Прикладна загальна теорія систем безпеки
Анотація навчальної дисципліни
Дисципліна «Прикладна загальна теорія систем безпеки» відповідає освітньо-професійній програмі, навчальному та робочому плану підготовки фахівців другого (магістерського) освітньо-професійного рівня вищої освіти за спеціальністю 125 Кібербезпека, і є складовою циклу дисциплін професійної підготовки обов’язкової частини навчального плану.
Метою курсу є отримання студентами навичок практичного використання системного підходу до створення і підтримки систем безпеки, що характеризуються комплексністю та неповною визначеністю умов, а також управління ними.
Програма побудована за вимогами кредитно-модульної системи організації навчального процесу у вищих навчальних закладах, рекомендованої Європейською Кредитно-Трансферною Системою (ЄКТС).
Завдання вивчення дисципліни:
Засвоєння теоретичних знань і отримання практичних навичок щодо побудови систем безпеки та управління ними.
Формування вмінь використання сучасних методів системного підходу при створенні систем безпеки та управлінні ними.
Набуття вмінь щодо розв’язання складних і спеціалізованих задач та практичних проблем у галузі забезпечення інформаційної та\або кібербезпеки, що характеризуються комплексністю та неповною визначеністю умов.
Результати навчання
ПРН2. Інтегрувати фундаментальні та спеціальні знання для розв’язування складних задач інформаційної безпеки та/або кібербезпеки у широких або мультидисциплінарних контекстах.
ПРН3. Провадити дослідницьку та/або інноваційну діяльність в сфері інформаційної безпеки та/або кібербезпеки, а також в сфері технічного та криптографічного захисту інформації у кіберпросторі.
ПРН4. Застосовувати, інтегрувати, розробляти, впроваджувати та удосконалювати сучасні інформаційні технології, фізичні та математичні методи і моделі в сфері інформаційної безпеки та/або кібербезпеки.
ПРН6. Аналізувати та оцінювати захищеність систем, комплексів та засобів кіберзахисту, технології створення та використання спеціалізованого програмного забезпечення.
ПРН11. Аналізувати, контролювати та забезпечувати ефективне функціонування системи управління доступом до інформаційних ресурсів відповідно до встановлених стратегії і політики інформаційної безпеки та/або кібербезпеки організації.
ПРН20. Ставити та вирішувати складні інженерно-прикладні та наукові задачі інформаційної безпеки та/або кібербезпеки з урахуванням вимог вітчизняних та світових стандартів та кращих практик.
ПРН23. Обґрунтовувати вибір програмного забезпечення, устаткування та інструментів, інженерних технологій і процесів, а також обмежень щодо них в галузі інформаційної безпеки та/або кібербезпеки на основі сучасних знань у суміжних галузях, наукової, технічної та довідкової літератури та іншої доступної інформації.
Тематика та види навчальних занять
Для денної форми здобуття освіти
Лекційні заняття
Лекція 1. Основи теорії систем та системний аналіз.
Лекція 2. Методологічні основи процесу прийняття рішень.
Лекція 3. Технології прийняття рішень в інформаційній і кібербезпеці в умовах визначеності, невизначеності, ризику та конфлікту.
Лекція 4. Системний підхід до інформаційної безпеки і кібербезпеки.
Лекція 5. Управління інформаційною безпекою організації.
Лекція 6. Аудит інформаційної безпеки.
Лекція 7. Управління подіями інформаційної безпеки.
Лабораторні заняття
Лабораторне заняття №1. Класифікація, структура і організація систем.
Мета заняття: В роботі виконуються задачі по класифікації систем. Здійснюється представлення об’єкта у вигляді системи. Проводиться декомпозиція і аналіз складних систем. Передбачається набуття практичних навичок побудови дерева цілей для системи безпеки підприємства.
Лабораторне заняття №2. Прийняття рішень в умовах визначеності методами лінійного програмування та методом парних порівнянь.
Мета заняття: Робота присвячена аналізу процесів прийняття рішень. Аналізуються задачі інформаційної безпеки, до яких можуть бути застосовані методи теорії прийняття рішень. Розглядаються методи, що застосовуються в умовах визначеності інформації про ситуацію прийняття рішення, а також розв’язуються відповідні задачі.
Лабораторне заняття №3. Прийняття рішень в умовах ризику та невизначеності.
Мета заняття: Робота передбачає застосування на практиці методів прийняття рішень в умовах ризику та невизначеності. Розглядаються методологічні засади математичної теорії ігор. Розв’язуються задачі на основі матричних ігор в умовах ризику.
Лабораторне заняття №4. Застосування системного підходу до створення системи управління інформаційною безпекою організації.
Мета заняття: Робота присвячена застосуванню системного підходу в процесах управління інформаційною безпекою організації. Передбачається дослідження особливостей використання системного підходу до побудови системи управління інформаційною безпекою організації. Застосовуються методичні підходи до проведення перевірки системи управління інформаційною безпекою на відповідність вимогам стандартів.
Лабораторне заняття №5. Інформаційні ризики та методи їх оцінки.
Мета заняття: В роботі проводиться аналіз дії інформаційних ризиків, розглядаються їх причини та чинники. Передбачено застосування методологій для моделювання ризиків, зокрема STRIDE, PASTA, Trike, VAST, OCTAVE. Розглядається питання мінімізації ризиків, застосовуються методи оцінки ризиків за міжнародними стандартами.
Лабораторне заняття №6. Моделювання процедури надання доступу до автоматизованої інформаційної системи.
Мета заняття: Робота присвячена поглибленню теоретичних знань щодо основних методів розмежування доступу та заснованих на них моделей безпеки. Проводиться аналіз проблем реалізації моделі безпеки в інформаційних системах. Виконується моделювання на прикладі дискреційної моделі та RBAC моделі.
Лабораторне заняття №7. Розв’язування задач управління інформаційною безпекою.
Мета заняття: Робота присвячена розгляду сучасних підходів до управління, контроля та забезпечення інформаційної безпеки організації за допомогою спеціалізованого програмного забезпечення. Досліджуються можливості програмного комплексу OSSIM. З його допомогою розв’язуються задачі управління подіями та інцидентами інформаційної безпеки.
Лабораторне заняття №8. Тестування та аналіз вразливостей у системах кібербезпеки.
Мета заняття: Оволодіти методами тестування систем кібербезпеки, навчитися виявляти та експлуатувати вразливості, а також оцінювати рівень захищеності систем і формулювати рекомендації для покращення їх безпеки.
Для заочної форми здобуття освіти
Лекційні заняття
Лекція 1. Системний підхід до інформаційної безпеки і кібербезпеки.
Лекція 2. Управління інформаційною безпекою організації.
Лабораторні заняття
Лабораторне заняття №1. Інформаційні ризики та методи їх оцінки.
Мета заняття: В роботі проводиться аналіз дії інформаційних ризиків, розглядаються їх причини та чинники. Передбачено застосування методологій для моделювання ризиків, зокрема STRIDE, PASTA, Trike, VAST, OCTAVE. Розглядається питання мінімізації ризиків, застосовуються методи оцінки ризиків за міжнародними стандартами.
Лабораторне заняття №2. Розв’язування задач управління інформаційною безпекою.
Мета заняття: Робота присвячена розгляду сучасних підходів до управління, контроля та забезпечення інформаційної безпеки організації за допомогою спеціалізованого програмного забезпечення. Досліджуються можливості програмного комплексу OSSIM. З його допомогою розв’язуються задачі управління подіями та інцидентами інформаційної безпеки.
Консультації здійснюються впродовж семестру згідно встановленого розкладу.
Індивідуальна робота
При вивченні дисципліни «Прикладна загальна теорія систем безпеки» індивідуальна робота не передбачена навчальним планом.
Форми контрольних заходів та оцінювання результатів навчання
Для денної форми здобуття освіти
В організації навчального процесу при вивченні дисципліни застосовується модульний, поточний та підсумковий контроль. Модульний контроль полягає у виконанні двох модульних контрольних робіт; поточний контроль полягає у виконанні поточних лабораторних робіт, контрольних опитувань теоретичного плану. Підсумковий контроль виконується у формі диференційованого заліку.
Модульні контрольні роботи виконують у письмовій формі. Максимальна оцінка за бездоганне виконання модульної роботи становить 20 балів. Модульна робота складається з теоретичної частини (у формі двох відкритих запитань) та практичної частини (у формі двох задач). Якщо остаточна кількість балів, що набрана здобувачем за модульну роботу, має неціле значення, вона округлюється в бік збільшення.
Накопичувальна частина дисципліни складається з контрольних робіт теоретичного плану та виконання лабораторних робіт.
Контрольне опитування теоретичного плану включає в себе 1 роботу в семестровому модулі № 1 і 1 роботу в семестровому модулі № 2. Кожна з робіт максимально оцінюється в 6 балів, вважається зарахованою і не підлягає перескладанню, якщо здобувач отримав не менше 60% від максимально можливої кількості балів за роботу, тобто не менше 3.5 балів.
Лабораторні роботи здобувачі виконують за темою матеріалу, що розглядається. Виконання всіх поточних лабораторних робіт оцінюється максимально в 48 балів за семестр. Оцінка за виконання кожної лабораторної роботи становить: 6 балів.
Підсумковий контроль – диференційований залік. Оцінка за семестр з навчальної дисципліни «Прикладна загальна теорія систем безпеки» виставляється після закінчення її вивчення (до початку екзаменаційної сесії) за сумарними результатами поточного контролю. Якщо здобувач вищої освіти отримав недостатню кількість балів з навчальної дисципліни, він має право на перескладання дисципліни до початку наступного навчального семестру.
Для заочної форми здобуття освіти
Контрольні заходи складаються з контрольної роботи та лабораторних робіт. Підсумковий контроль передбачає диференційований залік.
Захист контрольної роботи. Бездоганне виконання контрольної роботи оцінюється у 50 балів. При її захисті студент може отримати до 50 балів.
Накопичувальна частина дисципліни складається з виконання лабораторних робіт, виконання всіх робіт оцінюється максимально в 50 балів за семестр. Оцінка за виконання кожної лабораторної роботи становить: 25 балів.
Підсумковий контроль виконується у формі диференційованого заліку. Оцінка за семестр виставляється за сумарними результатами поточного контролю. Максимальна оцінка, яку може отримати студент – 100 балів.
Політика освітнього процесу та умови допуску до підсумкового контролю
Здобувач зобов’язаний своєчасно та якісно виконувати всі отримані завдання; за необхідністю з метою з’ясування всіх незрозумілих під час самостійної роботи питань, відвідувати консультації викладача. Дотримуватись принципів академічної доброчесності.
Робота, яка виконана після встановлених викладачем термінів, не приймається.
Відсутність здобувача на контрольній роботі відповідає оцінці «0».
Під час лекції здійснювати телефонні дзвінки забороняються.
Дозволено користуватися довідковою літературою під час модульних контрольних робіт.