Sadržaj se učitava...
mdi-home Početna mdi-account-multiple Djelatnici mdi-script Studiji mdi-layers Katedre mdi-calendar-clock Raspored sati FOI Nastava search apps mdi-login
Odabrana poglavlja iz sigurnosti informacijskih sustava
Odabrana poglavlja iz sigurnosti informacijskih sustava
2024/2025
7 ECTSa
Doktorski studij Informacijske znanosti 1.1 (PDDSIZ)
Katedra za razvoj informacijskih sustava
NN
1. semestar
Osnovne informacijemdi-information-variant Izvođači nastavemdi-account-group Nastavni plan i programmdi-clipboard-text-outline Model praćenjamdi-human-male-board Ispitni rokovimdi-clipboard-check-outline Rasporedmdi-calendar-clock Konzultacijemdi-account-voice
Izvođenje kolegija
Studij Studijski program Semestar Obavezan
Doktorski studij Informacijske znanosti 1.1 (PDDSIZ) 1 izborni
Cilj kolegija
Upoznati polaznike studija s problematikom sigurnosti informacijskih sustava posebno u uvjetima ovisnosti poslovnih sustava o komunikaciji poslovnim sadržajem sa potporom i integracijom informacijske tehnologije. Istraživanja na tom području vrlo se intenzivno razvijaju u Europskim i svjetskim razmjerima. Razvoj Europske zakonske regulative te načini udovoljavanja toj regulativi kroz certifikacije te prikaz sve većeg zakonskog i poslovnog uvjeta za razmjenu informacija koji se temelji na EU zakonodavstvu i certificiranju IS-a prema preporukama najbolje prakse i konkretnih normi za informacijsku sigurnost. Posebno je značajno da se polaznici upoznaju s metodama istraživanja izvora i oblika prijetnji te procjenom rizika u cilju unapređivanja i razvoja sustava sigurnosti te njegovih elemenata. Područje istraživanja oblika i izvora prijetnji najdinamičnije se razvija u sektoru komercijalne primjene informacijskih sustava. Spoznaja o načinu djelovanja, intenzitetu, razvoju te trendu novih prijetnji temelj je razvoja i izgradnje sustava sigurnosti u pojedinim granama poslovne aktivnosti. Osim opisanih znanja i metoda studenti će tijekom rada razvijati tehnike timskog projektnog istraživačkog rada, bilo kao voditelji ili članovi timova. Spoznaja o mogućnosti i potrebi oslanjanja na suradnika u timu temelj je znanstveno-istraživačkog rada u suvremenim uvjetima.
Preduvjeti
Kolegij nema definirane preduvjete
Norma kolegija
Predavanja
30 sati
Nastavnik Uloga na kolegiju Oblik nastave Tjedana Sati Grupa
Gerić Sandro Nositelj Predavanja 0 15 1
Mekovec Renata Suradnik Predavanja 0 5 1
Sadržaj predavanja
  • Potreba za informacijskom sigurnosti
    Povijesni razvoj sustava sigurnosti i zaštite informacijskih sustava do danas s naznakama mogućih pravaca i trendova razvoja. Značenje informacijskog sadržaja te ekonomski, kulturni, ideološki ili politički motivi prijetnji tim sadržajima. Pojam računalnog kriminala, špijunaže i cyber-ratovanja, vrste i oblici prijetnji te prijetnje elementima informacijskog sustava.
  • Suvremeni pristupi razvoju cjelovitih sustava sigurnosti
    Usporedba modela i strategija izgradnje sustava sigurnosti poslovnog informacijskog sustava, definiranje politike sigurnosti informacijskog sustava, odabir i razvoj strategija izgradnje sustava sigurnosti informacijskog sustava, odabir nositelja odgovornosti za izgradnju sustava sigurnosti, odabir pristupa u načinu realizacije sustava sigurnosti. Metodologije i najbolje prakse izgradnje sustava sigurnosti prema ISO 27000 porodici, NIST 800, PCI-DSS i NSA-IA normama i preporukama najbolje prakse. Kritička evaluacija, sinteza i komparacija metoda. Procjena značaja podatkovnog sadržaja poslovnog sustava, vanjski i unutrašnji čimbenici procjene značaja podatkovnog sadržaja, procjena oblika i intenziteta prijetnji podatkovnom sadržaju obzirom na procijenjeni značaj, upravljanje sustavom sigurnosti. Istraživanje novih trendova u oblicima i izvorima prijetnji IS-u.
  • Informacijska imovina i oblici ugrožavanja (prijetnje i napadi)
    Istraživanje i usporedba metoda procjene rizika, te razvoj novih metoda procjena rizika. Kvantitativne i kvalitativne mjere procjene, primjena metoda i metodologija za procjenu rizika kao što su ISO/IEC 27005 ili Octave/Octave Allegro i NIST SP 800-30 okvir za procjenu rizika. Odabir mjera zaštite ovisan o procjeni rizika. Utvrđivanje korelacija između vrsta rizika i mjera osiguranja. Razvoj modela i metoda upravljanja rizikom i analiza vrsti rizika te određivanje prioriteta. Plan oporavka od katastrofe i plan neprekidnosti poslovanja. Valorizacija uspješnosti metoda osiguranja. Pregled, analiza i usporedba metoda.
  • Upravljanje informacijskim rizicima
    Sustavi kontrole pristupa i metodologija identifikacije, zahtjevi za informacijskom zaštitom, okolina informacijske zaštite, sigurnosne tehnologije i alati (Bell-LaPadula model, Biba model, Clark-Wilson model), matrica pristupa, prijetnje u prijenosu. Praćenje i istraživanje učestalosti napada na suvremene arhitekture IS-a i sustave el. poslovanja. Konkretni primjeri iz najčešćih skupina napada u obliku botneta i sustava za računalni kriminal, špijunažu i ratovanje.
  • Sigurnost modernih i otvorenih arhitektura informacijskih sustava
    Istraživanje otvorenosti Interneta i arhitektura na kojima je utemeljen. Tehnologije Interneta i njihove sigurnosne mogućnosti. Istraživanje modernih arhitektura informacijskih sustava te njihova otpornost prema oblicima prijetnji. Metodološki i standardizacijski okvir (ISO, NIST, CISSP body of knowledge) u kontekstu primjene na moderne arhitekture IS-a. Razvoj servisno orijentiranih arhitektura, poglavito temeljenih na tehnologiji web servisa. Protokoli razmjene i njihove značajke. Sučelje lokalne mreže i Interneta. Istraživački koncepti i bitne karakteristike za uspostavu i provedbu sustava sigurnosti u web, SOA, cloud, PaaS, SaaS i IaaS i hibridnim infrastrukturama. Sigurnost zona povjerljivosti te implementacija, dizajn i osiguranje autentifikacije, autorizacije, revizije, povjerljivosti,integriteta i dostupnosti u sustavima. Analiza, dizajn, izgradnja, implementiranje, održavanje i testiranje sigurnih web aplikacija prema naputcima najbolje prakse. OWASP projekt i metodologije razvoja sigurnih web aplikacija po SODA, WSS i OWASPu. Primjena mehanizama SSO-a, Kerberosa i ostalih. Mrežno filtriranje (firewall) i svojstva filtriranja te primjena VPN tehnologija. Oblici napada na Internet orijentirane arhitekture i mogućnosti zaštite. Dizajn arhitekture otporne na napade. Elementi sigurnosti otvorenih sustava. Slojevitost arhitekture i mogućnost propagacije napada preko slojeva.
  • Kriptografija kao metoda osiguravanja povjerljivosti, integriteta i atribucije
    Simetrična i asimetrična kriptografija te razvoj kriptografskih elemenata i njihove implementacije. Digitalni certifikati, PKI i X.509 standard. OpenPGP i GnuPG standard. XML DSig standardi i primjena XML DSig. Istraživanje i utvrđivanje pogrešaka prilikom razvoja ili odabira kriptosustava ili gotovih rješenja. Pametne kartice i sigurnosni tokeni. HR i EU Zakonska regulativa vezana uz digitalno potpisivanje i elektronički potpis.
  • Razvoj sigurnosnih kontrola
    Fizička sigurnost i zaštita, osnovna fizička sigurnost i zaštita (CPTED (Crime Prevention throught Environmental Design)), sigurnosne tehnologije i alati (Kružni pristup, Barijere, Aktivni i pasivni nadzor), Ispitivanje funkcionalnosti sustava fizičke sigurnosti i zaštite (osiguravanje kontrole sustava, protupožarni sustavi, sustavi električnog napajanja, sustavi obrane od poplave, zaštita objekta), provjera prirodnih katastrofa (potres, grmljavina, poplava, požar), provjera prijetnji iz okoline (procjena ugroženosti iz okoline, zaštita od ugroženosti iz okoline), Provjera fizičkog upada, Penetracijski upadi (ultrazvučni sustavi, mikrovalni sustavi, odjeljenja). Istraživački pristup prema inteligentnom dizajnu okoline organizacije u cilju smanjivanja mogućnosti upada. Istraživanje i razvoj sigurnosnih i zaštitnih mjere za osoblje, razvoj sigurnosnog i zaštitnog programa za osoblje, različitost prijetnji sigurnosti i zaštite (zaposlenici, vanjski dobavljači i suradnici, neškolovani i neoprezni korisnici, radoznali zaposlenici i korisnici, profesionalni kriminalci, profesionalni špijuni), provjera sigurnosnih i zaštitnih mjera za osoblje (sustav za upravljanje i praćenje ljudskim potencijalima, povijesni podaci). Doprinos razvoju sigurnosti i zaštiti komunikacija, tipovi mreža i njihove sigurnosne osobine i tipovi zaštite, mrežna komunikacija, zaštita mrežne komunikacije i osiguranje sigurnog komunikacijskog kanala, kriptografske metode, provjera sigurnosti i zaštite komunikacija, mehanizmi detekcije i prevencije upada (IDS/IPS). Operacijska sigurnost i zaštita, planiranje operacijske sigurnosti i zaštite, načini na koji počinitelji prikupljaju informacije, počinitelji računalnog kriminala i informacije, vrste informacija u sustavu poslovanja, vrste počinitelja prema korištenju informacijama, postavljanje mjera detekcije i formiranje tima za upravljanje kriznim situacijama, razvoj programa operacijske sigurnosti i zaštite. Penetracijsko testiranje sustava i upravljanje ranjivostima. Metodologije za penetracijsko testiranje OSSTMM, PTES, NIST SP 800-115, sprega alata i metodologija za testiranje. Upravljanje sustavom sigurnosti pomoću penetracijskog testiranja. Istraživanje i komparacija u metodama penetracijskog testiranja.
  • Mjerenje učinkovitosti i djelotvornosti sustava informacijske sigurnosti
    Razvoj metoda mjerenja učinaka razvoja cjelovitih sustava sigurnosti informacija. Pregled, evaluacija i usporedbe ovih metoda. Mjerenja sigurnosti IS-a. Mjerenja oslonjivosti IS-a. Upravljanje rizicima sigurnosti u IS. Vođenje poduhvata cjelovitih sustava sigurnosti IS-a. Metrike za procjenu, poboljšanja i procjenu učinkovitosti sustava sigurnosti IS-a te načini prikupljanja podataka i njihove analize i mjerenja, definiranje programa poboljšanja sustava sigurnosti. Analiza slučaja i primjena metrike na konkretnom primjeru. ISSMM – model zrelosti sustava informacijske sigurnosti. Prikaz metodoloških osnova mjerenja zrelosti, koncepti i razine modela zrelosti i načina njihove primjene na sustav sigurnosti IS-a i na procesna područja po razinama vezani uz specifične i generičke ciljeve po područjima. Primjena modela i mjerenje zrelosti na konkretnom primjeru. Follow-up temeljem primjene ISSMM-a.
  • Specifična područja informacijske sigurnosti
    Pravna zaštita softverskih djela, autorsko djelo, vlasništvo softverskog proizvoda, licenčna prava. Međunarodni aspekt zaštite informacijskih sustava. Ergonomski aspekt zaštite informacijskog sustava.
Sadržaj seminara/vježbi
Ishodi učenja kolegija
Ishodi učenja programa
Osnovna literatura
  • Mogući odabir literature:
  • Anderson, R. (2008): Security Engineering - A Guide to Building Dependable Distributed Systems, Wiley - 2ed besplatno dostupan na: (http://www.cl.cam.ac.uk/~rja14/book.html)
  • Skupina normi ISO/IEC 27000 porodice: ISO/IEC 27001, 27002, 27005
  • Skupina normi NIST 800: Dostupno na: (http://csrc.nist.gov/ , http://csrc.nist.gov/publications/PubsSPs.html)
  • Skupina normi PCI-DSS: Dostupno na: (https://www.pcisecuritystandards.org/security_standards/)
  • Skup preporuka NSA IA Guidance: Dostupno na (https://www.nsa.gov/ia/mitigation_guidance/index.shtml)
  • Bača M (2004) Uvod u računalnu sigurnost, Narodne novine, Zagreb
  • Peltier R.T.(2000), Information Security Risk Analysis, Auerbach, CRC press.
  • Ferguson N., Schneier B., Kohno T.: Cryptography Engineering: Design Principles and Practical Applications
  • Schneier B.: So You Want to Be a Security Expert Dostupno na: (https://www.schneier.com/blog/archives/2012/07/how_to_become_a_1.html)
  • Stallings W., Brown L.(2008): Computer Security – Principles and Practice, Pearson International Edition
  • Tudor J.K., Information Security Architecture, CRC Press LLC, USA, 2001.
  • Hansche S, Berti J, Hare C (2003) Official (ISC)2 guide to CISSP exam, Auerbach Publications, CRC Press Company, USA
  • The Honeynet Project (2004) Know your enemy: learning about security threats, 2nd edition, Addison-Wesley, Boston
  • Hayden, Lance: IT Security Metrics: A Practical Framework for Measuring Security & Protecting Data
  • Tipton, Harold F.: Information Security Management Handbook, Sixth Edition, Volume 6
  • Engebretson, P.: The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing Made Easy (Syngress Basics Series)
  • Andress, J.: The Basics of Information Security: Understanding the Fundamentals of InfoSec in Theory and Practice
  • Vacca, John R.: Computer and Information Security Handbook (Morgan Kaufmann Series in Computer Security)
  • Bill Stackpole: Security Strategy: From Requirements to Reality
  • J. R. Winkler: Securing the Cloud: Cloud Computer Security Techniques and Tactics
  • Barrie Sosinsky: Cloud Computing Bible
Dopunska literatura
  • Ashbourn J., Biometrics - Advanced Identity Verification, Springer-Verlag, UK, 2000.
  • Humphreys E.J, Moses R.H., Plate A.E., Guide to Risk Assessment and Risk Management, BSI, UK, 1998.
  • Icove D, Seger K, VonStroch W (1995) Computer Crime, A Crimefighter's Handbook, O'Reilly & Associates, Inc, Sebastopol, CA
  • Scheiner B., Applied Cryptography, John Wiley & Sons Inc., USA, 1996
  • Thorenson J.D., Blankenship J.H., Information Secrets, Valuable Information Ltd, USA, 1996.
  • Google Research: Failure Trends in a Large Disk Drive Population, http://research.google.com/pubs/pub32774.html https://static.googleusercontent.com/external_content/untrusted_dlcp/research.google.com/en//archive/disk_failures.pdf
  • ESET: Stuxnet Under the Microscope: January 2011. : http://go.eset.com/us/resources/white-papers/Stuxnet_Under_the_Microscope.pdf
  • Laboratory of Cryptography of Systems Security (CrySyS): Duqu: A Stuxnet-like malware found in the wild, 14 October 2011.: http://www.crysys.hu/publications/files/bencsathPBF11duqu.pdf
  • R. Dingledine, et.al. Tor: The Second-Generation Onion Router: http://www.dtic.mil/dtic/tr/fulltext/u2/a465464.pdf
  • Kevin Mitnick: The Art of Deception: Controlling the Human Element of Security
  • E.S. Raymond: How To Become A Hacker: http://www.catb.org/esr/faqs/hacker-howto.html
  • S. McClure, J. Scambray, G. Kurtz: Hacking Exposed 7: Network Security Secrets & Solutions, Seventh Edition
  • Open Web Application Security Project: www.owasp.org
  • A. Barth, C. Jackson, C. Reis, and the Google Chrome Team : The Security Architecture of the Chromium Browser: http://crypto.stanford.edu/websec/chromium/chromium-security-architecture.pdf
  • Cliff Stoll: The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage
  • Skupina autora: Stealing the Network: The Complete Series Collector's Edition including the Final Chapter
  • Kevin Mitnick: Ghost in the Wires: My Adventures as the World's Most Wanted Hacker
Slični kolegiji
  • TUG (Techniche Universitat Graz): IT-Security
  • Albert-Ludwigs Univ., Freiburg: Telematik IV - IT Security
  • University of Florida: Computer and Network Security
Redoviti studenti Izvanredni studenti
U kalendaru ispod se nalaze konzultacije predmetnih nastavnika, no za detalje o konzultacijama možete provjeriti na profilu pojedinog predmetnog nastavnika.
2024 © Fakultet organizacije i informatike, Centar za razvoj programskih proizvoda