Розробка бізнес-процесів в кібербезпеці
Мета вивчення дисципліни:
- отримання систематичних знань та навичок захисту даних, мереж та систем з урахуванням засобів та технологій розробки бізнес-процесів;
- можливість проєктувати складні програмні застосунки, моделюючи реальний світ;
- отримання комплексного розуміння того, як проєктувати, впроваджувати та підтримувати ефективні бізнес-процеси кібербезпеки;
- формування розуміння принципів, методів та інструментів інтеграції функцій кібербезпеки в загальну систему управління.
Завдання вивчення дисципліни:
здобувач вищої освіти повинен знати:
- методи опису бізнес-процесів;
- як моделювати та документувати бізнес-процеси пов'язані із кібербезпекою;
- концепції конфіденційності, цілісності та доступності інформації;
- підходи до ідентифікації, оцінки, пріоритезації та реагування на кіберризики.
здобувач вищої освіти повинен вміти:
- ідентифікувати критичні процеси та інтегрувати заходи контролю безпеки без шкоди для ефективності бізнесу;
- розробляти процеси реагування на кіберінцеденти та плани відновлення після збоїв, які гарантують стійкість бізнесу;
- проєктувати, впроваджувати, аудіювати та вдосконалювати систему управління кібербезпекою в будь-якій сучасній організації.
Практичне значення та використання отриманих знань:
- процеси, розроблені на основі отриманих знань, допомагають запобігати витокам даних, фінансовому шахрайству та іншим загрозам;
- вміння розробляти чіткі, покрокові інструкції (плани реагування) для мінімізації збитків від кібератак дозволяє компаніям швидко відновлювати роботу після інциденту;
- використання принципів та базових концепцій, як складової частини технології розробки об'єктів професійної діяльності в інформаційних системах економічного, управлінського, виробничого, наукового призначення.
Тематика та види навчальних занять
Для денної форми здобуття освіти
Лекційні заняття
Лекція 1. Визначення кібербезпеки в контексті бізнесу. Принципи конфіденційності, цілісності та доступності.
Лекція 2. Поняття та моделювання бізнес-процесів. Класифікація бізнес-процесів (основні, допоміжні, управління) та принципи моделювання.
Лекція 3. Визначення прецеденту (use case) (верхнього рівня, розгорнутий прецедент, ідеальний (essential use case) та реальний (real use case)) та їх типи. Діаграма прецедентів.
Лекція 4. Використання різних нотацій для візуалізації процесів. Побудова концептуальної моделі. Опис поведінки за допомогою UML-діаграми послідовностей.
Лекція 5. Візуалізація процесів використання за допомогою UML - діаграми діяльності.
Лекція 6. Використання BPMN-діаграм для моделювання і візуалізації бізнес-процесів.
Лекція 7. Методологія управління ризиками: ідентифікація загроз та вразливостей. Аналіз та оцінка ризиків для інформаційної безпеки: кількісні та якісні методи.
Лекція 8. Розробка плану обробки ризиків та критеріїв прийняття ризиків.
Лекція 9. Моделювання сценаріїв атак та оцінка потенційних наслідків для бізнес-процесів.
Лекція 10. Управління ідентифікацією та доступом: розробка процесів контролю доступу на основі принципу найменших привілеїв.
Лекція 11. Управління інцидентами кібербезпеки: планування реагування, стримування та відновлення.
Лекція 12. Системи моніторингу та виявлення загроз: процеси налаштування та реагування.
Лекція 13. Проведення внутрішніх та зовнішніх аудитів кібербезпеки та тестування на проникнення.
Лекція 14. Метрики та ключові показники ефективності (KPI) процесів кібербезпеки.
Лекція 15. Штучний інтелект у захисті, хмарні технології та вдосконалення процесів.
Лабораторні заняття
Лабораторне заняття №1. Побудова діаграми прецедентів.
Мета заняття: Набуття практичних навичок виявлення і формулювання функціональних вимог та опису сценаріїв.
Лабораторне заняття № 2. Побудова діаграм послідовностей.
Мета заняття: Отримання практичних навичок візуалізації взаємодії між об'єктами в системі з урахуванням часової послідовності..
Лабораторне заняття № 3. Побудова діаграм діяльності.
Мета заняття: Отримання практичних навичок застосовувати діаграми діяльності при проєктуванні бізнес процесів..
Лабораторне заняття № 4. Моделювання бізнес-процесів в різних нотаціях.
Мета заняття: Отримання практичних навичок використання різних нотацій для моделювання основних бізнес-процес..
Лабораторне заняття № 5. Ідентифікація загроз, вразливостей та реагування.
Мета заняття: Отримання практичних навичок ідентифікувати типові загрози та існуючі вразливості для адекватного реагування.
Лабораторне заняття № 6. Кількісна оцінка ризиків.
Мета заняття: Навчитися розраховувати очікувані збитки для визначених сценаріїв ризиків, ґрунтуючись на заданих вхідних даних.
Лабораторне заняття № 7. Розробка плану обробки ризиків.
Мета заняття: Отримання практичних навичок запровадження заходів для обробки (уникнення, передача, зниження, прийняття) найкритичніших ризиків (ідентифікованих раніше).
Для заочної форми здобуття освіти
Лекційні заняття
Лекція 1. Моделювання бізнес-процесів в різних нотаціях.
Лекція 2. Ідентифікація загроз, вразливостей та реагування.
Лабораторні заняття
Лабораторне заняття №1. Моделювання бізнес-процесів.
Мета заняття: Набуття практичних навичок аналізу та моделюванню бізнес-процесів.
Лабораторне заняття №2. Ідентифікація, оцінка та розробка плану обробки ризиків.
Мета заняття: Набуття практичних навичок виявлення та обробки ризиків та різних загроз.
Консультації здійснюються впродовж семестру згідно встановленого розкладу.
Індивідуальна робота
Для денної форми здобуття освіти
Не передбачена.
Для заочної форми здобуття освіти
Контрольна робота
Завдання для виконання контрольної роботи здобувачі отримують на установчій лекції.
Робота містить 2 теоретичні питання та 1 комплексне практичне завдання відповідно до варіанту індивідуального завдання..
Обсяг відповіді на кожне теоретичне питання: не менше, ніж 1 сторінка друкованого тексту. Текст відповіді повинен бути виконаний самостійно, а не скопійованим з навчального посібника або згенерований штучним інтелектом.
План виконання:
- аналіз предметної області;
- визначення прецедентів;
- побудова діаграм (в одній нотації);
- моделювання бізнес-процесів з урахуванням кібербезпеки та захисту інформації;
- оформлення контрольної роботи.
Термін надання виконаної контрольної роботи на перевірку – не пізніше, ніж за місяць до початку сесії.
Форми контрольних заходів та оцінювання результатів навчання
Для денної форми здобуття освіти
Поточний контроль полягає у виконанні:
1) 7-ми лабораторних робіт. Лабораторні роботи виконуються в інтегрованих середовищах програмування і полягають в розв'язуванні типових індивідуальних завдань відповідно до теми та мети лабораторних занять. Лабораторні роботи оформлюються у вигляді протоколів. Бездоганне виконання, індивідуального завдання, лабораторних робіт №1 - №7 оцінюються по 6 балів;
2) двох модульних контрольних робіт. Модульні контрольні роботи складаються з теоретичної і практичної частин та проводяться у формі комп'ютерного тестування.
Бездоганне виконання кожної модульної контрольної роботи становить 29 балів.
Завдання вважається виконаним бездоганно, якщо виконані всі пункти та усно надане повне пояснення використаних структурних елементів.
Підсумковий контроль – залік. Максимальна оцінка, яку може отримати здобувач освіти – 100 балів. Мінімальна оцінка, яка дозволяє отримати «зараховано» - 60 балів.
Для заочної форми здобуття освіти
Поточний контроль полягає у виконанні:
1) 2х лабораторних робіт. Лабораторні роботи виконуються індивідуально та оформлюються у вигляді протоколів. Бездоганне виконання оцінюється по 20 балів.
2) захист контрольної роботи. Бездоганне виконання контрольної роботи оцінюється у 30 балів. При її захисті здобувач освіти може отримати до 30 балів.
Завдання вважається виконаним бездоганно, якщо виконані всі пункти та усно надане повне пояснення використаних структурних елементів.
Підсумковий контроль – залік. Максимальна оцінка, яку може отримати здобувач освіти – 100 балів. Мінімальна оцінка, яка дозволяє отримати «зараховано» - 60 балів.
К1. Здатність застосовувати знання у практичних ситуаціях.
К2. Здатність до використання інформаційно-комунікаційних технологій, сучасних методів і моделей інформаційної безпеки та/або кібербезпеки
Програмування
Бази даних та їх захист
- ПРН1. Організовувати власну професійну діяльність, обирати оптимальні методи та способи розв’язування складних спеціалізованих задач та практичних проблем у професійній діяльності, оцінювати їхню ефективність;
- ПРН2. Виконувати аналіз та декомпозицію інформаційно - телекомунікаційних систем.