Навчання студентів на кафедрі УІКБ тому, що потрібно і так, як потрібно в унікальній дисципліні "Аудит інформаційної безпеки"

Кафедра "Управління інформаційною та кібернетичною безпекою" Навчально-наукового інституту захисту інформації Державного університету телекомунікацій вчить студентів тому, що потрібно і так, як потрібно -теоретично і практично.

Інформаційна безпека (ІБ) будь-якої організації повинна бути на високому рівні і її забезпечення в увазі керівника кожної управлінської ланки постійним і ефективним. Не одна високонадійна система або окремий пристрій IT організації не зможе нормально функціонувати без проведення організаційних і технічних заходів щодо забезпечення ІБ.

Для того, щоб об'єктивно оцінити - чи відповідає поточний рівень захищеності інформаційних ресурсів і стан систем ІБ будь-якої організації  нормативним вимогам (міжнародним стандартам в галузі ІБ) - повинен проводитися аудит ІБ. Саме аудит ІБ допомагає виявити існуючі недоліки в системі захисту інформації і виробити необхідні рекомендації по їх усуненню.

Основні напрямки проведення аудиту ІБ:

• Оцінка організаційних заходів захисту інформації (аналіз організаційно-розпорядчих документів і аналіз бізнес-процесів).
• Оцінка програмно-апаратних засобів захисту інформації (вивчення технічної документації та аналіз конфігураційних налаштувань засобів захисту інформації, виявлення вразливостей за допомогою спеціальних технічних засобів).
• Оцінка фізичної безпеки ІТ-інфраструктури (перевірка технологічних і офісних приміщень, в яких розміщено обладнання і обробляється конфіденційна інформація).

Додатковими заходами з аналізу ІБ в процесі проведення аудиту, можуть бути:

• Оцінка поточного рівня ІБ (детальна інформація про стан рівня захищеності інформаційних ресурсів і виявлених вразливостей в системі захисту інформації - з аналізом внутрішніх і зовнішніх загроз, які можуть бути реалізовані через ці виявлені вразливості).
• Рекомендації щодо підвищення рівня ІБ в компанії (розробка політики забезпечення ІБ, приведення організаційно-розпорядчих документів з ІБ у відповідність з вимогами, рекомендації по впровадженню додаткових засобів захисту інформації).
• Проектування комплексної автоматизованої системи інформаційної безпеки (оптимізація існуючої конфігурації ІТ-інфраструктури і налаштувань існуючих засобів захисту інформації).
• Оцінка фізичної безпеки ІТ-інфраструктури (перевірка технологічних і офісних приміщень, в яких розміщено обладнання і обробляється конфіденційна інформація).

Додатковими заходами з аналізу ІБ в процесі проведення аудиту можуть бути:

• Оцінка поточного рівня ІБ (детальна інформація про стан рівня захищеності інформаційних ресурсів і виявлених вразливостей в системі захисту інформації - з аналізом внутрішніх і зовнішніх загроз, які можуть бути реалізовані через ці виявлені вразливості).
• Рекомендації щодо підвищення рівня ІБ в компанії, в числі яких (розробка політики забезпечення ІБ, приведення організаційно-розпорядчих документів з ІБ у відповідність з вимогами, рекомендації по впровадженню додаткових засобів захисту інформації).
• Проектування комплексної автоматизованої системи інформаційної безпеки (оптимізація існуючої конфігурації ІТ- інфраструктури і налаштувань існуючих засобів захисту інформації).

Для навчання студентів вмілому і якісному проведення аудиту на кафедрі УІКБ в поточному навчальному році була впроваджена нова унікальна дисципліна "Аудит інформаційної безпеки".

Дисципліна «Аудит інформаційної безпеки» відноситься до базової частини навчального плану по ряду напрямків.

Основне призначення даної дисципліни полягає в ефективному освоєнні теоретичних основ забезпечення інформаційної безпеки організацій: у формуванні вміння і практичних навичок застосування методів і засобів захисту інформації. У зв'язку з цим, основним завданням викладання дисципліни «Аудит інформаційної безпеки» є підготовка економістів і менеджерів, що володіють знаннями, навичками, вміннями у сфері забезпечення інформаційної безпеки організацій різних форм власності.

В ході вивчення дисципліни студенти повинні комплексно застосовувати придбані знання, навички та вміння.

Мінімальний рівень засвоєння змісту дисципліни передбачає:

• Знайомство з основними поняттями аудиту інформаційної безпеки, інформаційними загрозами, їх класифікацією, і можливими наслідками для організацій різних форм власності;
• З'ясування питань забезпечення інформаційної проблем створення (концептуального проектування) систем аудиту інформаційної безпеки;
• Ухвалення обґрунтованих рішень по вибору політики аудиту інформаційної безпеки (ІБ) і оцінки ефективності інвестицій в ІБ. Змістовні аспекти дисципліни «Аудит інформаційної безпеки» логічно пов'язані з такими навчальними дисциплінами як: «Інформатика», «Інформаційні системи в економіці», «Менеджмент» , «Маркетинг», «Фінанси», «Бухгалтерський облік» та ін.

Тематичним планом викладання дисципліни передбачаються наступні види занять: лекції, практичні заняття, самостійна робота. Контроль знань учнів здійснюється в ході тестування і складання іспиту. Знання, навички та вміння, набуті в процесі вивчення дисципліни в ході лекцій, лабораторних занять і самостійної роботи, повинні всебічно використовуватися студентами на завершальному етапі навчання в бакалавраті і при навчанні в магістратурі, а також в процесі подальшої професійної діяльності при вирішенні широкого класу аналітичних задач фінансово-економічного характеру.

Реалізація компетентнісного підходу при вивченні дисципліни «Аудит інформаційної безпеки» передбачає широке використання в навчальному процесі активних та інтерактивних форм проведення занять (комп'ютерних програм, ділових ігор з актуальних проблем, розбір конкретних ситуацій) в поєднанні з позааудиторної роботою з метою формування і розвитку професійних навичок студентів .

В рамках даного курсу можливі зустрічі з представниками компаній різних форм власності та державних органів, які діляться досвідом і проблемами при проведенні у компаніях аудиту ІБ.

Всі заняття, що проводяться з дисципліни, в тому числі і самостійна робота студентів, передбачають поєднання передових методичних прийомів з новими освітніми інформаційними технологіями. На заняттях використовуються сучасні форми і методи навчання (тренінги, дослідницькі методи, проблемне і проектне навчання), спрямовані на розвиток творчих здібностей і самостійності студентів, прищеплення їм інтересу до дослідницької роботи, формування переконання про необхідність вирішення будь-яких прикладних задач шляхом використання інноваційних інформаційних технологій.

Лекційні заняття проводяться в спеціалізованих аудиторіях із застосуванням мультимедійних технологій та передбачають розвиток отриманих теоретичних знань з використанням рекомендованої навчальної літератури та інших джерел інформації, в тому числі інформаційних ресурсів мережі Інтернет.

Практичні заняття проводяться в комп'ютерних класах із застосуванням спеціалізованих інформаційних систем, комплексів і технологій бізнесіндустріі. Тематика практичних завдань орієнтована на розгляд аналітичних типових і дослідницьких завдань фінансово-економічного характеру.

В ході самостійної роботи, при підготовці до планових занять та іспиту студенти аналізують поставлені викладачем завдання з використанням навчально-методичної літератури, інформаційних систем, комплексів і технологій, матеріалів, знайдених в глобальній мережі Інтернет.