Lista kolegija iz:
2016/2017
Specijalistički
Upravljanje sigurnošću i revizijom informacijskih sustava v2.0
| Program | Obavezan |
|---|---|
| Upravljanje sigurnošću i revizijom informacijskih sustava USRIS | Da |
Upravljanje rizicima u informacijskoj sigurnosti npp:164060
Engleski naziv
Upravljanje rizicima u informacijskoj sigurnosti
Cilj kolegija
Razumijevanje najčešćih sigurnosnih rizika i načina prodora u informacijske sustave kao i oblika zlouporabe informacija/podataka. Iz oblika zlouporabe informacija/podataka određuje se sigurnosni rizik, tip ranjivost te način djelovanja. Poznavanje i primjena metoda potrebnih za upravljanje mogućim sigurnosnim rizicima, načinima njihovog praćenja te kontrolom i revizijom učinjenih aktivnosti. Analiza i prepoznavanje potrebnih mjera za kvalitetnim upravljanjem sigurnosnim rizicima i smanjenjem mogućih šteta. Procjena sigurnosnog rizika po različitim kategorijama informacijske imovine, način upravljanja sigurnosnim rizicima te određivanje strategije sigurnosti temeljem toga. Sinteza i prezentacija programa upravljanja ranjivostima/prijetnjama/rizicima u realnom poslovnom/informacijskom sustavu. Vrednovanje izvedenih aktivnost tijekom realizacije kolegija.
Nastava
Ishodi učenja predmeta
- Analizirati i primijeniti potrebne mjere za rad sa ranjivostima i prijetnjama
- Poznavati i primijeniti klasifikacijski model ranjivosti te načina postupanja s ranjivostima
- Poznavati i primijeniti sigurnosne norme i koncepte iz domene upravljanja rizicima u informacijskoj sigurnosti
- Procijeniti sigurnosne rizike informacijskog sustava
- Razumjeti tehničke, organizacijske i ljudske faktore koji su povezani i koji utječu na rizike u informacijskoj sigurnosti
- Razumjeti značaj podataka i informacija u kontekstu mogućih zlouporaba informacijskog sustava
Ishodi učenja programa
- Analizirati i procijeniti utjecaj različitih čimbenika (tehničkih, organizacijskih, ljudskih, zakonskih) na sigurnosne rizike.name to translate
- Definirati, osmisliti i primijeniti strategiju uspostave sustava informacijske sigurnosti.name to translate
- Kritizirati i opravdati odluke iz područja informacijske sigurnosti prema ključnim dionicima (uprava,zaposlenici, klijenti, institucije državne uprave).name to translate
- Primijeniti iskustva dobre prakse prilikom uspostave sustava informacijske sigurnosti u poslovnom/informacijskom sustavu.name to translate
- Primijeniti metodologije procjene i umanjivanja sigurnosnih rizika, te postupke upravljanja rizicima u kontekstu informacijske sigurnosti.name to translate
- Uspostaviti i unaprjeđivati ciklus planiranja – uspostave – provjere – i – korekcije sustava informacijske sigurnosti.name to translate
Sadržaj predavanja
-
Pojam sigurnosnog rizika. Vrste sigurnosnih rizika. Odnos sigurnosni rizik – ranjivost – sigurnosni incident. Procjena sigurnosnog rizika. Načini nastanka sigurnosnih rizika. Pregled mogućih prodora u informacijske sustave i njihove značajke. Traženje sigurnosnih propusta. Analize ranjivosti i moguće posljedice tih ranjivosti. Vjerojatnost njihova nastanka.
-
Metrike za određivanje sigurnosnih rizika. Kvantitativne i kvalitativne metrike. Metode za procjenu rizika.
-
Oblici i posljedice nepostojanja organizacije sigurnosti, definiranje potrebnih odgovornosti i njihovih nositelja, obaveze treće strane u pristupima informacijskim resursima.
-
Međunarodne norme i koncepti upravljanja sigurnosnim rizicima. Iskustva dobre prakse.
-
Proces upravljanja sigurnosnim rizicima. Uspostava registra informacijske imovne. Uspostava PDCA ciklusa kao dio procesa upravljanja sigurnosnim rizicima. Rezultat procjene sigurnosnog rizika.
-
Alati za procjenu rizika.
-
Nepoštivanje međunarodnih propisa iz područja sigurnosti informacija/podataka. Najčešći oblici kršenja nacionalnih propisa i nepoštivanje nacionalnog programa informacijske sigurnosti, te njihov utjecaj na upravljanje sigurnosnim rizicima.