Zakres przedmiotu:
W1: System zarządzania bezpieczeństwem informacji
W2: Zabezpieczenia systemów teleinformatycznych
W3: Audyt systemu zarządzania bezpieczeństwem informacji
Warunek zaliczenia przedmiotu

W1: System zarządzania bezpieczeństwem informacji (6 godz.)

Celem wykładu jest zapoznanie uczestników studiów z systemem zarządzania bezpieczeństwem informacji. Zostanie wprowadzona koncepcja zarządzania bezpieczeństwem informacji przez zarządzanie ryzykiem, przedstawione zostanie praktyczne podejście planowania, wdrażania, eksploatacji i doskonalenia systemu zarządzania bezpieczeństwem informacji. Omówiony zostanie system oceny zgodności z normą PN ISO/IEC 27001 i certyfikacja na zgodność z normą.

Zakres przedmiotowy wykładu:

  1. System zarządzania bezpieczeństwem informacji (SZBI). Norma PN ISO/IEC 27001:2005, podstawowa dla systemów zarządzania bezpieczeństwem informacji. Model PDCA (pętla Deminga) jako sposób na skuteczny, adekwatny do wyznaczonego poziomu bezpieczeństwa i odpowiedni do potrzeb organizacji SZBI. Omówienie wymagań zawartych w normie PN ISO/IEC 27001:2005.
  2. System norm wspierających wdrażanie normy ISO/IEC 27001. Seria norm ISO/IEC 270xx.
  3. Zarządzanie ryzykiem jako podstawowy proces SZBI. Podstawowe pojęcia i modele ryzyka w bezpieczeństwie informacji. Norma PN ISO/IEC 27005:2008 wspierająca zarządzanie ryzykiem w bezpieczeństwie informacji. Praktyczne aspekty wdrażania systemów zarządzania ryzykiem w różnych organizacjach. Zabezpieczenia jako podstawowy mechanizm ograniczania ryzyka w systemach zarządzania bezpieczeństwem informacji.
  4. SZBI zgodny z normą ISO/IEC 27001. Domknięcie pętli Deminga niezbędne do określenia zgodności wdrożonego SZBI z normą ISO/IEC 27001. Specyfika audytu certyfikacyjnego SZBI.
  5. Kierunki rozwoju norm systemów zarządzania oraz możliwy wpływ na systemy zarządzania bezpieczeństwem informacji.

Efekty kształcenia: Zrozumienie mechanizmów systemu zarządzania bezpieczeństwem informacji oraz praktyczna umiejętność tworzenia takich mechanizmów.

W2: Zabezpieczenia systemów teleinformatycznych (9 godz.)

Celem wykładu jest zapoznanie uczestników studiów z normą PN ISO/IEC 17799 (ISO/IEC 27002) jako katalogiem zabezpieczeń. Przedstawione zostaną cele stosowania zabezpieczeń oraz zabezpieczeń, które realizują cele w poszczególnych obszarach bezpieczeństwa. Zostanie wykazana synergia zabezpieczeń różnego typu. Zaprezentowane zostaną testy skuteczności zabezpieczeń teleinformatycznych.

Zakres przedmiotowy wykładu:

  1. Wprowadzenie pojęć bezpieczeństwa informacji i bezpieczeństwa teleinformatycznego. Atrybuty bezpieczeństwa informacji, systematyka oraz typy zabezpieczeń.
  2. Norma PN ISO/IEC 17799 (ISO/IEC 27002). Układ normy, obszary bezpieczeństwa informacji oraz cele stosowania zabezpieczeń i zabezpieczenia w tych obszarach, specyfika obszarów bezpieczeństwa teleinformatycznego.
  3. Praktyczne przykłady budowy polityki bezpieczeństwa informacji w różnych organizacjach.
  4. Metody potwierdzania bezpieczeństwa teleinformatycznego. Testy bezpieczeństwa pasywne ( vulnerability assessment) oraz aktywne (testy penetracyjne), zautomatyzowane narzędzia testowania systemów teleinformatycznych, certyfikacja bezpieczeństwa produktów informatycznych.
  5. Kierunki rozwoju normy PN ISO/IEC 17799 (ISO/IEC 27002). Nowe obszary bezpieczeństwa teleinformatycznego (infrastruktura krytyczna, rozproszona architektura, cloud computing).

Efekty kształcenia: Uzyskanie podstawowej wiedzy o bezpieczeństwie informacji i systemów teleinformatycznych. Praktyczna znajomość normy PN ISO/IEC 17799 (ISO/IEC 27002) jako katalogu zabezpieczeń wspierającego wdrożenie SZBI. Umiejętność budowania polityki bezpieczeństwa informacji zgodnie z powszechnie uznanymi normami i najlepszymi praktykami. Praktyczna znajomość metod oceny bezpieczeństwa systemów teleinformatycznych

W3: Audyt systemu zarządzania bezpieczeństwem informacji (3 godz.)

Celem wykładu jest zapoznanie uczestników studiów z celami, zasadami i podstawowymi technikami stosowanymi w audycie systemu zarządzania bezpieczeństwem informacji.

Zakres przedmiotowy wykładu:

  1. Wprowadzenie do zagadnień związanych z audytem. Definicja audytu; typy audytów; audyt a kontrola. Kryteria audytu i ocena zgodności z kryteriami. Przebieg audytu. Etyka audytora.
  2. Znaczenie oraz specyfika audytu systemu zarządzania bezpieczeństwem informacji (SZBI). Specyfika audytowania systemu zarządzania i zabezpieczeń. Normy ISO/IEC 27007 oraz 27008 odnoszące się, odpowiednio, do audytu SZBI i audytu zabezpieczeń. Organizacja audytu SZBI. Prezentacja metody oraz wyników audytu wybranych zabezpieczeń teleinformatycznych.

Efekty kształcenia: Uzyskanie podstawowej wiedzy nt. audytu SZBI oraz audytu zabezpieczeń. Uzyskanie podstawowej wiedzy o technikach audytu, specyficznych dla SZBI oraz zabezpieczeń teleinformatycznych.

Warunek zaliczenia przedmiotu

Zaliczenie egzaminu.