Sadržaj se učitava...
mdi-home Početna mdi-account-multiple Djelatnici mdi-script Studiji mdi-layers Katedre mdi-calendar-clock Raspored sati FOI Nastava search apps mdi-login
Sigurnost informacijskih sustava
Information Systems Security
2018/2019
5 ECTSa
Informacijsko i programsko inženjerstvo 1.2 (IPI)
Baze podataka i baze znanja 1.2 (BPBZ)
Informatika u obrazovanju 1.2 (IUO)
Organizacija poslovnih sustava 1.2 (OPS)
Katedra za informatičke tehnologije i računarstvo
SP
1. semestar
 Osnovne informacijemdi-information-variant Izvođači nastavemdi-account-group Nastavni plan i programmdi-clipboard-text-outline Model praćenjamdi-human-male-board Ispitni rokovimdi-clipboard-check-outline Rasporedmdi-calendar-clock Konzultacijemdi-account-voice
Izvođenje kolegija
Studij Studijski program Semestar Obavezan
Informacijsko i programsko inženjerstvo 1.2 (IPI) 1 obavezan
Baze podataka i baze znanja 1.2 (BPBZ) 1 obavezan
Informatika u obrazovanju 1.2 (IUO) 1 izborni
Informatika u obrazovanju 1.2 (IUO) 3 izborni
Organizacija poslovnih sustava 1.2 (OPS) 1 obavezan
Cilj kolegija
Upoznavanje studenata s problematikom sigurnosti informacijskih sustava, posebno u uvjetima ovisnosti poslovnih sustava o komunikaciji i poslovnim sadržajem, potporom informacijske tehnologije. Europska zakonska regulativa te načini udovoljavanja toj regulativi kao uvjet certifikacije. Upoznavanje s metodama izgradnje i razvoja sustava sigurnosti. Uloga pojedinih mjera za smanjivanje razina rizika u pojedinim dijelovima informacijskog sustava. Razvijanje vještina u postavljanju pojedinih mjera sigurnosti. Cilj vježbi: Cilj vježbi je upoznati studente s tehničkim sredstvima za realizaciju pojedinih oblika zaštite i sigurnosti informacijskih sustava. Nakon kolokviranih vježbi, studenti će znati samostalno izgraditi i upravljati zaštitom dijela informacijskog sustava koji je podržan računalom kroz aspekte zaštite koje je moguće provesti na toj razini.
Preduvjeti
Kolegij nema definirane preduvjete
Norma kolegija
Predavanja
 30 sati
Vježbe u praktikumu
 30 sati
Nastavnik Uloga na kolegiju Oblik nastave Tjedana Sati Grupa
Bača Miroslav Nositelj Predavanja 6 2 1
Tomičić Igor Suradnik Vježbe u praktikumu 11 2 1
Garafolić Nikola Suradnik Vježbe u praktikumu 11 2 3
Gerić Sandro Izvođač Vježbe u praktikumu
Predavanja 		4
5 		2
2 		4
1
Grd Petra Izvođač Predavanja 4 2 1
Erdelji Bogdan Demonstrator Demonstrature 6 2 2
Oršolić Ivan Demonstrator Demonstrature 6 2 2
Sadržaj predavanja
  • Značenje zaštite informacijskih sustava
    Pojam sigurnosti i osiguranja djelotvornosti informacijskog sustava, razlozi osiguranja informacijskog sustava, uvjetovanost organizacijskog razvoja poslovnog sustava o efikasnoj zaštiti informacijskog sustava. Razvoj sustava sigurnosti i zaštite informacijskih sustava do danas, s naznakama mogućih pravaca razvoja. Značenje informacijskog sadržaja, ekonomski, kulturni ili politički motivi prijetnji, vrste i oblici prijetnji kroz povijest, prijetnje strojnim i građevinskim elementima informacijskog sustava, prijetnje programskoj osnovici, prijetnje komunikacijskom sustavu, prijetnje usmjerene prema djelatnicima. Pojam kompjutorskog kriminala, nastanak i razvoj kompjutorskog kriminala, pojavni oblici, nositelji nedozvoljenih aktivnosti primjenom informacijske tehnologije
  • Pristup projektiranju informacijskih sustava
    Planiranje i projektiranje sigurnosti i zaštite prilikom izgradnje informacijskih sustava. Pregled standarda koji se koriste u projektiranju sigurnosti informacijskih resursa; načini ostvarivanja sigurnosti informacijskog sadržaja prema mjestu prijetnji te mjestu i metodi osiguranja. (2 sata) Koraci u izgradnji sustava sigurnosti poslovnog informacijskog sustava, definiranje politike sigurnosti informacijskog sustava, odabir strategija izgradnje sustava sigurnosti informacijskog sustava, odabir nositelja odgovornosti za izgradnju sustava sigurnosti, odabir pristupa u načinu realizacije sustava sigurnosti. Procjena značaja podatkovnog sadržaja poslovnog sustava, vanjski čimbenici značaja podatkovnog sadržaja, unutrašnji čimbenici značaja podatkovnog sadržaja, procjena oblika i intenziteta prijetnji podatkovnom sadržaju obzirom na procijenjeni značaj. Analiza rizika, procjena rizika pojedinom sadržaju, kvantitativne mjere procjene, područja primjene ove metode i kvalitativne mjere procjene, područja primjene ove metode. Odabir mjera zaštite. Mjere osiguranja. Upravljanje rizikom, analiza vrsti rizika, određivanje prioriteta, plan sigurnosti informacijskog sustava. Plan oporavka od katastrofe. Valorizacija uspješnosti metoda osiguranja.
  • Organizacijske, programske, tehničke i fizičke mjere zaštite
    Načini ostvarivanja organizacijskih, programskih, tehničkih i fizičke mjera osiguranja. Sredstva tehničkog osiguranja. Granice organizacijskih, programskih, tehničkih i fizičkih mjera osiguranja. Mjere zaštite informacijskih sustava, materijalni nositelj kao mjera zaštite, programske mjere zaštite, zaštita na razini operacijskog sustava, zaštita na razini aplikativne programske potpore, sigurnosna kopija s promjenom materijalnog nositelja kao mjera zaštite, zaštita kriptografskim mjerama zaštite, simetrični kripto sustavi, asimetrični kripto sustavi, funkcija digitalnog potpisa, načini ostvarivanja digitalnog potpisa, infrastruktura digitalnog potpisa, područja primjene digitalnog potpisa. Zaštita od virusa, povijest nastanka virusa, pojam virusa i vrste malicioznog softvera, putovi zaraze virusa, posljedice napada virusa, vrste virusa prema načinu skrivanja, vrste virusa prema načinu djelovanja, metode prevencije u zaštiti od virusa, metode za otkrivanje virusa, mogućnosti pojedinih programskih rješenja za identifikaciju virusa, «liječenje» i oporavak zaraženog sustava, Tehničke mjere zaštite, mjere zaštite na razini računalnog sustava, mjere povećanja redundance u opremi zavisno o riziku nestanka sadržaja i kontinuitetu funkcionalnosti sustava, mjere zaštite postavljanjem alternativnih sustava napajanja, otežavanje ulaska u štićeni prostor, nadzor prostora u vrijeme neprijavljenog boravka, sigurnosne brave, čip kartice, biometrijska provjera, otisak prsta, geometrija šake, geometrija glave, izgled šarenice oka, provjera glasa, kombinirane mjere provjere, uvjeti primjene pojedine mjere, fizičke mjere zaštite, građevinske mjere zaštite, smještaj osjetljive informatičke opreme u širem prostoru, smještaj opreme unutar zgrade, mjere protupožarne zaštite, preventivne mjere, mjere identifikacije i mjere gašenja nastalog požara. Organizacijske mjere zaštite, odabir norme, primjena norme, razrada potrebnih organizacijskih i provedbenih akata kao organizacijska mjera, sustav certificiranja primijenjenih mjera prema pojedinoj normi. Mjere zaštite iz oblasti prava, odnos države prema sustavu sigurnosti kroz donošenje pojedinih akata, normativni akti unutar poslovnog sustava koji se odnose na sigurnost. Provjera valjanosti poduzetih mjera zaštite.
  • Osiguravanje podataka tijekom procesiranja i pohrane
    Ostvarivanje sigurnosti na razini operacijskog sustava, dozvole i prava na sustavu, usporedba Windows sustava zaštite i koncepta zaštite na Unix platformi, sustav zaštite uporabom zaporke, politika dodjele i promjene zaporke. Dodavanje korisničkog sučelja, brisnje i privremeno ukidanje korisničkog sučelja, pravila isključivanja. Uvjeti i načini postavljanja sigurnosnih stijena. Osiguranje na razini aplikacije, kreiranje korisničkog sučelja, dodjela sustavskih resursa prema problemskoj domeni radnog mjesta. Pohrana podataka na sredstvima s analognim zapisom. Sredstva pohrane s digitalnim zapisom, sustav sigurnosne pohrane, normalno pohranjivanje, inkrementalno pohranjivanje, diferencijalno pohranjivanje, dnevno pohranjivanje, strategije pohrane. Multimedijalni sustavi pohrane.
  • Drugi aspekti zaštite informacijskih sustava
    Standardi sigurnosti. Pravna zaštita softverskih djela, autorsko djelo, vlasništvo softverskog proizvoda, licencna prava. Međunarodni aspekt zaštite informacijskih sustava. Analiza uspješnosti primijenjenih metoda zaštite informacijskog centra sadržaja i korisnika, provjera funkcionalnosti zaštite informacija. Ergonomski aspekt zaštite informacijskog sustava.
 Sadržaj seminara/vježbi
  • 1. Uvod i osnovni koncepti (3 sata)
    Uvod u laboratorijske vježbe, Prikaz područja pokrivenih laboratorijskim vježbama, Rad sa alatom za virtualizaciju - Oracle VirtualBox, Izrada virtualnih strojeva, Konfiguracija virtualnih strojeva, Instalacija operacijskog sustava u VirtualBox, Postavke mreže i načini djeljenja mrežnog sučelja, Ponavljanje osnovnog rada sa GNU/Linux baziranim distribucijama (CentOS/Ubuntu server)
  • 2. Analiza i uklanjanje malicioznog koda (4 sata)
    Prikaz i objašnjenje čestih oblika malicioznog koda (virusi, crvi, trojanski konji, rootkit, botnet), Metode preventivne zaštite operacijskog sustava, Analiza Windows virtualnog stroja zaraženog malicioznim kodom, Analiza procesa, memorije i komunikacije zaraženog računala kao način otkrivanja zaraze, Korištenje sysinternals alata (procexp, autoruns,tcpview...), Ostali alati i metode (netstat,procmon, wireshark...), Analiza specifičnih promjena operacijskog sustava kao način otkrivanja zaraze, Korištenja alata rootkit-revealer, lynis, rkhunter,chrootkit, Analiza trenutno aktualnog i najraširenijeg malicioznog koda, Analiza rootkita adore-ng, sebek, Načini otklanjanja zaraze i malicioznih modifikacija koje su uzrok infekcije
  • 3. Spremišta podataka i sigurnosno kopiranje (5 sati)
    Prikaz konfiguracija i metode odabira konfiguracije mrežnih spremišta podataka (SAN/NAS), Postavke zalihosnih spremišta (RAID) i LVM mehanizama, Dizajn spremišta na GNU/Linux platformi ili FreeNAS distribuciji, Postavljanje RAID, LVM i Datotečnog sustava, Odabir i konfiguracija datotečnog sustava prema primjeni spremišta i platformi, Konfiguriranje protokola za pristup spremištu (SMB,NFS,iSCSI), Odabir strategije i alata za sigurnosno kopiranje, Postavke i rad sa deltacopy/rsync alatom i postupkom, Korištenje tar-a, Copy on write i snapshot postupci kod LVM/ZFS/BTRFS datotečnog sustava, Korištenje alata Cobian, Bacula, Windows backup i rad sa backup skriptama (tar, rar i 7zip)
  • 4. Očvršćenje operacijskih sustava (6 sati)
    Smjernice za ojačanje poslužitelja, Upravljanje korisnicima i privilegijama korisnika, Kreiranje, Brisanje i ukidanje računa, Sustav privilegija i grupa, Primjena sigurnosnih zakrpa, Ažuriranje sustava, Automatska primjena sigurnosnih zakrpa, Analiza dnevničkih zapisa (log), Analiza strukture i primjena alata za analizu, Korelacija događaja (logwatch/splunk), Centralizirano bilježenje pomoću rsyslog i primjena alata za korelaciju, Primjena analizatora zapisa za automatsko blokiranje napadača (fail2ban/sshguard), Nadzor sustava pomoću centraliziranog sustava NagiOS/Monit, Očvrščenje web poslužitelja (apache) i mehanizmi za očvršćenje (mod_security), Problemi sigurnosti aplikacija: OWASP top 10 preporuke, Postavke konfiguracije, Primjena mod_security/suhoshin modifikacija, Očvrščenje SAMBA poslužitelja, Regulacija pristupa direktorijima, Bilježenje zlouporabe
  • 5. Mrežno filtriranje i detekcija upada (4 sata)
    Filtriranje pristupa informacijskom sustavu, Primjena iptables vatrozida, Primjena tcpwrappera, Access control liste, Filtriranje sadržaja u poduzeću pomoću squid proxya, Primjena OSSEC sustava za detekciju upada, Tripwire/AIDE sustav za detekciju upada
  • 6. Kriptografski mehanizmi (4 sata)
    Sigurna komunikacija po OpenPGP standardu, Korištenje simetrične i asimetrične enkripcije za komunikaciju, Generiranje i postavljanje ključa na PGP keyserver, Verifikacija autentičnosti ključa i potpisivanje ključeva za uspostavu mreže povjerenja, Korištenje sučelja - GnuPG, CryptoPhane, Enigmail, Sigurne naredbene ljuske i tuneli, Upravljanje poslužiteljem putem SSH veze, Konfiguracija SSH poslužitelja i korištenje javnih i tajnih ključeva, Primjena OpenVPN-a za postavljanje jednostavnijih Point-to-Point veza sa statičkim ključevima, Korištenje alata TrueCrypt za enkripciju diskova ili datotečnih kontejnera, Analiza SSL prometa i sigurnosnih manjkavosti SSL samopotpisanih certifikata, Primjena SSL-a za kriptiranje HTTP, SMTP i POP3 prometa
  • 7. Analiza i testiranje sustava sigurnosti (4 sata)
    Analiza ranjivosti informacijskog sustava, Prikaz OWASP WebGoat alata, Primjena OpenVAS alata, Primjena Nmap alata, Primjena W3AF frameworka, Primjena Metasploit frameworka, Uočavanje i traženje najčešćih ranjivosti informacijskih sustava, Analiza rezultata i izrada preporuka za osiguravanje sustava
 Ishodi učenja kolegija
  • Ispitati funkcionalnost i usklađenost sustava sigurnosti s preporukama i kontrolama prema normi ISO 27002
  • Izgraditi sustav preporuka za uvođenje mjera za smanjivanje rizika tj. kontrola prema normi ISO 27002
  • Izračunati razinu rizika pojedinih oblika prijetnji kategoriziranim skupinama sadržaja
  • Kategorizirati značaj skupine sadržaja prema vanjskim i unutarnjim čimbenicima
  • Predložiti mjere za očvršćivanje pojedinih segmenata sustava sigurnosti informacijskog sustava
  • Pronalaziti i koristiti literaturu o najboljoj praksi i norme iz različitih izvora uključujući i sustav za e-učenje
  • Razumijeti značenje sigurnosti i zaštite IS u funkcionalnosti ICT i poslovnih sustav
  • Sadržajno formulirati svaku fazu razvoja uvođenja sustava sigurnosti informacijskog sustava
  • Valorizirati funkcionalnost konrola u odnosu na posavljene zahtjeve
 Ishodi učenja programa
  • Projektirati, planirati, izraditi i uvesti svaki poslovni složeni informacijski sustav i/ili voditi projektni tim u slučaju kada na tim poslovima mora biti uključen veći broj stručnjaka
  • Utvrditi uvjete za primjenu, savjetovati i u zadanom kontekstu donositi odluke vezane uz suvremene tehničke koncepte i prakse u informacijskim tehnologijama (arhitektura računala, operacijski sustavi, mreže računala)
  • Odabrati i primijeniti odgovarajuće sigurnosne mehanizme pri projektiranju i izgradnji informacijskog sustava
  • Utvrditi uvjete za primjenu, savjetovati, procijeniti učinak i donositi odluke vezane uz procese, metode i tehnologije upravljanja IT uslugama i resursima te podrške i pružanja različitih vrsta usluga vezanih uz ICT
  • Primijeniti metode i tehnike izgradnje digitalnih arhiva i dugotrajnog pohranjivanja podataka
  • Izgraditi i optimizirati bazu podataka i bazu znanja primjenom odgovarajućih strategija organizacije podataka i sigurnosti informacijskog sustava
  • Primijeniti metode upravljanja životnim ciklusom informacijskog sustava organizacije
 Osnovna literatura
  • BS ISO/IEC 17799:2005, BS 7799-1:2005 norma: information technology, security techniques, code of practice for information security management. BSI, UK.
  • BS ISO/IEC 27001:2005, BS 7799-2:2005 norma: information technology, security techniques, information security, management systems, requirements. BSI, UK
  • Materijali dostupni na sustavu za e-učenje kolegija
  • Ross J. Anderson, Security Engineering: A Guide to Building Dependable Distributed Systems, Wiley; 2nd edition (April 14, 2008)
 Dopunska literatura
  • Ashbourn J. Biometrics - Advanced Identity Verification. Springer-Verlag, UK, 2000.
  • Calder, A.; Watkins, S. IT governance: a manager’s guide to data security and ISO 27001/ISO 27002.
  • Scheiner, B. Applied Cryptography. John Wiley and Sons Inc., USA, 1996.
  • Thorenson J.D.; Blankenship, J.H. Information Secrets. Valuable Information Ltd, USA, 1996.
  • Vježbe:Različiti priručnici i on-line dokumentacija za programske alate koji se koriste na vježbama
 Slični kolegiji
  • IT-Security, TUG (Techniche Universitat Graz)
  • Telematik IV - IT Security, Albert-Ludwigs Univ., Freiburg
  • Computer and Network Security, University of Florida
 Redoviti studenti Izvanredni studenti
izvanredni rok
Datum: 17.04.2026.
Vrijeme: 16:00
Opis: Na Fakultetu
U kalendaru ispod se nalaze konzultacije predmetnih nastavnika, no za detalje o konzultacijama možete provjeriti na profilu pojedinog predmetnog nastavnika.
 2026 © Fakultet organizacije i informatike, Centar za razvoj programskih proizvoda