Управління ризиками інформаційної безпеки

Схема розділу

• Виберіть розділ Загальне

  Згорнути Розгорнути

  Загальне

  Згорнути все Розгорнути всі

  • Виберіть дію Оголошення

    

    Оголошення Форум
  • Виберіть дію 1. Опис навчальної дисципліни

    Курс присвячений теоретичним основам і практичним методам управління ризиками інформаційної безпеки. Розглядаються поняття ризику, загроз, вразливостей і впливів; моделі та процеси оцінювання ризиків; методології та стандарти управління ризиками (ISO/IEC 27005, ISO 31000, NIST SP 800-30). Особливу увагу приділено практичним аспектам ідентифікації активів, визначенню потенційних загроз і сценаріїв атак, кількісним і якісним методам оцінки ризиків, розробці стратегій реагування, а також впровадженню заходів контролю для мінімізації ризиків. Розглядаються сучасні інструменти аналізу ризиків і підходи до моніторингу ефективності системи управління безпекою.

    Компетентності, отримані під час вивчення дисципліни «Управління ризиками інформаційної безпеки», є базовими для подальшого опанування дисциплін у галузі кібербезпеки, інформаційного менеджменту, а також для виконання завдань виробничої практики та кваліфікаційної роботи.

    Метою вивчення навчальної дисципліни «Управління ризиками інформаційної безпеки» є формування у студентів системного розуміння процесів управління ризиками у сфері інформаційної безпеки, набуття знань щодо методів аналізу, оцінювання та оброблення ризиків, а також розвиток практичних навичок застосування міжнародних стандартів і засобів автоматизації процесів ризик-менеджменту.

    У результаті вивчення навчальної дисципліни «Управління ризиками інформаційної безпеки» студент зможе:

    • ідентифікувати активи, загрози та вразливості інформаційних систем;
    • застосовувати методи якісної та кількісної оцінки ризиків;
    • формувати та аналізувати ризик-профіль організації;
    • розробляти та обґрунтовувати стратегії управління ризиками;
    • впроваджувати та оцінювати ефективність заходів контролю безпеки;
    • використовувати сучасні стандарти (ISO/IEC 27005, NIST SP 800-30, ISO 31000) та програмні інструменти для управління ризиками.

  • Виберіть дію Викладач

    Викладач

    Добровольський Геннадій Анатолійович, кандидат технічних наук, доцент кафедри комп'ютерних наук, І корпус, ауд.39. Telegram: https://t.me/gen_dobr
    
    CV: https://docs.google.com/document/d/1d7ptNpOYMEwrzfNrO1Zdp64SqCLx0msqUQya1W0vQT0/edit?usp=sharing    

• Виберіть розділ Теоретичні матеріали

  Згорнути Розгорнути

  Теоретичні матеріали

  • Виберіть дію Зміст теоретичних матеріалів

    1. Основні поняття управління ризиками інформаційної безпеки
    2. Стандарт ISO 31000
    3. Стандарт ISO/IEC 27005
    4. Стандарти та нормативно-правова база управління ризиками
    5. Нормативні документи України та ЄС у сфері кібербезпеки
    6. Активи інформаційної системи
    7. Визначення загроз і вразливостей
    8. Огляд типових кіберзагроз для інформаційних систем (SOC, CERT звіти)
    9. Методи оцінки ризиків
    10. Методи аналізу ризиків інформаційної безпеки
    11.    Карта ризиків для обраного об’єкта
    12. Розробка стратегій управління ризиками
    13. Аналіз прикладів політик безпеки з міжнародних практик (ISO, NIST)
    14. Реалізація заходів контролю безпеки
    15. Огляду заходів контролю безпеки за ISO/IEC 27001
    16. Огляду заходів контролю безпеки за ISO 31000
    17. Моніторинг ризиків та ефективності контролів
    18. Приклад схеми моніторингу ризиків
    19. Безперервне вдосконалення процесів ризик-менеджменту
    20. Аналіз зрілості процесів управління ризиками
    21. Приклад аналізу ризиків для організації

• Виберіть розділ Лабораторні роботи

  Згорнути Розгорнути

  Лабораторні роботи

  • Виберіть дію 1 Ознайомлення зі стандартами та регламентами упра...

    1 Ознайомлення зі стандартами та регламентами управління ризиками ІБ
    2 Ідентифікація активів та загроз організації.
    3 Аналіз вразливостей за відкритими базами даних (CVE, NVD, OWASP).
    4 Побудова матриці ризиків.
    5 Оцінка ризиків за методологією OCTAVE Allegro.
    6 Формування плану оброблення ризиків.
    7 Розробка політики безпеки для зниження ризиків.
    8 Моніторинг та аудит ризиків.
    9 Комплексний аналіз ризиків для обраного підприємства.
    10 Презентація результатів управління ризиками.

• Виберіть розділ Контроль знань

  Згорнути Розгорнути

  Контроль знань
• Виберіть розділ Рекомендована література

  Згорнути Розгорнути

  Рекомендована література

  • Виберіть дію Рекомендована література

    1. Якименко Ю. М., Легомінова С. В., Щавінський Ю. В., Рабчун Д. І. Управління інцидентами інформаційної безпеки. Сучасні методи і засоби : підручник. — Київ : Державний університет телекомунікацій, 2022. — 308 с. — URL:https://duikt.edu.ua/uploads/p_2080_57565352.pdf?file=p_2080_57565352.pdf

    2. Гребенюк А. М. Процес управління ризиками безпеки інформаційно-комунікаційних систем : навч. посіб. / А. М. Гребенюк. — [Н.д.] : [Б.в.], 2020. — URL:https://er.dduvs.edu.ua/bitstream/123456789/5717/1/%D0%9F%D0%9E%D0%9C%D0%9E%D0%81%D0%AF%D0%9D%D0%98%D0%9A%20%D0%BE%D0%BA%D1%83%D0%BF%D0%BE%D0%BC%D0%AE%D0%BD%D0%BE%D0%98%D0%BA%20%D0%BE%D0%BA%D1%83%D0%BF%D0%BE%D0%BC%D0%AE%D0%BA%20%D0%BE%D0%BA%D1%83%D0%BF%D0%BE%D0%BC%D0%BC%D0%9F%D0%90%D0%A1%D0%90.pdf

    3. Wheeler E. Security Risk Management: Building an Information Security Risk Management Program from the Ground Up. — Burlington, MA : Elsevier / Syngress, 2011. — 368 p. — URL:https://www.oreilly.com/library/view/security-risk-management/9781597496155/

    4. Agrawal M., Campoe A., Pierce E. Information Security and IT Risk Management. — Hoboken, NJ : Wiley, 2020. — 434 p. — URL:https://www.wiley.com/en-gb/Information%2BSecurity%2Band%2BIT%2BRisk%2BManagement%2C%2B1st%2BEdition-p-x000601498

    5. Wingreen S., Samandari H. Information Technology Security and Risk Management: Inductive Cases for Information Security. — New York : Routledge, 2023. — URL:https://www.routledge.com/Information-Technology-Security-and-Risk-Management-Inductive-Cases-for-Information-Security/Wingreen-Samandari/p/book/9781032206158

  • Виберіть дію Електронні ресурси

    Електронні ресурси

    1. ISACA — «IT Risk Resources» https://www.isaca.org/resources/it-risk

    2. National Institute of Standards and Technology (NIST) — RMF Online Introductory Courses https://csrc.nist.gov/projects/risk-management/rmf-courses

    3. National Cyber Security Centre (NCSC) — Cyber Security Toolkit for Boards https://www.ncsc.gov.uk/files/NCSC_Cyber-Security-Board-Toolkit-V3.pdf

    4. Actuarial Institute (USA) — Cyber Risk Toolkit https://actuary.org/wp-content/uploads/2022/06/CyberRiskToolkit.June22.pdf

    5. Rapid7 — Info Sec Risk Management (ISRM) fundamentals https://www.rapid7.com/fundamentals/information-security-risk-management/

    6. ORX Association — Cyber & information security risk management event data https://orx.org/cyber

    7. Cybrary — On-line курси з кібербезпеки / управління ризиками https://www.cybrary.it/