Upravljanje sigurnošću i revizija informacijskih sustava 2.0 (PDSSSRIS)
Katedra za razvoj informacijskih sustava
NN
1. semestar
Osnovne informacijemdi-information-variantIzvođači nastavemdi-account-groupNastavni plan i programmdi-clipboard-text-outlineModel praćenjamdi-human-male-boardIspitni rokovimdi-clipboard-check-outlineRasporedmdi-calendar-clockKonzultacijemdi-account-voice
• Razumijevanje najčešćih sigurnosnih rizika i načina prodora u informacijske sustave kao i oblika zlouporabe informacija/podataka. Iz oblika zlouporabe informacija/podataka određuje se sigurnosni rizik, tip ranjivost te način djelovanja. • Poznavanje i primjena metoda potrebnih za upravljanje mogućim sigurnosnim rizicima, načinima njihovog praćenja te kontrolom i revizijom učinjenih aktivnosti. • Analiza i prepoznavanje potrebnih mjera za kvalitetnim upravljanjem sigurnosnim rizicima i smanjenjem mogućih šteta. Procjena sigurnosnog rizika po različitim kategorijama informacijske imovine, način upravljanja sigurnosnim rizicima te određivanje strategije sigurnosti temeljem toga. • Sinteza i prezentacija programa upravljanja ranjivostima/prijetnjama/rizicima u realnom poslovnom/informacijskom sustavu. • Vrednovanje izvedenih aktivnost tijekom realizacije kolegija.
Uvod u predmet. Pojam sigurnosnog rizika. Vrste sigurnosnih rizika. Odnos sigurnosni rizik – ranjivost – sigurnosni incident. Procjena sigurnosnog rizika. Načini nastanka sigurnosnih rizika. Pregled mogućih prodora u informacijske sustave i njihove značajke. Traženje sigurnosnih propusta. Analize ranjivosti i moguće posljedice tih ranjivosti. Vjerojatnost njihova nastanka.
Metrike za određivanje sigurnosnih rizika. Kvantitativne i kvalitativne metrike. Metode za procjenu rizika.
Alati za procjenu rizika
Oblici i posljedice nepostojanja organizacije sigurnosti, definiranje potrebnih odgovornosti i njihovih nositelja, obaveze treće strane u pristupima informacijskim resursima
Međunarodne norme i koncepti upravljanja sigurnosnim rizicima. Iskustva dobre prakse
Proces upravljanja sigurnosnim rizicima. Uspostava registra informacijske imovne. Uspostava PDCA ciklusa kao dio procesa upravljanja sigurnosnim rizicima. Rezultat procjene sigurnosnog rizika
Nepoštivanje međunarodnih propisa iz područja sigurnosti informacija/podataka. Najčešći oblici kršenja nacionalnih propisa i nepoštivanje nacionalnog programa informacijske sigurnosti, te njihov utjecaj na upravljanje sigurnosnim rizicima. Europske direktive iz domene kibernetičke sigurnosti, Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
Sadržaj seminara/vježbi
Ishodi učenja kolegija
Razumjeti značaj podataka i informacija u kontekstu mogućih zlouporaba informacijskog sustava
Razumjeti tehničke, organizacijske i ljudske faktore koji su povezani i koji utječu na rizike u informacijskoj sigurnosti
Procijeniti sigurnosne rizike informacijskog sustava
Poznavati i primijeniti sigurnosne norme i koncepte iz domene upravljanja rizicima u informacijskoj sigurnosti
Poznavati i primijeniti klasifikacijski model ranjivosti te načina postupanja s ranjivostima
Analizirati i primijeniti potrebne mjere za rad sa ranjivostima i prijetnjama
Ishodi učenja programa
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
Primijeniti iskustva dobre prakse prilikom dizajna i implementacije kontrola informacijske sigurnosti u razvoju i implementaciji interneta stvari
Analizirati, preporučiti i odabrati sigurnosne zahtjeve prilikom dizajna, razvoja i implementacije IoT rješenja i usluga
Primijeniti metodologije procjene i umanjivanja sigurnosnih rizika, te postupke upravljanja rizicima u kontekstu informacijske sigurnosti i zaštite privatnosti
Analizirati, procijeniti i unaprijediti odgovarajuća tehnološka i programska rješenja za sigurno IoT okruženje
Analizirati, razviti, primijeniti i vrednovati metode i načine zaštite IoT okruženja s ciljem sprečavanja narušavanja njegova integriteta, detekcije neovlaštenih aktivnosti i napada, te uspostave odgovarajućih sigurnosnih kontrola
Osnovna literatura
Tipton, H.F., Krause, M. Information Security Management Handbook (Part 1 – Information Security and Risk Management, Access Control), Sixth Edition, Auerbach publications, CRC Press, 2010.
Vacca, J. R. Computer and Informatio Security Handbook, 3rd Edition, Morgan Kaufmann, 2017.
Peltier, T. R. Information Security Risk Analysis, Second Edition, 2005.
ISO/IEC 27003 — Information security management system implementation guidance
ISO/IEC 27004 — Information security management — Measurement
ISO/IEC 27005 — Information security risk management
ISACA RISK IT Framework, 2nd Edition
Dopunska literatura
Andress, J. The Basics of Information Security – Understanding the Fundamentals of InfoSec in Theory and Practice, Syngress, 2011.
Hayden, L. IT Security Metrics – A Practical Framework for Measuring Security and Protecting Data, McGraw Hill, 2010.
Talabis, M., Martin, J., Information Security Risk Assessment Toolkit: Practical Assessments through Data Collection and Data Analysis 1st Edition, Syngrees, 2013.
Wheeler, E., Security Risk Management: Building an Information Security Risk Management Program from the Ground Up, Syngrees, 2017.
Peltier, T. R., Information Security Risk Analysis 3rd Edition, CRC Press, 2010.
Schoenfield, B. S. E., Securing Systems: Applied Security Architecture and Threat Models, CRC Press, 2015.
Kohnke, A., Sigler, K., Shoemaker, D., Implementing Cybersecurity: A Guide to the National Institute of Standards and Technology Risk Management Framework (Internal Audit and IT Audit), CRC Press, 2018.
Colder, A., Watkins, S. G., Information Security Risk Management for ISO 27001/ISO 27002, IT Governance 2019.
Slični kolegiji
Redoviti studentiIzvanredni studenti
U kalendaru ispod se nalaze konzultacije predmetnih nastavnika, no za detalje o konzultacijama možete provjeriti na profilu pojedinog predmetnog nastavnika.