Upravljanje sigurnošću i revizija informacijskih sustava 2.0 (PDSSSRIS)
Katedra za razvoj informacijskih sustava
NN
1. semestar
Osnovne informacijemdi-information-variantIzvođači nastavemdi-account-groupNastavni plan i programmdi-clipboard-text-outlineModel praćenjamdi-human-male-boardIspitni rokovimdi-clipboard-check-outlineRasporedmdi-calendar-clockKonzultacijemdi-account-voice
Temeljni cilj kolegija jest naučiti polaznike kako uspostaviti cjeloviti sustav informacijske sigurnosti i upravljati sustavom informacijske sigurnosti. Način uspostave i upravljanja sustavom sigurnosti temelji se na poznavanju šire problematike informacijske sigurnosti i izgradnji sustava sigurnosti temeljenog na najboljoj praksi međunarodnog skupa normi ISO 27000 i NIST 800.
Uvod u predmet: objašnjenje metode rada na kolegiju, podjela korisničkih računa za pristup LMS-u (Moodle) na kojem se nalazi nastavni sadržaj preko kojeg se koriste alati za diskusijske skupine, odabir tema za projektne radove te predaja radova u korisničkom okruženju.
Razlozi izgradnje sustava informacijske sigurnosti: Oslonjenost poslovnog sustava na informacijski sustav, principi podjele informacija u zajedničkim informacijskim sustavima. Pregledi stanja ovog područja u svijetu i RH. Ciljevi sigurnosti IS-a. Mogući aspekti i razine sigurnosti IS-a. Pregled normi (standarda) iz ovog područja. Načini, aspekti i parametri organizacijske sigurnosti IS-a. Pridobivanje potpore poslovodstva.
Koraci izgradnje sustava sigurnosti prema skupu normi ISO/IEC 27000, NIST 800. Definiranje politika informacijske sigurnosti, upravljanje informacijskom imovinom, procjene sigurnosnih rizika, pregled kvalitativnih i kvantitativnih metoda procjene rizika, odabir odgovarajućih kontrola. Upravljanje sigurnosnim rizicima u malim i srednjim poslovnim sustavima. Pristupi u korporacijskim sustavima. Uloga voditelja informacijske sigurnosti (tzv. CISO, Chief Information Security Officer). Prezentiranje i komunikacija prema upravi organizacije i upravnom/nadzornom odboru. Podizanje svijesti o informacijskoj sigurnosti.
Odabir mjera za smanjenje rizika i obrada rizika. Upravljanje razvojem sustava sigurnosti. Prikaz načina izrade bilance informacijske imovine, procjene značaja podatkovnog sadržaja. Upravljanje izradom procjene izvora, oblika i intenziteta prijetnji.
Mjere za smanjivanje rizika: otpornost pojedinog materijalnog nositelja prema oblicima prijetnji. Programske mjere zaštite informacijskog sustava.
Tehničke mjere zaštite informacijskog sustava. Fizičke mjere zaštite informacijskog sustava. Organizacijske mjere zaštite informacijskog sustava. Pravne i druge normativne mjere zaštite informacijskog sustava.
Propisi Europske zajednice i NATO-a iz područja sigurnosti informacija, Nacionalni program informacijske sigurnosti Republike Hrvatske. Hrvatsko zakonodavstvo iz ovog područja.
Upravljanje razvojem cjelovitog sustava informacijske sigurnosti. Organizacija projekta i sudionici. Određivanje područja primjene, izrada plana projekta, proizvodi i usluge po fazama projekta. Organizacijska struktura za upravljanje informacijskom sigurnošću. Nadzor tijekom realizacije projekta. Certifikacija sustava informacijske sigurnosti.
Sadržaj seminara/vježbi
Ishodi učenja kolegija
Razumjeti i analizirati značaj cjelovitog sustava informacijske sigurnosti. Time se određuje i oslonjivost poslovnog sustava na informacijski sustav
Poznavati i primijeniti metode i norme za uspostavu cjelovitih sustava informacijske sigurnosti te upravljanja procjenom značaja informacijske imovine, procjenom oblika i intenziteta prijetnji te procjenom rizika
Analizirati i prepoznati informacijsku imovinu, sigurnosne prijetnje i druge čimbenike nužne za procjenu ranjivosti informacijskog sustava i poduzimanje potrebnih mjera za smanjivanje ranjivosti
Predložiti i osmisliti program razvoja i uvođenja sustava informacijske sigurnosti u poslovni sustav i voditi takav projekt do njegove certifikacije
Ishodi učenja programa
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
Osnovna literatura
Krakar, Z; Tomić Rotim, S; Žgela, M; Arbanas, K; Kišasondi, T: Korporativna informacijska sigurnost; Fakultet organizacije i informatike, 2014, Varaždin
Calder, A: IT governance : a manager’s guide to data security and ISO 27001/ISO 27002
ISO/IEC 27002:2013: Information technology, Security techniques: Code of practice for information security controls
ISO/IEC 27001:2013: Information technology, Security techniques: Information Security Management Systems, Requirements.
National Institute of Standards and Technology: Special Publication series 800 and 1800 (http://csrc.nist.gov/publications/PubsSPs.html)
ISACA Business Model for Information Security
ISACA Official CISM review manual
(ISC)2 Official Guide to the CISSP CBK Reference 5th Edition
Dopunska literatura
Dopunska literatura definira se kroz mentorski rad sa polaznikom i vezana je uz konkretnu domenu specijalizacije polaznika
Slični kolegiji
Redoviti studentiIzvanredni studenti
U kalendaru ispod se nalaze konzultacije predmetnih nastavnika, no za detalje o konzultacijama možete provjeriti na profilu pojedinog predmetnog nastavnika.