Odabrana poglavlja iz sigurnosti informacijskih sustava
Odabrana poglavlja iz sigurnosti informacijskih sustava 2023/2024
7ECTSa
Doktorski studij Informacijske znanosti 1.1 (PDDSIZ)
Katedra za razvoj informacijskih sustava
NN
1. semestar
Osnovne informacijemdi-information-variantIzvođači nastavemdi-account-groupNastavni plan i programmdi-clipboard-text-outlineModel praćenjamdi-human-male-boardIspitni rokovimdi-clipboard-check-outlineRasporedmdi-calendar-clockKonzultacijemdi-account-voice
Upoznati polaznike studija s problematikom sigurnosti informacijskih sustava posebno u uvjetima ovisnosti poslovnih sustava o komunikaciji poslovnim sadržajem sa potporom i integracijom informacijske tehnologije. Istraživanja na tom području vrlo se intenzivno razvijaju u Europskim i svjetskim razmjerima. Razvoj Europske zakonske regulative te načini udovoljavanja toj regulativi kroz certifikacije te prikaz sve većeg zakonskog i poslovnog uvjeta za razmjenu informacija koji se temelji na EU zakonodavstvu i certificiranju IS-a prema preporukama najbolje prakse i konkretnih normi za informacijsku sigurnost. Posebno je značajno da se polaznici upoznaju s metodama istraživanja izvora i oblika prijetnji te procjenom rizika u cilju unapređivanja i razvoja sustava sigurnosti te njegovih elemenata. Područje istraživanja oblika i izvora prijetnji najdinamičnije se razvija u sektoru komercijalne primjene informacijskih sustava. Spoznaja o načinu djelovanja, intenzitetu, razvoju te trendu novih prijetnji temelj je razvoja i izgradnje sustava sigurnosti u pojedinim granama poslovne aktivnosti. Osim opisanih znanja i metoda studenti će tijekom rada razvijati tehnike timskog projektnog istraživačkog rada, bilo kao voditelji ili članovi timova. Spoznaja o mogućnosti i potrebi oslanjanja na suradnika u timu temelj je znanstveno-istraživačkog rada u suvremenim uvjetima.
Potreba za informacijskom sigurnosti Povijesni razvoj sustava sigurnosti i zaštite informacijskih sustava do danas s naznakama mogućih pravaca i trendova razvoja. Značenje informacijskog sadržaja te ekonomski, kulturni, ideološki ili politički motivi prijetnji tim sadržajima. Pojam računalnog kriminala, špijunaže i cyber-ratovanja, vrste i oblici prijetnji te prijetnje elementima informacijskog sustava.
Suvremeni pristupi razvoju cjelovitih sustava sigurnosti Usporedba modela i strategija izgradnje sustava sigurnosti poslovnog informacijskog sustava, definiranje politike sigurnosti informacijskog sustava, odabir i razvoj strategija izgradnje sustava sigurnosti informacijskog sustava, odabir nositelja odgovornosti za izgradnju sustava sigurnosti, odabir pristupa u načinu realizacije sustava sigurnosti. Metodologije i najbolje prakse izgradnje sustava sigurnosti prema ISO 27000 porodici, NIST 800, PCI-DSS i NSA-IA normama i preporukama najbolje prakse. Kritička evaluacija, sinteza i komparacija metoda. Procjena značaja podatkovnog sadržaja poslovnog sustava, vanjski i unutrašnji čimbenici procjene značaja podatkovnog sadržaja, procjena oblika i intenziteta prijetnji podatkovnom sadržaju obzirom na procijenjeni značaj, upravljanje sustavom sigurnosti. Istraživanje novih trendova u oblicima i izvorima prijetnji IS-u.
Informacijska imovina i oblici ugrožavanja (prijetnje i napadi) Istraživanje i usporedba metoda procjene rizika, te razvoj novih metoda procjena rizika. Kvantitativne i kvalitativne mjere procjene, primjena metoda i metodologija za procjenu rizika kao što su ISO/IEC 27005 ili Octave/Octave Allegro i NIST SP 800-30 okvir za procjenu rizika. Odabir mjera zaštite ovisan o procjeni rizika. Utvrđivanje korelacija između vrsta rizika i mjera osiguranja. Razvoj modela i metoda upravljanja rizikom i analiza vrsti rizika te određivanje prioriteta. Plan oporavka od katastrofe i plan neprekidnosti poslovanja. Valorizacija uspješnosti metoda osiguranja. Pregled, analiza i usporedba metoda.
Upravljanje informacijskim rizicima Sustavi kontrole pristupa i metodologija identifikacije, zahtjevi za informacijskom zaštitom, okolina informacijske zaštite, sigurnosne tehnologije i alati (Bell-LaPadula model, Biba model, Clark-Wilson model), matrica pristupa, prijetnje u prijenosu. Praćenje i istraživanje učestalosti napada na suvremene arhitekture IS-a i sustave el. poslovanja. Konkretni primjeri iz najčešćih skupina napada u obliku botneta i sustava za računalni kriminal, špijunažu i ratovanje.
Sigurnost modernih i otvorenih arhitektura informacijskih sustava Istraživanje otvorenosti Interneta i arhitektura na kojima je utemeljen. Tehnologije Interneta i njihove sigurnosne mogućnosti. Istraživanje modernih arhitektura informacijskih sustava te njihova otpornost prema oblicima prijetnji. Metodološki i standardizacijski okvir (ISO, NIST, CISSP body of knowledge) u kontekstu primjene na moderne arhitekture IS-a. Razvoj servisno orijentiranih arhitektura, poglavito temeljenih na tehnologiji web servisa. Protokoli razmjene i njihove značajke. Sučelje lokalne mreže i Interneta. Istraživački koncepti i bitne karakteristike za uspostavu i provedbu sustava sigurnosti u web, SOA, cloud, PaaS, SaaS i IaaS i hibridnim infrastrukturama. Sigurnost zona povjerljivosti te implementacija, dizajn i osiguranje autentifikacije, autorizacije, revizije, povjerljivosti,integriteta i dostupnosti u sustavima. Analiza, dizajn, izgradnja, implementiranje, održavanje i testiranje sigurnih web aplikacija prema naputcima najbolje prakse. OWASP projekt i metodologije razvoja sigurnih web aplikacija po SODA, WSS i OWASPu. Primjena mehanizama SSO-a, Kerberosa i ostalih. Mrežno filtriranje (firewall) i svojstva filtriranja te primjena VPN tehnologija. Oblici napada na Internet orijentirane arhitekture i mogućnosti zaštite. Dizajn arhitekture otporne na napade. Elementi sigurnosti otvorenih sustava. Slojevitost arhitekture i mogućnost propagacije napada preko slojeva.
Kriptografija kao metoda osiguravanja povjerljivosti, integriteta i atribucije Simetrična i asimetrična kriptografija te razvoj kriptografskih elemenata i njihove implementacije. Digitalni certifikati, PKI i X.509 standard. OpenPGP i GnuPG standard. XML DSig standardi i primjena XML DSig. Istraživanje i utvrđivanje pogrešaka prilikom razvoja ili odabira kriptosustava ili gotovih rješenja. Pametne kartice i sigurnosni tokeni. HR i EU Zakonska regulativa vezana uz digitalno potpisivanje i elektronički potpis.
Razvoj sigurnosnih kontrola Fizička sigurnost i zaštita, osnovna fizička sigurnost i zaštita (CPTED (Crime Prevention throught Environmental Design)), sigurnosne tehnologije i alati (Kružni pristup, Barijere, Aktivni i pasivni nadzor), Ispitivanje funkcionalnosti sustava fizičke sigurnosti i zaštite (osiguravanje kontrole sustava, protupožarni sustavi, sustavi električnog napajanja, sustavi obrane od poplave, zaštita objekta), provjera prirodnih katastrofa (potres, grmljavina, poplava, požar), provjera prijetnji iz okoline (procjena ugroženosti iz okoline, zaštita od ugroženosti iz okoline), Provjera fizičkog upada, Penetracijski upadi (ultrazvučni sustavi, mikrovalni sustavi, odjeljenja). Istraživački pristup prema inteligentnom dizajnu okoline organizacije u cilju smanjivanja mogućnosti upada. Istraživanje i razvoj sigurnosnih i zaštitnih mjere za osoblje, razvoj sigurnosnog i zaštitnog programa za osoblje, različitost prijetnji sigurnosti i zaštite (zaposlenici, vanjski dobavljači i suradnici, neškolovani i neoprezni korisnici, radoznali zaposlenici i korisnici, profesionalni kriminalci, profesionalni špijuni), provjera sigurnosnih i zaštitnih mjera za osoblje (sustav za upravljanje i praćenje ljudskim potencijalima, povijesni podaci). Doprinos razvoju sigurnosti i zaštiti komunikacija, tipovi mreža i njihove sigurnosne osobine i tipovi zaštite, mrežna komunikacija, zaštita mrežne komunikacije i osiguranje sigurnog komunikacijskog kanala, kriptografske metode, provjera sigurnosti i zaštite komunikacija, mehanizmi detekcije i prevencije upada (IDS/IPS). Operacijska sigurnost i zaštita, planiranje operacijske sigurnosti i zaštite, načini na koji počinitelji prikupljaju informacije, počinitelji računalnog kriminala i informacije, vrste informacija u sustavu poslovanja, vrste počinitelja prema korištenju informacijama, postavljanje mjera detekcije i formiranje tima za upravljanje kriznim situacijama, razvoj programa operacijske sigurnosti i zaštite. Penetracijsko testiranje sustava i upravljanje ranjivostima. Metodologije za penetracijsko testiranje OSSTMM, PTES, NIST SP 800-115, sprega alata i metodologija za testiranje. Upravljanje sustavom sigurnosti pomoću penetracijskog testiranja. Istraživanje i komparacija u metodama penetracijskog testiranja.
Mjerenje učinkovitosti i djelotvornosti sustava informacijske sigurnosti Razvoj metoda mjerenja učinaka razvoja cjelovitih sustava sigurnosti informacija. Pregled, evaluacija i usporedbe ovih metoda. Mjerenja sigurnosti IS-a. Mjerenja oslonjivosti IS-a. Upravljanje rizicima sigurnosti u IS. Vođenje poduhvata cjelovitih sustava sigurnosti IS-a. Metrike za procjenu, poboljšanja i procjenu učinkovitosti sustava sigurnosti IS-a te načini prikupljanja podataka i njihove analize i mjerenja, definiranje programa poboljšanja sustava sigurnosti. Analiza slučaja i primjena metrike na konkretnom primjeru. ISSMM – model zrelosti sustava informacijske sigurnosti. Prikaz metodoloških osnova mjerenja zrelosti, koncepti i razine modela zrelosti i načina njihove primjene na sustav sigurnosti IS-a i na procesna područja po razinama vezani uz specifične i generičke ciljeve po područjima. Primjena modela i mjerenje zrelosti na konkretnom primjeru. Follow-up temeljem primjene ISSMM-a.
Specifična područja informacijske sigurnosti Pravna zaštita softverskih djela, autorsko djelo, vlasništvo softverskog proizvoda, licenčna prava. Međunarodni aspekt zaštite informacijskih sustava. Ergonomski aspekt zaštite informacijskog sustava.
Sadržaj seminara/vježbi
Ishodi učenja kolegija
Ishodi učenja programa
Osnovna literatura
Mogući odabir literature:
Anderson, R. (2008): Security Engineering - A Guide to Building Dependable Distributed Systems, Wiley - 2ed besplatno dostupan na: (http://www.cl.cam.ac.uk/~rja14/book.html)
Skupina normi ISO/IEC 27000 porodice: ISO/IEC 27001, 27002, 27005
Skupina normi NIST 800: Dostupno na: (http://csrc.nist.gov/ , http://csrc.nist.gov/publications/PubsSPs.html)
Skupina normi PCI-DSS: Dostupno na: (https://www.pcisecuritystandards.org/security_standards/)
Skup preporuka NSA IA Guidance: Dostupno na (https://www.nsa.gov/ia/mitigation_guidance/index.shtml)
Bača M (2004) Uvod u računalnu sigurnost, Narodne novine, Zagreb
Peltier R.T.(2000), Information Security Risk Analysis, Auerbach, CRC press.
Ferguson N., Schneier B., Kohno T.: Cryptography Engineering: Design Principles and Practical Applications
Schneier B.: So You Want to Be a Security Expert Dostupno na: (https://www.schneier.com/blog/archives/2012/07/how_to_become_a_1.html)
Stallings W., Brown L.(2008): Computer Security – Principles and Practice, Pearson International Edition
Tudor J.K., Information Security Architecture, CRC Press LLC, USA, 2001.
Hansche S, Berti J, Hare C (2003) Official (ISC)2 guide to CISSP exam, Auerbach Publications, CRC Press Company, USA
The Honeynet Project (2004) Know your enemy: learning about security threats, 2nd edition, Addison-Wesley, Boston
Hayden, Lance: IT Security Metrics: A Practical Framework for Measuring Security & Protecting Data
Tipton, Harold F.: Information Security Management Handbook, Sixth Edition, Volume 6
Engebretson, P.: The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing Made Easy (Syngress Basics Series)
Andress, J.: The Basics of Information Security: Understanding the Fundamentals of InfoSec in Theory and Practice
Vacca, John R.: Computer and Information Security Handbook (Morgan Kaufmann Series in Computer Security)
Bill Stackpole: Security Strategy: From Requirements to Reality
J. R. Winkler: Securing the Cloud: Cloud Computer Security Techniques and Tactics
Humphreys E.J, Moses R.H., Plate A.E., Guide to Risk Assessment and Risk Management, BSI, UK, 1998.
Icove D, Seger K, VonStroch W (1995) Computer Crime, A Crimefighter's Handbook, O'Reilly & Associates, Inc, Sebastopol, CA
Scheiner B., Applied Cryptography, John Wiley & Sons Inc., USA, 1996
Thorenson J.D., Blankenship J.H., Information Secrets, Valuable Information Ltd, USA, 1996.
Google Research: Failure Trends in a Large Disk Drive Population, http://research.google.com/pubs/pub32774.html https://static.googleusercontent.com/external_content/untrusted_dlcp/research.google.com/en//archive/disk_failures.pdf
ESET: Stuxnet Under the Microscope: January 2011. : http://go.eset.com/us/resources/white-papers/Stuxnet_Under_the_Microscope.pdf
Laboratory of Cryptography of Systems Security (CrySyS): Duqu: A Stuxnet-like malware found in the wild, 14 October 2011.: http://www.crysys.hu/publications/files/bencsathPBF11duqu.pdf
R. Dingledine, et.al. Tor: The Second-Generation Onion Router: http://www.dtic.mil/dtic/tr/fulltext/u2/a465464.pdf
Kevin Mitnick: The Art of Deception: Controlling the Human Element of Security
E.S. Raymond: How To Become A Hacker: http://www.catb.org/esr/faqs/hacker-howto.html
S. McClure, J. Scambray, G. Kurtz: Hacking Exposed 7: Network Security Secrets & Solutions, Seventh Edition
Open Web Application Security Project: www.owasp.org
A. Barth, C. Jackson, C. Reis, and the Google Chrome Team : The Security Architecture of the Chromium Browser: http://crypto.stanford.edu/websec/chromium/chromium-security-architecture.pdf
Cliff Stoll: The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage
Skupina autora: Stealing the Network: The Complete Series Collector's Edition including the Final Chapter
Kevin Mitnick: Ghost in the Wires: My Adventures as the World's Most Wanted Hacker
Slični kolegiji
TUG (Techniche Universitat Graz): IT-Security
Albert-Ludwigs Univ., Freiburg: Telematik IV - IT Security
University of Florida: Computer and Network Security
Redoviti studentiIzvanredni studenti
U kalendaru ispod se nalaze konzultacije predmetnih nastavnika, no za detalje o konzultacijama možete provjeriti na profilu pojedinog predmetnog nastavnika.