Sadržaj se učitava...
mdi-home Početna mdi-account-multiple Djelatnici mdi-script Studiji mdi-layers Katedre mdi-calendar-clock Raspored sati FOI Nastava search apps mdi-login
Sigurnost informacijskih sustava
Information Systems Security
2023/2024
6 ECTSa
Informacijski i poslovni sustavi 1.2 (IPS)
Katedra za informatičke tehnologije i računarstvo
M1
6. semestar
 Osnovne informacijemdi-information-variant Izvođači nastavemdi-account-group Nastavni plan i programmdi-clipboard-text-outline Model praćenjamdi-human-male-board Ispitni rokovimdi-clipboard-check-outline Rasporedmdi-calendar-clock Konzultacijemdi-account-voice
Izvođenje kolegija
Studij Studijski program Semestar Obavezan
Informacijski i poslovni sustavi 1.2 (IPS) Razvoj programskih sustava 6 obavezan
Cilj kolegija
Razumijevanje značenja sigurnosti i zaštite IS u funkcionalnosti ICT i poslovnih sustava. Ovladavanje preporukama i kontrolama prema normi ISO 27002. Razumijevanje razina rizika pojedinih oblika prijetnji kategoriziranim skupinama sadržaja. Upoznavanje s postojećim kriptografskim primitivima. Osvješćivanje važnosti zaštite od zloćudnog koda. Analiziranje protokola u sigurnom i nesigurnom komunikacijskom kanalu. Razumijevanje ranjivosti aplikacija. Usvajanje preporuka i praksi za aplikacijsku sigurnost.
Preduvjeti
Operacijski sustavi (IPS 1.2)
Mreže računala (IPS 1.2)
Matematika 2 (IPS 1.2)
Norma kolegija
Predavanja
 30 sati
Vježbe u praktikumu
 30 sati
Nastavnik Uloga na kolegiju Oblik nastave Tjedana Sati Grupa
Grd Petra Nositelj Predavanja 7 2 1
Tomičić Igor Nositelj Predavanja
Vježbe u praktikumu
Seminar 		8
8
7 		2
2
2 		1
2
3
Tuličić Domagoj Suradnik Seminar
Vježbe u praktikumu 		7
8 		2
2 		1
2
Sadržaj predavanja
  • Važnost sigurnosti informacijskih sustava - 4 sata
    Pojam sigurnosti informacijskog sustava, razlozi osiguranja informacijskog sustava. Razvoj sustava sigurnosti i zaštite informacijskih sustava do danas, s naznakama mogućih pravaca razvoja. Važnost informacijskih resursa, prijetnje na resurse, vrste i oblici prijetnji kroz povijest, motivi prijetnji, prijetnje strojnim i građevinskim elementima informacijskog sustava, prijetnje programskoj osnovici, prijetnje komunikacijskom sustavu, prijetnje usmjerene prema djelatnicima, modeliranje prijetnji. Pojam računalnog kriminala, nastanak i razvoj računalnog kriminala, pojavni oblici, nositelji nedozvoljenih aktivnosti primjenom informacijske tehnologije.
  • Izgradnja i upravljanje sustavom informacijske sigurnosti – 2 sata
    Planiranje i projektiranje sigurnosti i zaštite prilikom izgradnje informacijskih sustava. Pregled normi (standarda) iz područja informacijske sigurnosti. Načini, aspekti i parametri organizacijske sigurnosti IS-a. Koraci izgradnje sustava sigurnosti prema skupu normi ISO/IEC 27000, NIST 800 i OWASP. Definiranje politika informacijske sigurnosti, upravljanje informacijskom imovinom, procjene sigurnosnih rizika, pregled kvalitativnih i kvantitativnih metoda procjene rizika, odabir odgovarajućih kontrola. Uskladivost sustava informacijske sigurnosti.
  • Analiza rizika - 2 sata
    Analiza rizika, procjena rizika pojedinom sadržaju, kvantitativne mjere procjene, područja primjene ove metode i kvalitativne mjere procjene, područja primjene ove metode. Upravljanje rizikom, analiza vrsti rizika, određivanje prioriteta, plan sigurnosti informacijskog sustava. Plan oporavka od katastrofe. Valorizacija uspješnosti metoda osiguranja.
  • Mjere zaštite - 10 sati
    Načini ostvarivanja organizacijskih, programskih, tehničkih i fizičke mjera zaštite. Granice organizacijskih, programskih, tehničkih i fizičkih mjera zaštite. Mjere zaštite informacijskih sustava, materijalni nositelj kao mjera zaštite. Programske mjere zaštite, zaštita na razini operacijskog sustava, zaštita na razini aplikativne programske potpore, sigurnosna kopija s promjenom materijalnog nositelja kao mjera zaštite, zaštita kriptografskim mjerama zaštite, simetrični kripto sustavi, asimetrični kripto sustavi. Zaštita od malicioznog koda, povijest nastanka malicioznog koda, pojam malicioznog koda i vrste malicioznog koda, putevi zaraze malicioznim kodom, posljedice napada, vrste malicioznog koda prema načinu skrivanja, vrste malicioznog koda prema načinu djelovanja, metode prevencije u zaštiti od malicioznog koda, metode za otkrivanje malicioznog koda, mogućnosti pojedinih programskih rješenja za identifikaciju malicioznog koda, «liječenje» i oporavak zaraženog sustava. Tehničke mjere zaštite, mjere zaštite na razini računalnog sustava, mjere povećanja redundance u opremi zavisno o riziku nestanka sadržaja i kontinuitetu funkcionalnosti sustava, mjere zaštite postavljanjem alternativnih sustava napajanja, otežavanje ulaska u štićeni prostor, nadzor prostora u vrijeme neprijavljenog boravka, sigurnosne brave, čip kartice, biometrijska provjera, otisak prsta, geometrija šake, geometrija glave, izgled šarenice oka, provjera glasa, kombinirane mjere provjere, uvjeti primjene pojedine mjere. Fizičke mjere zaštite, građevinske mjere zaštite, smještaj osjetljive informatičke opreme u širem prostoru, smještaj opreme unutar zgrade, mjere protupožarne zaštite, preventivne mjere, mjere identifikacije i mjere gašenja nastalog požara. Organizacijske mjere zaštite, odabir norme, primjena norme, razrada potrebnih organizacijskih i provedbenih akata kao organizacijska mjera, sustav certificiranja primijenjenih mjera prema pojedinoj normi. Mjere zaštite iz oblasti prava, odnos države prema sustavu sigurnosti kroz donošenje pojedinih akata, normativni akti unutar poslovnog sustava koji se odnose na sigurnost. Provjera valjanosti poduzetih mjera zaštite.
  • Mrežna sigurnost - 2 sata
    Pregled slojeva po ISO OSI i TCP/IP modelu, pregled strukture paketa, zaglavlja i enkapsulacija kroz slojeve. Aktivni i pasivni mrežni napadi. Tipovi i elementi mrežne sigurnosti. Mrežno filtriranje. Kontrola pristupa. Ranjivosti i napadi po slojevima. Sigurnost transportnog sloja, digitalni certifikati, algoritmi razmjene ključeva i integriteta podataka, sigurnost mrežnog sloja (IPSec).
  • Aplikacijska sigurnost - 10 sati
    Pojam aplikacijske sigurnosti, razvoj aplikacijske sigurnosti kroz povijest. Sigurnost mobilnih aplikacija, sigurnost web aplikacija, IoT sigurnost, sigurnost sustava za upravljanje sadržajem, sigurnost baza podataka. Napadi, vrste napada, napadi na autentikacijske mehanizme, napadi na upravljanje sesijama, napadi na kontrole pristupa, napadi na spremnike podataka, napadi na backend, napadi na aplikacijsku logiku, napadi na korisnika. OWASP, OWASP top 10. Osnovne tehnologije razvoja aplikacija, mapiranje aplikacije, modeliranje prijetnji. Ranjivosti aplikacija, analiza ranjivosti, mjere zaštite aplikacija. Testiranje sigurnosti aplikacija, statičko testiranje, dinamičko testiranje, interaktivno testiranje, penetracijsko testiranje. Alati za testiranje sigurnosti aplikacija. Preporuke i prakse za aplikacijsku sigurnost, standardi za sigurno kodiranje, uzorci i okviri sigurnog dizajna, praksa sigurnog kodiranja
 Sadržaj seminara/vježbi
Ishodi učenja kolegija
  • Protumačiti značenje sigurnosti i zaštite IS u funkcionalnosti ICT i poslovnih sustava
  • Ispitati funkcionalnost i usklađenost sustava sigurnosti s preporukama i kontrolama prema normi ISO 27002
  • Izračunati razinu rizika pojedinih oblika prijetnji kategoriziranim skupinama sadržaja
  • Pojasniti načine zaštite informacijskog sustava od pojedinih vrsta napada
  • Primijeniti postojeće kriptografske primitive
  • Analizirati aspekte zloćudnog koda
  • Analizirati ranjivosti, napade i mjere zaštite mrežnih protokola
  • Analizirati sigurnosne aspekte sustava autentikacije i autorizacije
  • Opisati moguće napade na informacijske sustave
 Ishodi učenja programa
  • razumjeti stanje i trendove razvoja suvremenih informacijskih i komunikacijskih tehnologija (ICT), razumjeti njihov utjecaj na pojedinca, organizaciju i društvo te procijeniti njihovu primjenjivost u zadanom kontekstu
  • razumjeti i primijeniti ključne aspekte informacijske tehnologije (programiranje, algoritmi, strukture podataka, baze podataka i znanja
  • razumjeti i primijeniti suvremene tehničke koncepte i prakse u informacijskim tehnologijama (arhitektura računala, operacijski sustavi, mreže računala)
  • razumjeti i primijeniti matematičke metode, modele i tehnike primjerene rješavanju problema iz područja informacijskih i poslovnih sustava
  • razumjeti bitne čimbenike koji utječu na poslovanje organizacije i pojedinaca te primijeniti osnovne metode i koncepte planiranja, upravljanja i obračuna poslovanja
  • analizirati stanje, identificirati prilike i definirati probleme s kojima se susreću organizacije i pojedinci u primjeni ICT, te formulirati rješenja uz primjenu ICT
  • razumjeti osnovna vertikalna područja primjene ICT (industrija, zdravstvo, promet, turizam, država i sl.), te horizontalne aplikacije (uredski sustavi, DSS, CRM, ERP, DMS i sl.)
  • razumjeti i primijeniti suvremene metodološke pristupe razvoja organizacijskih i informacijskih sustava, te oblikovanja organizacije i organizacijske strukture
  • razumjeti suvremene organizacijske koncepte i upravljati organizacijskom kulturom
  • modelirati poslovne procese i podatke u organizacijama i primijeniti modele u razvoju informacijskih i poslovnih sustava
  • razumjeti i primijeniti metode, tehnike razvoja informacijskih i programskih sustava u suvremenim razvojnim okolinama
  • razumjeti i primijeniti procese, metode i tehnologije upravljanja IT uslugama i resursima te podrške i pružanja različitih vrsta usluga vezanih uz ICT
  • razumjeti i primijeniti etička načela, zakonsku regulativu i norme koje se primjenjuju u struci
  • razumjeti osnovna načela i metode upravljanja organizacijom i uspješno raditi u timu
  • uspješno komunicirati s klijentima, korisnicima i kolegama na verbalan i pisani način uz primjenu odgovarajuće terminologije uključujući i sposobnost komunikacije o struci na stranom jeziku
  • pratiti stručnu literaturu na hrvatskom i stranom jeziku, pripremiti i samostalno održati prezentacije na hrvatskom i stranom jeziku stručnoj i općoj publici, te kritičku evaluaciju prezentirane stručne teme
  • razumjeti i primijeniti vještine učenja potrebne za cjeloživotno učenje i nastavak obrazovanja na diplomskom studiju.
  • razumjeti i primijeniti osnovne principe planiranja i razvoja karijere u struci i vlastitih poduzetničkih poduhvata
 Osnovna literatura
  • Jason Andress, Foundations of Information Security: A Straightforward Introduction, No Starch Press (October 7, 2019)
  • Stuttard, Dafydd, and Marcus Pinto. The web application hacker's handbook: Finding and exploiting security flaws. John Wiley & Sons, 2011.
  • BS ISO/IEC 27001:2005, BS 7799-2:2005 norma: information technology, security techniques, information security, management systems, requirements. BSI, UK
 Dopunska literatura
  • Shostack, Adam. Threat modeling: Designing for security. John Wiley & Sons, 2014.
  • Sikorski, Michael, and Andrew Honig. Practical malware analysis: the hands-on guide to dissecting malicious software. no starch press, 2012.
  • Aumasson, Jean-Philippe. Serious Cryptography: A Practical Introduction to Modern Encryption. No Starch Press, 2017.
  • Sweigart, Al. Cracking Codes with Python: An Introduction to Building and Breaking Ciphers. No Starch Press, 2018.
  • Forshaw, James. Attacking Network Protocols: A Hacker's Guide to Capture, Analysis, and Exploitation. No Starch Press, 2018
 Slični kolegiji
Redoviti studenti Izvanredni studenti
izvanredni rok
Datum: 29.11.2024.
Vrijeme: 16:00
Opis: Na Fakultetu
izvanredni rok
Datum: 28.04.2025.
Vrijeme: 16:00
Opis: Na Fakultetu
U kalendaru ispod se nalaze konzultacije predmetnih nastavnika, no za detalje o konzultacijama možete provjeriti na profilu pojedinog predmetnog nastavnika.
 2024 © Fakultet organizacije i informatike, Centar za razvoj programskih proizvoda