпечує визначення уявленням або екстраполяцією на основі ризиків, зокрема — фактичних, за припущенням, що кожний із сценаріїв можна реалізувати.

  4. Аналізування впливу на діяльність ( Business impact analysis, ВІА) — метод, який дає змогу аналізувати критичність і строки відновлення ключових бізнес-процесів, які постраждали внаслідок дестабілізації, пов'язаних з цими процесами ресурсів

(персонал, устаткування, інформаційні технології), забезпечуючи досягнення цілей організації.

  1. Аналіз першопричин ( Root cause analysis) — метод аналізування сценарію, який забезпечує аналіз окремої втрати, що сталася з метою розуміння зумовлюваних чинників та того, як систему чи процес можна вдосконалити, щоб у подальшому уникнути аналогічних втрат.

  2. Аналізування видів і наслідків відмов ( Failure mode and effects analysis, FMEA) — метод функційного аналізування, який дає змогу ідентифікувати характер відмов і чинники їх виникнення, їхні впливи. Застосовуються до аналізування: 1) проекту (продукції); 2) системи, 3) виробничого чи складального процесу, 4) послуг, 5) програмних засобів. Може бути доповнений аналізування критичності із визначенням важливості кожного виду відмов за допомогою якісних, напівкількісних чи кількісних підходів.

  3. Аналізування дерева відмов ( Fault tree analysis) — метод аналізування сценарію, за яким спочатку зазначають небажану кінцеву подію, а потім визначають усі способи за якими вона може відбутися. Елементи відображають графічно у формі деревоподібної схеми для подальшого аналізу способів послаблення/усунення потенційних небезпек.

  4. Аналізування дерева подій ( Event tree analysis) — метод аналізування сценарію,

який забезпечує переведення ймовірностей різних першоподій у можливі результати.

  1. Аналізування причин і наслідків ( Cause and consequence analysis) — метод аналізування сценарію, що поєднує аналізування дерева відмов і дерева подій, яке дає змогу враховувати затримки у часі.

  2. Аналізування причино-наслідкових зв'язків ( Cause-and-effect analysis) — метод аналізування сценарію, який забезпечує групування зумовлюваних чинників ризику у різні категорії. Результат відображається графічно у формі деревоподібної структури чи діаграми Ісікави.

  3. Аналізування рівнів захисту (LOPA) ( Layer protection analysis, LOPA) — метод загального оцінювання засобів контролювання, їх результативності (інша назва — метод бар'єрів)

  4. Дерево рішень ( Decision tree) — метод, що застосовують у керуванні проектними ризиками чи за інших обставин для вибору найкращого способу дій за наявністю невизначеності у формі деревоподібної діаграми.

  5. Загальне оцінювання надійності людини ( Human reliability analysis, HRA) — допоміжний метод ризик-менеджменту, який забезпечує оцінки впливу помилок персоналу на дієвість системи.

  6. Аналізування за схемою «краватка-метелик» ( Bow tie analysis) — простий метод загального оцінювання засобів контролювання, який надає змогу описати та проаналізувати варіанти розвитку ризику з початку (визначення небезпечних чинників) до наслідків, поєднуючи у графічній формі дерево відмов (аналіз причин подій) і дерева подій (аналізування наслідків).

  7. Технічне обслуговування, зорієнтоване на забезпечення безвідмовності

( Reliability centered maintenance) — метод функційного аналізування, який дає змогу ідентифікувати політики, які треба запровадити для керування відмовами, щоб ефективно та результативно досягати необхідного рівня безпеки, готовності та економічності функціонування всіх типів устаткування.

  1. Аналіз паразитних схем ( Sneak circuit analysis) — метод функційного аналізування, який дає змогу ідентифікувати паразитні (приховані) стани технічного засобу, програмного засобу чи їх поєднання, які мають випадковий характер; станів, що можуть спричинити виникнення небажаної події чи перешкоджати виникненню бажаної події та не може бути спричинений відмовою якогось складника.

  2. Марковське аналізування ( Markov analysis) — статистичний метод, що зазвичай використовується для аналізування ремонтопридатності складних систем, які можуть бути у багатьох станах, зокрема — у стані спровності (іноді називають аналізуванням «простору станів»).

  3. Імітаційне моделювання за методом Монте-Карло ( Monte Carlo simulation) — статистичний метод, що використовують для виявлення сукупних змін в системі сукупності вхідних даних, які мають визначений розподіл та пов'язані з результатом визначеними взаємозв'язками.

  4. Байєсова статистика і мережі Байєса ( Bayesian statistics and Bayes nets) — статистичний метод, що передбачає використання даних апріорного розподілу для оцінювання ймовірності результату.

  5. Криві FN ( FN curve) — спосіб графічного зображення ймовірності подій, які спричиняють рівень шкоди для популяції. Криві FN показують накопичену частоту (F), з якою N чи більше представників популяції зазнаватимуть впливу.

  6. Показники ризику ( Risk index) — кількісна оцінка міри ризику, отриманою з використанням бальних оцінок на основі порядкових шкал, які дають змогу привести низки чинників, що впливають на рівень ризику, до єдиної числової бальної оцінки цього рівня.

  7. Матриця «наслідок/ймовірність» ( Consequence/probability matrix) — засіб поєднання якісних та кількісних оцінок наслідків та ймовірностей для визначення

рівнів ризику чи їх ранжування.

  1. Аналізування витрат і вигід (СВА) ( Cost/benefit analysis) — метод оцінювання ризику, за яким загальні очікувані витрати порівнюються з загальними очікуваними вигодами з метою вибору найкращого/найрентабільнішого варіанту.

  2. Багатокритеріальне аналізування рішень (MCDA) ( Multi-criteria decision analysis, MCDA) — метод, що використовує низку критеріїв для оцінювання загальної цінності сукупності варіантів (формування матриці варіантів і критеріїв, ранжованих і агрегованих для отримання бальної оцінки варіатів).

Практикум 2

Засоби аналізу та оцінювання ризиків…….

1

 Метод CRAMM………………………………….

2

 @RISK. ПО @RISK аналіз ризиків на основі методу Монте-Карло засобами Microsoft Excel.

3

 CSE (Communications Security Establishment, Government of Canada).

4

 Методика COBRA……………………………….

5

 Метод Coras……………………………………...

6

Метод EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité, розробник Національне агентство комп’ютерної безпеки (ANSSI), Центральне управління безпеки інформаційних систем (DCSSI), Франція) відображає вимоги стандартів ISO/IEC 27001 [1,

81], ISO 31000 [57] та ISO/IEC 27005

7

 Методика FRAP (Facilitated Risk Analysis Process, розробник – компанія Peltier and Associates, США) орієнтована на забезпечення ІБ ІС

8

 Методологія IRAM2 (Information Risk Assessment Methodology2, розробник Форум інформаційної безпеки (Information Security Forum), США)

9

 Система RiskPAC (розробник – компанія CSCI, Нідерланди) призначена для виявлення та надання допомоги при усуненні уразливостей в ІС

10

 Методика Facilitated Risk Analysis Process (FRAP). пропонована компанією Peltier and Associates (сайт в Інтернет http://www.peltierassociates.com http://mitre.org/work/systems_engineering/guide/risk_management_tools.html.

11

 Microsoft Security Assessment Tool.

12

 Методика MAGERIT (Methodology for Information Systems Risk Analysis and Management, розробник Ministerio De Administraciones Públicas, Іспанія) призначена для реалізації процесу АОР

13

 Методика Mehari (називають методологією) (розробник Clusif, Франція) замінила систему Clarion і є структурованим підходом до ОР

14

 Система RiskWatch……………………………...

15

 Інструментарій RA2 art of risk (RA Software Tool, розробник – компанії AEXIS Security Consultants та XiSEC Consultants Ltd., Великобританія) ……………….....

16

 Інструментарій PTA (Practical Threat Analysis, розробник PTA Technologies, Ізраїль) заснований на вимогах стандарту ISO/IEC 27001 та PCI DSS ……………….....................

17

Система КЕС управління ІБ «Авангард» (Комплексна експертна система

«Авангард»,»………………………………

18

 Система Enterprise Risk Assessor (Risk Advisor, розробник – компанія Methodware, Нова Зеландія) відповідає вимогам австралійського стандарту Australian/New Zealand Risk Management Standard (AS/NZS 4360: 1999) та ISO/IEC 17799.

19

Система vsRisk, Risk Assessment Tool (розробник – компанія Vigilant Software Ltd.,

Великобританія) призначена для ОР ІБ відповідно до вимог ISO/IEC 27001 та BS 7799-3.

20

 Система OCTAVE (розробник – інститут Carnegie Mellon Software Engineering Institute і Центр навчання, досліджень і технологій (CERT)

21

ITRM – система автоматизації управління ризиками інформаційної безпеки

22

Інструментарій Callio Secura 17799 Інструментарій Callio Secura 17799 (розробник – компанія Callio Technologies, Канада) є Web-додатком, який включає все необхідне для менеджера при розробці, впровадженні, управлінні та сертифікації СМІБ згідно ISO/IEC 17799 / BS7799.

23

Сучасні бази даних уразливостей інформаційної безпеки (національна БД уразливостей –

National Vulnerability Database (NVD), (США);  банк даних загроз безпеки інформації;  відкрита БД уразливостей – Open Sourced Vulnerability Database (OSVDB), (США);  БД уразливостей IBM X-Force, (США);  БД записів уразливостей US-CERT – Vulnerability Notes Database US-CERT (VND), (США);  БД уразливостей SecurityFocus, (США) [119].)
Засоби моделювання загроз

24

OWASP Threat Dragon Project . OWASP Threat Dragon - це інструмент моделювання, який використовується для створення діаграм моделей загроз як частина життєвого циклу безпечного розвитку.

25

Бесплатный инструмент моделирования угроз от Microsoft - Інструмент моделювання загроз (раніше SDL Threat Modeling Tool). Використовує методологію моделювання загроз Microsoft, базується на DFD і схему класифікації загроз STRIDE

27

Mozilla SeaSponge . Інструмент моделювання загроз від Mozilla

28

Методика оцінювання ризиків Microsoft
IriusRisk пропонує як безкоштовну так і комерційну версію інструмента. Цей інструмент орієнтований на створення та підтримку чинної моделі загроз протягом усього SDLC. Він керує процесом за допомогою повністю настроюваних анкет та бібліотек шаблонів ризиків, з блок-схемами та інтеграцією з DevSecOps (OWASP ZAP, BDD-Security, Threadfix...) для розширення можливостей автоматизації

MyAppSecurity пропонує комерційно доступний інструмент моделювання загроз -

ThreatModeler. Він використовує методологію VAST, заснований на PFD і виявляє загрози на основі всеосяжної бібліотеки загроз, що налаштовується. Він призначений для спільного використання всіма зацікавленими сторонами організації.
PyTM - це середовище Pythonic з відкритим кодом для моделювання загроз. Він кодує інформацію про загрози коду Python і обробляє цей код у різних формах

securiCAD - це інструмент моделювання загроз та управління ризиками, розроблений скандинавською компанією Foreseeti. Він призначений для управління кібербезпекою компанії, від директора з інформаційної безпеки до інженера з безпеки та технічного спеціаліста. securiCAD виконує автоматичне моделювання атак на поточні та майбутні ІТархітектури, виявляє та кількісно оцінює ризики в цілому, включаючи структурні вразливості, та забезпечує підтримку прийняття рішень на основі отриманих результатів.

securiCAD пропонується як у комерційній, так і у відкритих версіях
SD Elements от Security Compass - це платформа управління вимогами до безпеки програмного забезпечення, яка включає можливості автоматичного моделювання загроз. Набір загроз створюється шляхом заповнення короткої анкети про технічні деталі та драйвери відповідності програми. Контрзаходи включені у форму практичних завдань для розробників, які можна відстежувати та керувати ними протягом усього SDLC
Tutamantic «"Автоматичний аналіз проектування" - цікавий інструмент, який надає мікросервіси для моделювання загроз. На відміну від інтегрованих інструментів користувачі завантажують файл Visio і отримують електронну таблицю загроз
OVVL «Засіб моделювання відкритих вразливостей». Безкоштовний інструмент моделювання загроз з відкритим вихідним кодом, що базується на STRIDE, з особливою увагою на підтримку пізніших етапів життєвого циклу безпечної розробки

5. Навчальні матеріали та ресурси

Базова

  1. ISO/IEC 27004:2016 (E). Information technology — Security techniques — Information security management — Measurement.

  2. ДСТУ ISO /IEC 31010:2013 (ISO /IEC 31010:2009, IDT) «Керування ризиком. Методи загального оцінювання ризику».

  3. ДСТУ ISO/IEC 27001:2015 (ISO/IEC 27001:2013; Cor 1:2014, IDТ) «Інформаційні технології.

МЕТОДИ ЗАХИСТУ СИСТЕМИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ.

Вимоги».

  1. Загурський О. Управління ризиками. - К.: Університет Україна, 2016. - 244 с.

  2. КорченкоО.Г. Аудит та управління інцидентами інформаційної безпеки: навч. посіб. [Електронний ресурс] / [КорченкоО.Г., Гнатюк С.О., КазмірчукС.В. та ін.]. –К.: Центр навч.наук. та наук.-пр. видань НАСБ України, 2014. – 190 с. – Режим доступу:http://193.178.34.24/bitstream/NAU/38027/1/Audit%26Incident_15042014.pdf

  3. Милославская Н. Г., Сенаторов М. Ю., Толстой А. И. Управление рисками информационной безопасности. Учебное пособие для вузов. – М.: Горячая линия-Телеком, 2016.– 245 с.

  4. НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в АС.

  5. НД ТЗІ 3.7-003-05. Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі.

Додаткова

  1. OWASP Threat Dragon [Електронний ресурс]. Режим доступу:

https://www.owasp.org/index.php/About\_The\_Open\_Web\_Application\_Security\_Project.

  1. OWASP Threat Dragon on Github [Електронний ресурс]. Режим доступу:

https://github.com/mikegoodwin/ owasp-threat-dragon-desktop.

  1. The Open Web Application Security Project (OWASP) Електронний ресурс]. Режим доступу:

https://www.owasp.org.

  1. CAIRIS [Електронний ресурс]. Режим доступу: https://cairis.org/.

  2. CAIRIS [Електронний ресурс]. https://github.com/failys/cairis.

  3. Mozilla launches free, online threat modelling tool [Електронний ресурс]. Режим доступу:

https://siliconangle.com/blog/2015/04/01/mozilla-launches-free-online-threat-modelling-tool/

  1. Microsoft Threat Modeling Tool [Електронний ресурс]. Режим доступу:

https://docs.microsoft.com/enus/azure/security/azure-security-threat-modeling-tool

  1. Threat Modeling [Електронний ресурс]. Режим доступу: https://msdn.microsoft.com/enus/ library/ff648644.aspx.

  2. RiskWatch technical specifications [Електронний ресурс]. Режим доступу: http://www.riskwatch.com/wpcontent/ uploads/2014/05/SWDataSheet.pdf.

  3. RiskWatch [Електронний ресурс]. Режим доступу: http://www.riskwatch.com/

  4. vsRisk [Електронний ресурс]. Режим доступу:

https://www.vigilantsoftware.co.uk/product/vsriskstandalone.

  1. Методология OCTAVE для оценки информационных рисков [Електронний ресурс]. – Режим доступу: http://www.risk24.ru/octave.htm

  2. Методологии управления ИТ-рисками [Електронний ресурс]. – Режим доступу:http://www.iso27000.ru/chitalnyi-zai/upravlenie-riskamiinformacionnoi bezopasnosti/metodologii-upravleniya-it-riskami 14. Грищук Р.В., Даник Ю.Г. Основи кібернетичної безпеки: Монографія /; за заг. ред. Ю. Г. Даника. Житомир: ЖНАЕУ, 2016.

  1. Петренко С. А. Управление информационными рисками. Экономически оправданная безопасность / С. А. Петренко, С. В. Симонов. – М. : Академия АйТи : ДМК Пресс, 2008. – 384 с.

  2. Корченко О.Г., Казмірчук С.В., Ахметов Б.Б., Прикладні системи оцінювання ризиків інформаційної безпеки. Монографія, Київ, ЦП «Компринт», 2017 – 435 с.

Робочу програму навчальної дисципліни (силабус):

Складено доцент кафедри інформаційних систем та технологій, к.т.н., доцент Пасько Віктор Петрович

Ухвалено кафедрою інформаційних систем та технологій (протокол № 13 від 15.06.2022 р.)

Погоджено Методичною комісією факультету інформатики та обчислювальної техніки

(протокол № 11 від 07.07.2022 р.)