Sadržaj se učitava...
mdi-home Početna mdi-account-multiple Djelatnici mdi-script Studiji mdi-layers Katedre mdi-calendar-clock Raspored sati FOI Nastava search apps mdi-login
Sigurnost informacijskih sustava
Information Systems Security
2025/2026
5 ECTSa
Baze podataka i baze znanja 1.4 (BPBZ)
Informacijsko i programsko inženjerstvo 1.4 (IPI)
Organizacija poslovnih sustava 1.4 (OPS)
Katedra za informatičke tehnologije i računarstvo
SP
1. semestar
 Osnovne informacijemdi-information-variant Izvođači nastavemdi-account-group Nastavni plan i programmdi-clipboard-text-outline Model praćenjamdi-human-male-board Ispitni rokovimdi-clipboard-check-outline Rasporedmdi-calendar-clock Konzultacijemdi-account-voice
Izvođenje kolegija
Studij Studijski program Semestar Obavezan
Baze podataka i baze znanja 1.4 (BPBZ) 1 obavezan
Informacijsko i programsko inženjerstvo 1.4 (IPI) 1 obavezan
Organizacija poslovnih sustava 1.4 (OPS) 1 obavezan
Cilj kolegija
Upoznavanje studenata s problematikom sigurnosti informacijskih sustava, posebno u uvjetima ovisnosti poslovnih sustava o komunikaciji i poslovnim sadržajem, potporom informacijske tehnologije. Europska zakonska regulativa te načini udovoljavanja toj regulativi kao uvjet certifikacije. Upoznavanje s metodama izgradnje i razvoja sustava sigurnosti. Uloga pojedinih mjera za smanjivanje razina rizika u pojedinim dijelovima informacijskog sustava. Razvijanje vještina u postavljanju pojedinih mjera sigurnosti.
Preduvjeti
Kolegij nema definirane preduvjete
Norma kolegija
Predavanja
 30 sati
Seminar
 30 sati
Nastavnik Uloga na kolegiju Oblik nastave Tjedana Sati Grupa
Grd Petra Nositelj Predavanja 7 2 1
Tomičić Igor Nositelj Predavanja
Seminar 		8
15 		2
2 		1
4
Sadržaj predavanja
  • Upravljanje sustavom sigurnosti (2+2 sata)
    Sigurnosni koncepti, principi upravljanja sustavima informacijske sigurnosti, legislativa i regulatorni zahtjevi, sigurnosne politike, standardi i procedure.
  • Upravljane rizicima (2+2 sata)
    Koncepti upravljanja rizicima, procjena rizika, odgovor na rizike, odabir mjera zaštite, nadzor i mjerenje, okviri upravljanja rizicima.
  • Sigurnost imovine (2+2 sata)
    Identificiranje i klasifikacija informacija i imovine, zahtjevi za rukovanje imovinom, životni ciklus podataka, kontrole sigurnosti podataka i usklađenost.
  • Arhitektura sustava sigurnosti (2+2 sata)
    Implementacija procesa korištenjem sigurnosnih principa, sigurnosni modeli, primjena sigurnosnih principa na dizajn prostora.
  • Procjena i ublažavanje ranjivosti (2+2 sata)
    Ranjivosti klijenta, ranjivosti servera, ranjivosti baza podataka, ranjivosti kriptografskih sustava, ranjivosti sustava u oblaku, ranjivosti distribuiranih sustava, ranjivosti IoT uređaja, ranjivosti mikroservisa, ranjivosti ugrađenih sustava.
  • Kriptografski sustavi (2+2 sata)
    Kriptografski primitivi, kriptografski sustavi, životni ciklus, napadi na kriptografske sustave, najbolje prakse.
  • Sigurnost komunikacija i računalnih mreža (2+2 sata)
    Temelji moderne mrežne sigurnosti, sigurnosne tehnologije i mjere, upravljanje mrežnom sigurnosti, otkrivanje i iskorištavanje ranjivosti, najbolje sigurnosne prakse.
  • Identitet i kontrola pristupa (2+2 sata)
    Fizička i logička kontrola pristupa resursima, identifikacija ljudi, uređaja i servisa, autorizacijski mehanizmi, implementacija autentikacijskih sustava.
  • Procjena i testiranje sigurnosti (2+2 sata)
    Strategije procjene, testiranja i revizije, testiranje sigurnosnih kontrola.
  • Operativna sigurnost (OpSec) (2+2 sata)
    Razumijevanje istraga, aktivnosti nadgledanja i evidentiranja, koncepti operativne sigurnosti, upravljanje incidentima, mjere za detekciju i prevenciju incidenata, upravljanje ranjivostima.
  • Oporavak od katastrofe (2+2 sata)
    Strategije oporavka, planiranje oporavka, tehnologije i alati, implementacija i testiranja plana za oporavak, planiranje kontinuiteta poslovanja, sigurnost zaposlenika.
  • Sigurnost razvoja softvera (2+2 sata)
    Sigurnost u životnom ciklusu razoja softvera, sigurnosne kontrole u ekosustavu razvoja softvera, procjena efektivnosti sigurnosti softvera, procjena utjecaja preuzetog softvera na sigurnost, preporuke i standardi za sigurno kodiranje.
  • Socijalni inženjering (2+2 sata)
    Uvod u socijalni inženjering, tehnike socijalnog inženjeringa, psihološki principi utjecaja, obavještajni podaci iz otvorenih izvora, mitigacija utjecaja socijalnog inženjeringa.
  • Moderne metode zaštite podataka (2+2 sata)
    Izvori podataka, rizici nad podacima, sigurnosna pohrana, oporavak, arhivi, deduplikacija, zaštita baza podataka, izazovi i najbolje prakse.
  • Zaključna razmatranja (2+2 sata)
    Sinteza ključnih sigurnosnih pitanja, preporuke za poboljšanje sigurnosti, planovi za budućnost.
 Sadržaj seminara/vježbi
  • 1. Uvod i osnovni koncepti (3 sata)
    Uvod u laboratorijske vježbe, Prikaz područja pokrivenih laboratorijskim vježbama, Rad sa alatom za virtualizaciju - Oracle VirtualBox, Izrada virtualnih strojeva, Konfiguracija virtualnih strojeva, Instalacija operacijskog sustava u VirtualBox, Postavke mreže i načini djeljenja mrežnog sučelja, Ponavljanje osnovnog rada sa GNU/Linux baziranim distribucijama (CentOS/Ubuntu server)
  • 2. Analiza i uklanjanje malicioznog koda (4 sata)
    Prikaz i objašnjenje čestih oblika malicioznog koda (virusi, crvi, trojanski konji, rootkit, botnet), Metode preventivne zaštite operacijskog sustava, Analiza Windows virtualnog stroja zaraženog malicioznim kodom, Analiza procesa, memorije i komunikacije zaraženog računala kao način otkrivanja zaraze, Korištenje sysinternals alata (procexp, autoruns,tcpview...), Ostali alati i metode (netstat,procmon, wireshark...), Analiza specifičnih promjena operacijskog sustava kao način otkrivanja zaraze, Korištenja alata rootkit-revealer, lynis, rkhunter,chrootkit, Analiza trenutno aktualnog i najraširenijeg malicioznog koda, Analiza rootkita adore-ng, sebek, Načini otklanjanja zaraze i malicioznih modifikacija koje su uzrok infekcije
  • 3. Spremišta podataka i sigurnosno kopiranje (5 sati)
    Prikaz konfiguracija i metode odabira konfiguracije mrežnih spremišta podataka (SAN/NAS), Postavke zalihosnih spremišta (RAID) i LVM mehanizama, Dizajn spremišta na GNU/Linux platformi ili FreeNAS distribuciji, Postavljanje RAID, LVM i Datotečnog sustava, Odabir i konfiguracija datotečnog sustava prema primjeni spremišta i platformi, Konfiguriranje protokola za pristup spremištu (SMB,NFS,iSCSI), Odabir strategije i alata za sigurnosno kopiranje, Postavke i rad sa deltacopy/rsync alatom i postupkom, Korištenje tar-a, Copy on write i snapshot postupci kod LVM/ZFS/BTRFS datotečnog sustava, Korištenje alata Cobian, Bacula, Windows backup i rad sa backup skriptama (tar, rar i 7zip)
  • 4. Očvršćenje operacijskih sustava (6 sati)
    Smjernice za ojačanje poslužitelja, Upravljanje korisnicima i privilegijama korisnika, Kreiranje, Brisanje i ukidanje računa, Sustav privilegija i grupa, Primjena sigurnosnih zakrpa, Ažuriranje sustava, Automatska primjena sigurnosnih zakrpa, Analiza dnevničkih zapisa (log), Analiza strukture i primjena alata za analizu, Korelacija događaja (logwatch/splunk), Centralizirano bilježenje pomoću rsyslog i primjena alata za korelaciju, Primjena analizatora zapisa za automatsko blokiranje napadača (fail2ban/sshguard), Nadzor sustava pomoću centraliziranog sustava NagiOS/Monit, Očvrščenje web poslužitelja (apache) i mehanizmi za očvršćenje (mod_security), Problemi sigurnosti aplikacija: OWASP top 10 preporuke, Postavke konfiguracije, Primjena mod_security/suhoshin modifikacija, Očvrščenje SAMBA poslužitelja, Regulacija pristupa direktorijima, Bilježenje zlouporabe
  • 5. Mrežno filtriranje i detekcija upada (4 sata)
    Filtriranje pristupa informacijskom sustavu, Primjena iptables vatrozida, Primjena tcpwrappera, Access control liste, Filtriranje sadržaja u poduzeću pomoću squid proxya, Primjena OSSEC sustava za detekciju upada, Tripwire/AIDE sustav za detekciju upada
  • 6. Kriptografski mehanizmi (4 sata)
    Sigurna komunikacija po OpenPGP standardu, Korištenje simetrične i asimetrične enkripcije za komunikaciju, Generiranje i postavljanje ključa na PGP keyserver, Verifikacija autentičnosti ključa i potpisivanje ključeva za uspostavu mreže povjerenja, Korištenje sučelja - GnuPG, CryptoPhane, Enigmail, Sigurne naredbene ljuske i tuneli, Upravljanje poslužiteljem putem SSH veze, Konfiguracija SSH poslužitelja i korištenje javnih i tajnih ključeva, Primjena OpenVPN-a za postavljanje jednostavnijih Point-to-Point veza sa statičkim ključevima, Korištenje alata TrueCrypt za enkripciju diskova ili datotečnih kontejnera, Analiza SSL prometa i sigurnosnih manjkavosti SSL samopotpisanih certifikata, Primjena SSL-a za kriptiranje HTTP, SMTP i POP3 prometa
  • 7. Analiza i testiranje sustava sigurnosti (4 sata)
    Analiza ranjivosti informacijskog sustava, Prikaz OWASP WebGoat alata, Primjena OpenVAS alata, Primjena Nmap alata, Primjena W3AF frameworka, Primjena Metasploit frameworka, Uočavanje i traženje najčešćih ranjivosti informacijskih sustava, Analiza rezultata i izrada preporuka za osiguravanje sustava
 Ishodi učenja kolegija
  • Preporučiti uvođenje mjera za smanjivanje rizika prema aktualnim normama.
  • Izračunati razinu rizika pojedinih oblika prijetnji na resurse organizacije.
  • Predložiti mjere za očvršćivanje pojedinih segmenata sustava sigurnosti informacijskog sustava.
  • Procijeniti značenje sigurnosti i zaštite IS u funkcionalnosti ICT i poslovnih sustava.
  • Osmisliti svaku fazu razvoja uvođenja sustava sigurnosti informacijskog sustava.
  • Valorizirati funkcionalnost kontrola u odnosu na postavljene zahtjeve.
 Ishodi učenja programa
Osnovna literatura
  • Chapple, Mike, James Michael Stewart, and Darril Gibson. (ISC) 2 CISSP Certified Information Systems Security Professional Official Study Guide. John Wiley & Sons, 9th ed. 2021.
  • W. Curtis Preston, Modern Data Protection: Ensuring Recoverability of All Modern Workloads, O'Reilly Media, Incorporated, 2021
 Dopunska literatura
  • Ashbourn J. Biometrics - Advanced Identity Verification. Springer-Verlag, UK, 2000.
  • Calder, A.; Watkins, S. IT governance: a manager’s guide to data security and ISO 27001/ISO 27002.
  • Scheiner, B. Applied Cryptography. John Wiley and Sons Inc., USA, 1996.
  • Thorenson J.D.; Blankenship, J.H. Information Secrets. Valuable Information Ltd, USA, 1996.
  • Vježbe:Različiti priručnici i on-line dokumentacija za programske alate koji se koriste na vježbama
 Slični kolegiji
  • IT-Security, TUG (Techniche Universitat Graz)
  • Telematik IV - IT Security, Albert-Ludwigs Univ., Freiburg
  • Computer and Network Security, University of Florida
 Redoviti studenti Izvanredni studenti
izvanredni rok
Datum: 17.04.2026.
Vrijeme: 16:00
Opis: Na Fakultetu
U kalendaru ispod se nalaze konzultacije predmetnih nastavnika, no za detalje o konzultacijama možete provjeriti na profilu pojedinog predmetnog nastavnika.
 2025 © Fakultet organizacije i informatike, Centar za razvoj programskih proizvoda