Zakres przedmiotu:
W1: Wstęp do bezpieczeństwa informacji: pojęcia, modele, architektury
W2: Kryptologia
W3: Ciągłość działania i wznawianie działania po sytuacjach krytycznych
W4: Kontrola dostępu i bezpieczeństwo fizyczne
W5: Podstawy projektowania i dokumentowania systemów ochrony informacji
W6: Analiza ryzyka jako podstawa budowy systemu ochrony informacji
Zakres laboratorium
Warunki zaliczenia przedmiotu

W1 (20 godz.): Wstęp do bezpieczeństwa informacji: pojęcia, modele, architektury

Celem wykładu jest wprowadzenie uczestników studiów w tematykę bezpieczeństwa informacji. Jest to jeden z pierwszych wykładów, którego głównym zadaniem jest przygotowanie podstaw niezbędnych do lepszego zrozumienia tematyki przedstawianej w ramach innych przedmiotów. Przewidujemy omówienie następujących zagadnień:

  • Rodzaje informacji. Sposoby klasyfikacji informacji ze względu na wymagania dotyczące ich bezpieczeństwa.
  • Wyjaśnienie kluczowych koncepcji związanych z bezpieczeństwem informacji: poufność, integralność, dostępność, autentyczność i niezaprzeczalność.
  • Wyjaśnienie pojęć: ryzyka, podatności i zagrożeń.
  • Klasyfikacja i omówienie podstawowych mechanizmów zapewniania bezpieczeństwa.
  • Aspekty kontroli dostępu: uwierzytelnianie, autoryzacja, rozliczanie.
  • Utrzymanie bezpieczeństwa jako proces.
  • Przegląd przez różne obszary zainteresowań bezpieczeństwa informacji, które będą omawiane w ramach studiów.

W2 (9 godz.): Kryptologia

Celem wykładu jest wszechstronne wprowadzenie do współczesnej kryptologii i jej zastosowań praktycznych o istotnym znaczeniu w różnych dziedzinach życia, z elementami teorii i historii oraz perspektywami na przyszłość. W ramach wykładu omówione zostaną następujące zagadnienia:

  • Zastosowania i znaczenie kryptologii: systemy informatyczne, gospodarka, nauka, polityka, siły zbrojne, wywiad i kontrwywiad, inne.
  • Składniki kryptologii: kryptografia i kryptoanaliza.
  • Cele kryptografii: tajność danych (przekazu), kontrola dystrybucji, uwierzytelnienie, niezaprzeczalność.
  • Cele kryptoanalizy: łamanie tajności danych (przekazu), manipulacja dystrybucją i treścią, fikcyjne autorstwo.
  • Bezpieczeństwa szyfrów: kryteria i poziomy.
  • Szyfry symetryczne.
  • Szyfr jednorazowego klucza losowego.
  • Szyfry asymetryczne – klucza publicznego.
  • Funkcje skrótu.
  • Podpisy cyfrowe.
  • Kryptografia kwantowa.
  • Metody kryptoanalizy: ataki frontalne i flankowe.
  • Kierunki rozwoju kryptologii.

W3 (6 godz.): Ciągłość działania i wznawianie działania po sytuacjach krytycznych

Celem wykładu jest zapoznanie uczestników studiów z szeroko pojętą ciągłością działania i odtwarzaniem po awarii (Business Continuity Disaster Recovery - (BC/DR) w przedsiębiorstwie/firmie. Zostanie przedstawiona historia rozwoju tej stosunkowo nowej dziedziny oraz zostaną wprowadzone podstawowe pojęcia w niej stosowane. W ramach wykładu omówione zostaną w szczególności wytyczne zarządcze (RTO, RTA, RPO), rodzaje kopii bezpieczeństwa, plan zapewniania informacyjnej ciągłości działania, zapasowe ośrodki przetwarzania danych (hosting, kolokacja) oraz systemy zasilania gwarantowanego.

W4 (16 godz.): Kontrola dostępu i bezpieczeństwo fizyczne

W ramach wykładu omówione zostaną następujące zagadnienia:

  • Uwierzytelnianie (podmiotów), autoryzacja, weryfikacja autoryzacji.
  • Metody uwierzytelniania podmiotów.
  • Ataki na systemy uwierzytelniania
  • Trendy rozwojowe, pojedynczy punkt uwierzytelniania.
  • Zabezpieczenia programowe, techniczne i fizyczne.

W5 (10 godz.): Podstawy projektowania i dokumentowania systemów ochrony informacji

Celem zajęć jest przekazanie wiedzy dotyczącej właściwych procedur projektowania i dokumentowania systemów ochrony informacji. Omówione zostaną następujące zagadnienia:

  • Pojęcie "cyklu życia systemu" i jego etapy.
  • Podstawy konstrukcji specyfikacji wymagań.
  • Podstawowe zasady projektowania systemów ochrony informacji.
  • Odbiór prac projektowych i gotowego systemu ochrony.
  • Metodyki w procesie projektowania.
  • Polityka bezpieczeństwa informacyjnego.
  • Plan bezpieczeństwa informacyjnego.
  • Instrukcje i procedury bezpieczeństwa teleinformatycznego.

W6 (4 godz.): Analiza ryzyka jako podstawa budowy systemu ochrony informacji

Od paru lat można zaobserwować trend „postrzegania” działalności biznesowej przez pryzmat ryzyka, w tym ryzyka związanego z przetwarzaniem, przesyłaniem i przechowywaniem informacji w systemach informacyjnych organizacji. To stwierdzenie znajduje swoje uzasadnienie m.in. w zapisach norm (np. PN-ISO/IEC 27001:2007, PN-ISO/IEC 27005:2010) i przepisów prawa (np. ustawa o ochronie informacji niejawnych z 2010 roku). Zgodnie z zapisami ww. dokumentów, analiza ryzyka ma być podstawą nie tylko bieżącej działalności operacyjnej, ale także ma być podstawą do projektowania i budowy systemów ochrony informacji. Wykład przewiduje omówienie następujących zagadnień:

  • Wprowadzenie do zarządzania ryzykiem i ochrony informacji.
  • Metoda ilościowa i jakościowa szacowania ryzyka na potrzeby ochrony informacji.
  • Budowa systemu zabezpieczeń informacji przetwarzanej w systemach teleinformatycznych jako metoda postępowania z ryzykiem.

Zakres laboratorium (12 godz.)

  • Kryptologia (8 godz.). Szyfry symetryczne i asymetryczne, generacja podpisu cyfrowego, generacja certyfikatu klucza publicznego. Zastosowanie podpisu cyfrowego w korespondencji elektronicznej.
  • Analiza ryzyka jako podstawa budowy systemu ochrony informacji (4 godz.).

Warunki zaliczenia przedmiotu

  1. Zaliczenie dwóch egzaminów cząstkowych organizowanych pod koniec każdego semestru (każdy egzamin dotyczący wyłącznie materiału z danego semestru).
  2. Zaliczenie minimum 80% zajęć praktycznych.