Управління ризиками інформаційної безпеки - Робоча програма навчальної дисципліни (Силабус)
Реквізити навчальної дисципліни
| Рівень вищої освіти | Другий (магістерський) |
|---|---|
| Галузь знань | 12 Інформаційні технології |
| Спеціальність | 126 «Інформаційні системи та технології» |
| Освітня програма | Освітньо-наукова програма «Інформаційні системи та технології» Освітньо-професійна програма «Інтегровані інформаційні системи» Освітньо-професійна програма «Інформаційні управляючі системи та технології» Освітньо-професійна програма «Інформаційне забезпечення робототехнічних систем» |
| Статус дисципліни | Обов’язкова (нормативна) |
| Форма навчання | очна(денна) |
| Рік підготовки, семестр | 1 курс, весняний |
| Обсяг дисципліни | 4 кредити ECTS /120 годин (36 годин лекцій, 18 годин комп’ютерних практикумів) |
| Семестровий контроль/ контрольні заходи | Атестація/Залік |
| Розклад занять | 1 лекція (2 години) 1 раз на тиждень; 1 комп’ютерний практикум(2 години) 1 раз на 2 тижні. |
| Мова викладання | Українська |
| Інформація про керівника курсу / викладачів |
Лектор: к.т.н., , доцент, Пасько В.П., vpasko@tk.kpi.ua Комп’ютерні практикуми / к.т.н., , доцент, Пасько В.П., vpasko@tk.kpi.ua |
| Розміщення курсу | https://campus.kpi.ua, https://ist.kpi.ua/ |
Програма навчальної дисципліни
Опис навчальної дисципліни, її мета, предмет вивчання та результати навчання
Відмінністю сучасного суспільства є перехід до нової фази свого розвитку – постіндустріальної формації. Серед характерних особливостей цієї формації – надзвичайно висока концентрація енергетичних ресурсів в об’єктах техносфери, що інтенсифікує руйнівні сили можливих небезпечних техногенних явищ, глобалізація світового економічного ринку, яка призводить до зростання кількості учасників конкурентної боротьби та підвищення її гостроти, неконтрольоване збільшення обсягів інформації, що циркулюють у різних галузях людської діяльності й, на жаль, часто ведуть до поглиблення невизначеності та непрогнозованості результатів цієї діяльності в цілому. Все це надає привід стверджувати, що нове суспільство – це суспільство ризику, однією з головних задач якого стає аналіз можливих ризиків та нейтралізація небезпек.
В цій ситуації на перший план виходить проблема формування теоретико-методичних засад аналізу та управління ризиками (зокрема у сфері інформаційної безпеки), розгляду загальних аспектів якої присвячений даний курс.).
Мета вивчення дисципліни “Управління ризиками інформаційної безпеки” полягає у формуванні у майбутніх спеціалістів умінь та наступних компетенцій для забезпечення ефективної оцінки ризиків та управління ними в інформаційних системах, необхідних для подальшої роботи, навчити їх застосуванню методів та засобів оцінювання ризиків та управління ними у інформаційних системах в умовах широкого використання сучасних інформаційних технологій.
ЗК 05
Здатність оцінювати та забезпечувати якість виконуваних робіт.
ФК 03
Здатність проектувати інформаційні системи з урахуванням особливостей їх призначення, неповної / недостатньої інформації та суперечливих вимог.
ФК 06
Здатність управляти інформаційними ризиками на основі концепції інформаційної безпеки.
Предмет навчальної дисципліни – методи оцінювання ризиків інформаційної безпеки, які використовуються як якісні та кількісні показники якості та захищеності інформаційних систем при їх проектуванні та аналізі.
Програмні результати навчання, на формування та покращення яких спрямована дисципліна:
ПРН 03
Приймати ефективні рішення з проблем розвитку інформаційної інфраструктури, створення і застосування ІСТ
ПРН10
Забезпечувати якісний кіберзахист ІСТ, планувати, організовувати, впроваджувати та контролювати функціонування систем захисту інформації.
Пререквізити та постреквізити дисципліни (місце в структурно-логічній схемі навчання за відповідною освітньою програмою)
Вивчення дисципліни “Управління ризиками інформаційної безпеки» передбачає наявність систематичних та ґрунтовних знань із суміжних курсів («Теорія ймовірностей та математична статистика», „Безпека інформаційних систем ”, «Моделювання технічних систем», «Проектування інформаційних систем», «Теорія прийняття рішень»).
Зміст навчальної дисципліни
Розділ 1. Ризик: визначення та сутність ризику в різних сферах діяльності, основні властивості та характеристики
Тема 1.1. Сутність ризику. Структура ризиків. Невизначеність і ризик. Моделі (концепції) ризиків
Тема 1.2. Класифікація (види) ризиків. Класифікація невизначеностей, показники ризиків. та невизначеності. Аналіз ризиків: концепції аналізу, види та задачі, методи аналізу
Розділ 2. Організація управління ризиками, процес управління ризиками. Структура, рівні та механізми управління ризиками .
Тема 2.1. Поняття вразливостей інформаційної системи. Моделі загроз та порушника. Ідентифікація активів інформаційної безпеки.
*Тема 2.**2.*Процесна модель менеджменту ризиків інформаційної безпеки. Ци́кл Шу́харта-Де́мінга (Цикл PDCA). Життєвий цикл системи управління інформаційною безпекою.
Тема 2.3.. Методологічне та нормативне забезпечення аналізу та обрахування ризиків. Міжнародні стандарти в галузі аналізу та оцінювання ризиків
Тема 2.4. Серія стандартів ISO/IEC 270xx .
Тема 2.5. ДСТУ ISO 31000:2018 Менеджмент ризиків. Принципи та настанови (ISO 31000:2018, IDT). ДСТУ ІЕС/ІSО 31010:2019 (ІЕС/ІSО 31010:2019,IDТ). Керування ризиком. Методи загального оцінювання ризику.
Тема 2.6. Фреймворк "NIST Risk Management Framework".
Розділ 3. Методи аналізу і загального оцінювання ризиків інформаційної безпеки.
Тема 3.1. Методики формування поглядів від зацікавлених сторін та експертів. Технології ідентифікації ризику. Методики визначення джерел, причин і домінантних факторів ризику. Технології аналізу засобів контролю.
Тема 3.2. Методи розуміння наслідків і ймовірностей. Методи аналізу залежностей і взаємодій. Методи вимірювання ризику. Методики оцінювання значущості ризиків. Технології вибору між варіантами. Методи документування та звітності.
Розділ 4. Інструментальні засоби моделювання загроз та оцінювання ризиків інформаційної безпеки.
Тема 4.1. Засоби аналізу та оцінювання ризиків. Методики оцінки ризиків інформаційної безпеки CRAMM, OCTAVE, RiskWatch. Методика оцінювання ризиків Microsoft.
Тема 4.2. Засоби моделювання загроз. Microsoft Security Assessment Tool.
Розділ 5. Моніторинг, вимірювання, аналіз та оцінювання інформаційної безпеки. Вимірювання.
Тема 5.1. ДСТУ ISO/IEC 27004:2018 (ISO/IEC 27004:2016, IDT). Документ NIST SP 800-55 «Performance Measurement Guide for Information Security».
Тема 5.2. Метрики ефективності безпеки. Використання метрик інформаційної управління безпекою.
Розділ 6. Управління інцидентами інформаційної безпеки.
Тема 6.1. Цілі управління інцидентами. Основні завдання управління ІІБ. Роль системи управління інцидентами в СУІБ. Перелік категорій кіберінцидентів.
Тема 6.2. Міжнародні стандарти в галузі обробки інцидентів. Зміст процесу управління інцидентами. Обробка інцидентів згідно ISO 20035. Метрики ефективності процесу управління інцидентами.
Тема 6.3. Сучасні бази даних уразливостей інформаційної безпеки.
Тема 6.4. Функціонування груп реагування на інциденти інформаційної безпеки CERT/CSIRT.
Навчальні матеріали та ресурси
Базова
ISO/IEC 27004:2016 (E). Information technology — Security techniques — Information security management — Measurement.
ДСТУ ISO /IEC 31010:2013 (ISO /IEC 31010:2009, IDT) «Керування ризиком. Методи загального оцінювання ризику».
ДСТУ ISO/IEC 27001:2015 (ISO/IEC 27001:2013; Cor 1:2014, IDТ) «Інформаційні технології. МЕТОДИ ЗАХИСТУ СИСТЕМИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ. Вимоги».
Загурський О. Управління ризиками. - К.: Університет Україна, 2016. - 244 с.
КорченкоО.Г. Аудит та управління інцидентами інформаційної безпеки: навч. посіб. [Електронний ресурс] / [КорченкоО.Г., Гнатюк С.О., КазмірчукС.В. та ін.]. –К.: Центр навч.-наук. та наук.-пр. видань НАСБ України, 2014. – 190 с. – Режим доступу:http://193.178.34.24/bitstream/NAU/38027/1/Audit%26Incident_15042014.pdf
НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в АС.
Корченко О.Г., Казмірчук С.В., Ахметов Б.Б., Прикладні системи оцінювання ризиків інформаційної безпеки. Монографія, Київ, ЦП «Компринт», 2017 – 435 с.
НД ТЗІ 3.7-003-05. Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі.
Гуменюк В.Я., Міщук Г.Ю., Олійник О.О. Управління ризиками: Навч. посіб. – Рівне.: НУВГП, 2009.- 156 с.
Додаткова
OWASP Threat Dragon [Електронний ресурс]. Режим доступу: https://www.owasp.org/index.php/About\_The\_Open\_Web\_Application\_Security\_Project.
The Open Web Application Security Project (OWASP) Електронний ресурс]. Режим доступу: https://www.owasp.org.
CAIRIS [Електронний ресурс]. Режим доступу: https://cairis.org /.
Mozilla launches free, online threat modelling tool [Електронний ресурс]. Режим доступу: https://siliconangle.com/blog/2015/04/01/mozilla-launches-free-online-threat-modelling-tool/
Microsoft Threat Modeling Tool [Електронний ресурс]. Режим доступу: https://docs.microsoft.com/enus/azure/security/azure-security-threat-modeling-tol
Threat Modeling [Електронний ресурс]. Режим доступу: https://msdn.microsoft.com/enus/ library/ff648644.asp
RiskWatch technical specifications [Електронний ресурс]. Режим доступу: http://www.riskwatch.com/wpcontent/ uploads/2014/05/ .pdf.
RiskWatch [Електронний ресурс]. Режим доступу: http://www.riskwatch.com/
vsRisk [Електронний ресурс]. Режим доступу: https://www.vigilantsoftware.co.uk/product/vsriskstandalone.
Методологія OCTAVE для оцінювання ризиків [Електронний ресурс]. – Режим доступу: http://www.risk24.ru/octave.htm
Методологія управління ризиками [Електронний ресурс]. – Режим доступу:http://www.iso27000.ru/chitalnyi-zai/upravlenie-riskamiinformacionnoi bezopasnosti/metodologii-upravleniya-it-riskami
Грищук Р.В., Даник Ю.Г. Основи кібернетичної безпеки: Монографія /; за заг. ред. Ю. Г. Даника. Житомир: ЖНАЕУ, 2016.
Навчальний контент
Методика опанування навчальної дисципліни (освітнього компонента)
Лекційні заняття
№ з/п |
Назва теми лекції та перелік основних питань (перелік дидактичних засобів, посилання на інформаційні джерела) |
|---|---|
| 1 | Тема 1.1. Сутність ризику. Структура ризиків. Невизначеність і ризик. Моделі (концепції) ризиків Основні питання: термінологія та головні визначення в сфері аналізу та менеджменту ризиків; ризикоутворюючі фактори, структура та моделі ризиків. Допоміжні матеріали: 4,5,6. |
| 2 | Тема 1.2. Класифікація (види) ризиків. Класифікація невизначеностей, показники ризиків. та невизначеності. Аналіз ризиків: концепції аналізу, види та задачі, методи аналізу. Основні питання: завдання, принципи і функції управління ризиками; елементи процесу управління ризиками; методи і засоби управління ризиками. Допоміжні матеріали: 4,5,6 |
| 3 | Тема 2.1. Поняття вразливостей інформаційної системи. Моделі загроз та порушника. Ідентифікація активів інформаційної безпеки. Основні питання: практична класифікація атак (застосовується розробниками систем виявлення атак); загрози невиконання послуг безпеки; урахування дестабілізуючих факторів; модель загроз для криптографічних систем; аналіз загроз під час розробки програмного забезпечення; методика STRIDE (Symantec, Microsoft); Методика STRIDE; методологія PASTA. Допоміжні матеріали: 1,2,3,4,7 |
| 4 | Тема 2.2. Процесна модель менеджменту ризиків інформаційної безпеки. Ци́кл Шу́харта-Де́мінга (Цикл PDCA). Життєвий цикл системи управління інформаційною безпекою. Основні питання: характеристика процесу управління ризиками; категоризація безпеки; вибір заходів контролю безпеки; перевірка заходів контролю безпеки. Допоміжні матеріали: 5,7 |
| 5 | Тема 2.3. Методологічне та нормативне забезпечення аналізу та обрахування ризиків. Міжнародні стандарти в галузі аналізу та оцінювання ризиків Основні питання: Роль стандартів інформаційної безпеки. Основні організації, що створюють стандарти інформаційної безпеки. Періодичність створення стандартів. Допоміжні матеріали: 1,2,3,4,7 |
| 6 | Тема 2.4. Серія стандартів ISO/IEC 270xx . Основні питання: ДСТУ ISO/IEC 27000:2019 (ISO/IEC 27000:2018, IDT) Інформаційні технології. Методи захисту. Системи керування інформаційною безпекою. Огляд і словник термінів. (ДСТУ ISO/ІЕС 27000:2015,2017). Стандарт містить загальні відомості про систему менеджменту ІБ та включає тлумачення відповідної термінології. 2.ДСТУ ISO/IEC 27001:2022 (ISO/IEC 27001:2013; Cor 1:2014, IDТ) Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги 3.ДСТУ ISO/ІЕС 27002:2022 Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки 4.ДСТУ ISO/IEC 27005:2022 (ISO/IEC 27005:2018, IDT) Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки. (ДСТУ ISO/ІЕС 27005:2015) 5.ІSО/ІЕС 27004:2018 Інформаційні технології. Методи захисту. Управління інформаційною безпекою. Вимірювання 6.ДСТУ ISO/IEC 27035-1:2018 (ISO/IEC 27035-1:2016, IDT) Інформаційні технології. Методи захисту. Керування інцидентами інформаційної безпеки. Частина 1. Принципи керування інцидентами Частина 2. Настанова щодо планування та підготовки до реагування на інциденти 1.ДСТУ ISO 31000:2018 (ISO 31000:2018, IDT) Менеджмент ризиків. Принципи та настанови. 2.Стандарт ДСТУ ІЕС/ІSО 31010:2019 (ІЕС/ІSО 31010:2009,IDТ). Керування ризиком. Методи загального оцінювання ризику. Стандарт NIST SP 800-30 "Guide for Conducting Risk Assessments" ("Керівництво з проведення оцінки ризиків"). Стандарт NIST SP 800-39 "Managing Information Security Risk". Стандарт NIST SP 800-37 "Risk Management Framework for Information Systems and Organizations" Допоміжні матеріали: 1,2,3,4,7 |
| 7 | Тема 2.5. ДСТУ ISO 31000:2018 Менеджмент ризиків. Принципи та настанови (ISO 31000:2018, IDT). ДСТУ ІЕС/ІSО 31010:2019 (ІЕС/ІSО 31010:2019,IDТ). Керування ризиком. Методи загального оцінювання ризику. Основні питання: мета , принципи та структура управління ризиками; процес управління ризиками; вибір методів загального оцінювання ризиків; використання і переваги загального оцінювання ризиків; вибір технологій оцінювання; застосування технологій оцінювання. Допоміжні матеріали: 1,2,3,4,7 |
| 8 | Тема 2.6. Фреймворк "NIST Risk Management Framework". Основні питання: Стандарт NIST SP 800-30 "Guide for Conducting Risk Assessments" ("Керівництво з проведення оцінки ризиків"); Стандарт NIST SP 800-39 "Managing Information Security Risk" ("Управління ризиками інформаційної безпеки"); Стандарт NIST SP 800-37 "Risk Management Framework for Information Systems and Organizations" ("Фреймворк управління ризиками для інформаційних систем і організацій"); Стандарт NIST SP 800-137 "Information Security Continuous Monitoring" ("Безперервний моніторинг інформаційної безпеки"); Стандарт NIST Special Publication 800-53 “Security and Privacy Controls for Federal Information Systems and Organizations” (дослівно «Контролі безпеки і приватності для федеральних інформаційних систем і організацій». Допоміжні матеріали: 1,2,3,4,7 |
| 9 | Тема 3.1. Методики формування поглядів від зацікавлених сторін та експертів. Технології ідентифікації ризику. Методики визначення джерел, причин і домінантних факторів ризику. Технології аналізу засобів контролю. Основні питання: якісний та кількісний аналіз ризиків; статистичні методи оцінювання ризиків; методи експертного оцінювання ризиків; психологічні помилки при проведенні експертного оцінювання ризиків; мозковий штурм; метод домінантних груп; метод Делфі; метод «краватка-метелик»метод структурованих інтерв’ю; аналіз відмов та аналіз ефектів відмов (FMEA) та аналіз відмов, аналіз ефектів відмов (FMEA) та аналіз критичності відмов(FMECA). Допоміжні матеріали: 1,2,3,4,7 |
| 10 | Тема 3.2. Методи розуміння наслідків і ймовірностей. Методи аналізу залежностей і взаємодій. Методи вимірювання ризику. Методики оцінювання значущості ризиків. Технології вибору між варіантами. Методи документування та звітності. Основні питання: байєсовський аналіз; баєсовські мережі та діаграми впливу; аналіз причин і наслідків; аналіз дерева подій; марківський аналіз Допоміжні матеріали: 1,2,3,4,7 |
| 11 | Тема 4.1. Засоби аналізу та оцінювання ризиків. Основні питання: Методики оцінки ризиків інформаційної безпеки CRAMM, OCTAVE, RiskWatch. Методика оцінювання ризиків Microsoft Методика Facilitated Risk Analysis Process (FRAP); метод Coras Допоміжні матеріали: 1,2,3,4,7 |
| 12 | Тема 4.2. Засоби моделювання загроз. Основні питання: Microsoft Security Assessment Tool OWASP Threat Dragon Project ; Mozilla SeaSponge; SD Elements от Security Compass; PyTM. Допоміжні матеріали: 1,2,3,4,7 |
| 13 | Тема 5.1. ДСТУ ISO/IEC 27004:2018 (ISO/IEC 27004:2016, IDT). Документ NIST SP 800-55 «Performance Measurement Guide for Information Security». Основні питання: Допоміжні матеріали: 1,2,3,4,7 |
| 14 | Тема 5.2. Метрики ефективності безпеки. Використання метрик інформаційної управління безпекою. Основні питання: оцінювання ефективності інформаційної безпеки, параметр ROSI, впровадження процесів ISMS; управління інцидентами; управління нестабільністю; управління конфігурацією; обізнаність про безпеку та навчання; контроль доступу, брандмауер та інші журнали подій; аудит; процес оцінювання ризиків; процес усунення ризиків; сторонній менеджмент ризиків. Допоміжні матеріали: 1,2,3,4,7 |
| 15 | Тема 6.1. Цілі управління інцидентами. Основні завдання управління ІІБ. Роль системи управління інцидентами в СУІБ. Перелік категорій кіберінцидентів. Основні питання: подія інформаційної безпеки; ознаки інциденту інформаційної безпеки; взаємозв’язок об’єктів інформаційної безпеки при інциденті; створення політики реагування на інциденти та плану; роль системи управління інцидентами в системі управління інформаційною безпекою. Допоміжні матеріали: 1,2,3,4,7 |
| 16 | Тема 6.2. Міжнародні стандарти в галузі обробки інцидентів. Зміст процесу управління інцидентами. Обробка інцидентів згідно ISO 20035. Метрики ефективності процесу управління інцидентами. Основні питання: зміст процесу управління інцидентами; ідентифікація та фіксація, реакція, розслідування та документування, загальна кількість інцидентів; кількість інцидентів, що знаходяться на різних стадіях (закриті, в роботі, відправлені тощо); розмір поточного логу про інциденти; кількість значних інцидентів; середній час вирішення інцидентів; відсоток інцидентів, вирішених в установлений час; середні витрати на інцидент; кількість повторно відкритих інцидентів і їх відсоткове співвідношення до загальної кількості інцидентів; кількість інцидентів, неправильно направлених у команди підтримки; кількість інцидентів, для яких були неправильно визначені категорії; кількість віддалено вирішених інцидентів (без персональної присутності); кількість інцидентів, вирішених з використанням кожної моделі інцидентів; кількість інцидентів у розрізі певних інтервалів дня. Допоміжні матеріали: 1,2,3,4,7 |
| 17 | Тема 6.3. Сучасні бази даних уразливостей інформаційної безпеки. Основні питання: CVE (Common Vulnerabilities and Exposures; CWE (Common Weakness Enumeration) — база даних типів вразливостей. SecurityFocus BID; OSVDB (База даних вразливостей з відкритим кодом);IBM ISS X-Force. Допоміжні матеріали: 1,2,3,4,7 |
| 18 | Тема 6.4. Функціонування груп реагування на інциденти інформаційної безпеки CERT/CSIRT. Основні питання: Загальна характеристика діяльності груп CERT/CSIRT та етапи їх створення. Обробка інцидентів інформаційної безпеки групами CERT/CSIRT. Допоміжні матеріали: 1,2,3,4,9 |
Комп’ютерні практикуми
№ з/п |
Перелік комп’ютерних практикумів |
|---|---|
| 1 | Комп’ютерний практикум 1. Технології ідентифікації та визначення джерел ризиків Мета: практично перевірити різні методи ідентифікації та визначення джерел ризиків для кількісного та якісного оцінювання ризиків та оволодіння засобами їх програмної реалізації.. |
| 2 | Комп’ютерний практикум 2. Технології розуміння наслідків та аналізу залежностей ризиків. Мета: практично перевірити різні методи розуміння наслідків та аналізу залежностей для кількісного та якісного оцінювання ризиків та оволодіння засобами їх програмної реалізації.. |
| 3 | Комп’ютерний практикум 3. Технології вимірювання та оцінювання значимості ризиків та документування. Мета: практично перевірити різні методи причинно-наслідкових взаємозв'язків для кількісного та якісного оцінювання ризиків та оволодіння засобами їх програмної реалізації |
| 4 | Комп’ютерний практикум 4. Дослідження методологій і інструментальних засобів моделювання загроз Мета: отримання практичних навичок застосування методологій і використання інструментальних засобів моделювання загроз інформаційної безпеки.. |
| 5 | Комп’ютерний практикум 5. Дослідження методологій і інструментальних засобів в оцінювання ризиків інформаційної безпеки Мета: отримання практичних навичок застосування методологій і використання інструментальних засобів оцінювання ризиків інформаційної безпеки. |
Самостійна робота студента
№ з/п |
Вид самостійної роботи | Кількість годин СРС |
|---|---|---|
| 1 | Підготовка до комп’ютерних практикумів | 18 |
| 2 | Підготовка до МКР | 8 |
| 3 | Підготовка до заліку | 10 |
Політика та контроль
ПОЛІТИКА НАВЧАЛЬНОЇ ДИСЦИПЛІНИ (ОСВІТНЬОГО КОМПОНЕНТА)
Форми організації освітнього процесу, види навчальних занять і оцінювання результатів навчання регламентуються Положенням про організацію освітнього процесу в Національному технічному університеті України «Київському політехнічному інституті імені Ігоря Сікорського».
Політика виставлення оцінок: кожна оцінка виставляється відповідно до розроблених викладачем та заздалегідь оголошених студентам критеріїв, а також мотивується в індивідуальному порядку на вимогу студента; у випадку невиконання студентом усіх передбачених навчальним планом видів занять (практичних робіт, контрольних робіт) до екзамену він не допускається; пропущені заняття обов’язково мають бути відпрацьовані.
Відвідування є обов'язковим (за винятком випадків, коли існує поважна причина, наприклад, хвороба чи дозвіл працівників деканату). Якщо студент не може бути присутніми на заняттях, він все одно несете відповідальність за виконання завдань, що проводились в комп’ютерному класі.
Порядок зарахування пропущених занять. Відпрацювання пропущеного практичного заняття здійснюється шляхом самостійного виконання завдання і його захисту відповідно до графіку консультацій викладача.
Політика академічної поведінки та доброчесності: конфліктні ситуації мають відкрито обговорюватись в академічних групах з викладачем, необхідно бути взаємно толерантним, поважати думку іншого. Плагіат та інші форми нечесної роботи неприпустимі. Всі індивідуальні завдання та курсову роботу студент має виконати самостійно із використанням рекомендованої літератури й отриманих знань та навичок. Цитування в письмових роботах допускається тільки із відповідним посиланням на авторський текст. Недопустимі підказки і списування у ході захисту комп’ютерних практикумів, на контрольних роботах, на іспиті.
Норми академічної етики: дисциплінованість; дотримання субординації; чесність; відповідальність; робота в аудиторії з відключеними мобільними телефонами. Повага один до одного дає можливість ефективніше досягати поставлених результатів. При виконанні комп’ютерних практикумів студент може користуватися ноутбуками. Проте під час лекційних занять та обговорення завдань комп’ютерних практикумів не слід використовувати ноутбуки, смартфони, планшети чи комп’ютери. Це відволікає викладача і студентів групи та перешкоджає навчальному процесу. Якщо ви використовуєте свій ноутбук чи телефон для аудіо- чи відеозапису, необхідно заздалегідь отримати дозвіл викладача.
Дотримання академічної доброчесності студентів й викладачів регламентується кодекс честі Національного технічного університету України «Київський політехнічний інститут», положення про організацію освітнього процесу в КПІ ім. Ігоря Сікорського
Види контролю та рейтингова система оцінювання результатів навчання (РСО)
РОЗПОДІЛ БАЛІВ, ЯКІ ОТРИМУЮТЬ СТУДЕНТИ ПІД ЧАС ВИВЧЕННЯ ДИСЦИПЛІНИ
| Види контролю | Бали |
|---|---|
| Комп’ютерний практикум (5 робіт) | 18 |
| Модульна контрольна робота ( 1 робота) | 20 |
R=18*5+20=100
РЕЙТИНГОВІ СИСТЕМИ ОЦІНЮВАННЯ РЕЗУЛЬТАТІВ НАВЧАННЯ
1. Загальні відомості
В основу рейтингових систем оцінювання (РСО) результатів навчання студентів з дисципліни «Управління ризиками інформаційної безпеки» покладено поопераційний контроль і накопичення рейтингових балів за різнобічну навчально-пізнавальну діяльність студентів у процесі навчання.
Інформація щодо функціонування РСО має бути доведена до студентів на першому занятті.
При семестровому контролі у вигляді заліку результати навчальної
діяльності студента за семестр оцінюються зі ста балів без врахування
результату залікової контрольної роботи (перший тип РСО-1). Сума вагових
балів дисципліни має дорівнювати розміру шкали РСО
().
Штрафні (riШ) бали передбачені за несвоєчасний захист комп’ютерного практикуму. Сума штрафних балів не перевищує 10.
Рейтингова оцінка (RD) формується як сума всіх рейтингових балів riК та штрафних балів riШ:
$$RD = \sum_{r_{К} +}\sum_{r_{Ш}.}$$
Рейтингова оцінка трансформується до університетської системи оцінювання згідно з таблицею 2.
Таблиця 2. Переведення рейтингових балів до оцінок за університетською шкалою
| Рейтингові бали, RD | Оцінка за університетською шкалою |
| 100 … 95 | Відмінно |
| 94 … 85 | Дуже добре |
| 84 … 75 | Добре |
| 74 … 65 | Задовільно |
| 64 … 60 | Достатньо |
| Менш ніж 60 | Незадовільно |
| Невиконання умов допуску до семестрового контролю |
Не допущено |
Студенти, які набрали протягом семестру необхідну кількість балів (RD>60), отримують залікову оцінку (залік) так званим «автоматом» відповідно до набраного рейтингу (табл. 2). В такому разі до заліково-екзаменаційної відомості вносяться бали RD та відповідні оцінки.
Студенти, які набрали протягом семестру менше ніж 60 балів, зобов’язані проходити співбесіду.
Підсумкова рейтингова оцінка з дисципліни(RD) доводиться до студентів на передостанньому занятті. Студенти, які виконали всі умови допуску до семестрової атестації з дисципліни та мають рейтингову оцінку не менш ніж 60 балів, отримують відповідну позитивну оцінку без додаткових випробувань.
Студенти, які були не допущеними до семестрової атестації з кредитного модуля, мають усунути причини, що призвели до цього.
На останньому за розкладом занятті викладач проводить семестрову атестацію у вигляді залікової контрольної роботи або співбесіди зі студентами, які не змогли отримати за рейтингом позитивну оцінку, але були допущені до семестрової атестації, а також з тими, хто бажає підвищити свою позитивну оцінку. У заліково-екзаменаційній відомості викладач записує бали RD, які отримані студентом у семестрі або за результатами виконання залікової контрольної роботи, а також згідно з табл. 2 відповідну оцінку.
Рейтингова система оцінювання результатів навчання студентів з
дисципліни
«Управління ризиками інформаційної безпеки»
1. Рейтинг студента з дисципліни складається з балів, що він отримує за:
виконання комп’ютерних практикумів (5 практикумів);
залікової контрольної роботи (опціонально).
2. Критерії нарахування балів.
2.1. Комп’ютерні практикуми оцінюються з 18 балів кожний:
підготовлений звіт з комп’ютерного практикуму – 4-8 балів;
підготовлена презентація – 1-5 бали;
захист з підготовленою презентацією, відповіді на запитання під час захисту – 1-5 балів;
модульна контрольна робота – 20 балів.
Доповідь проводиться у вигляді презентаційного виступу за результатами підготовленого звіту; в оцінці враховуються презентаційні навички доповідача, якість виконаної презентації, відповіді на запитання.
Рейтингові бали за підготовлений звіт з комп’ютерного практикуму
| Оцінка | Рейтингові бали | |
|---|---|---|
| «відмінно» | 8 | Представлена розроблена концептуальна модель інформаційної системи з використанням одного із інструментальних засобів моделювання загроз, підготовлено аналітичний звіт про вибраний метод (засіб) і продемонстровано його застосування для управління ризиками інформаційної безпеки |
| «дуже добре» | 7 | Представлена розроблена концептуальна модель інформаційної системи, підготовлено аналітичний звіт про вибраний метод (засіб) і продемонстровано його застосування для управління ризиками інформаційної безпеки |
| «добре» | 6 | Представлена розроблена модель бізнес-процесу (інформаційної системи), підготовлено аналітичний звіт про вибраний метод (засіб) і продемонстровано його застосування для управління ризиками |
| «задовільно» | 5 | Представлена модель бізнес-процесу (інформаційної системи), підготовлено аналітичний звіт про вибраний метод (засіб) і показано приклад його застосування для управління ризиками |
| «достатньо» | 4 | Підготовлено аналітичний звіт про вибраний метод (засіб) і показано приклад його застосування для управління ризиками |
| «незадовільно» | 0-3 | звіт не відповідає вимогам до «задовільно |
Рейтингові бали за підготовлену презентацію
| Оцінка | Рейтингові бали | |
|---|---|---|
| «відмінно» | 5 | Презентація логічно структурована, виконана якісно, грамотною українською мовою. Зміст презентації повністю відповідає завданню. |
| «дуже добре» | 4 | Презентація виконана якісно, грамотною українською мовою. Зміст презентації повністю відповідає завданню. Присутні граматичні помилки і оформлення з незначними відхиленнями. |
| «добре» | 3 | Презентація виконана чітко, грамотною українською мовою, але не повністю розкриває зміст завдання. Присутні граматичні помилки і оформлення з незначними відхиленнями. |
| «задовільно» | 2 | Презентація не повністю розкриває зміст завдання. |
| «достатньо» | 1 | Презентація не повністю розкриває зміст завдання. |
| «незадовільно» | 0 | Презентація не відповідає вимогам до «задовільно |
Рейтингові бали за презентаційний захист комп’ютерного практикуму
| Оцінка | Рейтингові бали | |
|---|---|---|
| «відмінно» | 5 | Під час захисту дані повні відповіді на питання (не менше 90% потрібної інформації) |
| «дуже добре» | 4 | Під час захисту дані достатньо повні відповіді на питання під час захисту (75-90% інформації) |
| «добре» | 3 | Під час захисту дані неповні відповіді на питання (менше 75% потрібної інформації) або відповіді з незначними неточностями під час захисту |
| «задовільно» | Під час захисту дані не повністю чи з помилками відповіді або надані неповні відповіді на питання (не менше 60% потрібної інформації та незначні помилки) під час захисту | |
| «достатньо» | 1 | Доповідь по сутності є вірною, але побудованою нелогічно, нечітко, має багато неточностей. Відповіді на запитання неповні, припущені істотні неточності в аргументуванні прийнятих рішень |
| «незадовільно» | 0 | Відповіді не відповідають вимогам до «задовільно» |
3. Умовою першої атестації є зарахування не менше 2 практикумів. Умовою другої атестації – зарахування 3 практикумів.
4. Умовою отримання заліку є зарахування всіх комп’ютерних практикумів із сумою балів не менше 60.
5. Сума рейтингових балів, отриманих студентом протягом семестру, переводиться до підсумкової оцінки згідно з таблицею.
Таблиця переведення рейтингових балів до оцінок:
| Бали | Оцінка |
|---|---|
| 100…95 | Відмінно |
| 94…85 | Дуже добре |
| 84…75 | Добре |
| 74…65 | Задовільно |
| 64…60 | Достатньо |
| Менше 60 | Незадовільно |
Календарний контроль: провадиться двічі на семестр як моніторинг поточного стану виконання вимог силабусу.
За результатами навчальної роботи за перші 7 тижнів максимально можлива кількість балів – 18 балів. На першій атестації (8-й та 9-й тиждень) студент отримує “зараховано”, якщо його поточний рейтинг не менше 10 балів.
За результатами 13 тижнів навчання максимально можлива кількість балів – 40 балів. На другій атестації (14-й тиждень) студент отримує “зараховано”, якщо його поточний рейтинг не менше 24 бали.
6. Модульна контрольна робота (МКР) виконується протягом семестру на одному з занять після вивчення Тем 1-3.
На модульній контрольній роботі кожен студент повинен дати відповідь на 2 теоретичні питання. Відповідь на кожне питання оцінюється від 0 до 10 балів.
«відмінно» – повна відповідь (не менше 90% потрібної інформації) –10 балів;
«дуже добре» – повна відповідь (не менше 75% потрібної інформації) або повна відповідь з незначними неточностями –9 балів;
«добре» – достатньо повна відповідь (не менше 50% потрібної інформації) або відповідь з незначними неточностями – 8 балів;
«задовільно» – неповна відповідь (не менше 50% потрібної інформації) та незначні помилки – 7 балів;
«достатньо» – неповна відповідь (менше 60% потрібної інформації) та помилки – 6 бал;
«незадовільно» – немає відповіді, неправильна відповідь – 0-5 балів.
Наявність позитивної оцінки з модульної контрольної роботи є умовою допуску до заліку.
Семестровий контроль:залік.
Умови допуску до семестрового контролю: мінімально позитивна оцінка за індивідуальне завдання / зарахування усіх комп’ютерних практикумів т та підсумкова кількість балів не менше 35.
Таблиця відповідності рейтингових балів оцінкам за університетською шкалою:
| Кількість балів | Оцінка |
| 100-95 | Відмінно |
| 94-85 | Дуже добре |
| 84-75 | Добре |
| 74-65 | Задовільно |
| 64-60 | Достатньо |
| Менше 60 | Незадовільно |
| Не виконані умови допуску (<40) | Не допущено |
Робочу програму навчальної дисципліни (силабус):
Складено доцент кафедри інформаційних систем та технологій, к.т.н., доцент Пасько Віктор Петрович
Ухвалено кафедрою інформаційних систем та технологій (протокол № 16 від 12.06.2024 р.)
Погоджено Методичною комісією факультету інформатики та
обчислювальної техніки
(протокол № 10 від 21.06.2024 р.)
