6

ECTS

30 sati

Predavanja
Team member six

Upravljanje rizicima informacijske sigurnosti

Status predmeta: Obavezan

Saznajte više o predmetu:
Ciljevi predmeta:
  • razumijevanje najčešćih sigurnosnih rizika i načina prodora u informacijske sustave kao i oblika zlouporabe informacija/podataka. Iz oblika zlouporabe informacija/podataka  određuje se sigurnosni rizik, tip ranjivost te način djelovanja.  
  • poznavanje i primjena metoda potrebnih za upravljanje mogućim sigurnosnim rizicima, načinima njihovog praćenja te kontrolom i revizijom učinjenih aktivnosti. 
  • analiza i prepoznavanje potrebnih mjera za kvalitetnim upravljanjem sigurnosnim rizicima i smanjenjem mogućih šteta. Procjena sigurnosnog rizika po različitim kategorijama informacijske imovine, način upravljanja sigurnosnim rizicima te određivanje strategije sigurnosti temeljem toga. 
  • sinteza i prezentacija programa upravljanja ranjivostima/prijetnjama/rizicima u realnom poslovnom/informacijskom sustavu.
  • vrednovanje izvedenih aktivnost tijekom realizacije kolegija.
Ishodi učenja:

Na razini programa:

  1. Primijeniti iskustva dobre prakse prilikom uspostave sustava informacijske sigurnosti u poslovnom/ informacijskom sustavu. 
  2. Definirati, osmisliti i primijeniti strategiju uspostave sustava informacijske sigurnosti
  3. Uspostaviti i unaprjeđivati ciklus planiranja – uspostave – provjere – i – korekcije sustava informacijske sigurnosti.
  4. Nadgledati i koordinirati životnim ciklusom informacijske sigurnosti koji uključuje planiranje, nabavu, razvoj, održavanje, vrednovanje i zamjenu sigurnosne infrastrukture.
  5. Kritizirati i opravdati odluke iz područja informacijske sigurnosti prema ključnim dionicima (uprava, zaposlenici, klijenti, institucije državne uprave).
  6. Primijeniti metodologije procjene i umanjivanja sigurnosnih rizika, te postupke upravljanja rizicima u kontekstu informacijske sigurnosti. 
  7. Analizirati i procijeniti utjecaj različitih čimbenika (tehničkih, organizacijskih, ljudskih, zakonskih) na sigurnosne rizike.

Na razini predmeta:

  1. Razumjeti  značaj podataka i informacija u kontekstu mogućih zlouporaba informacijskog sustava.
  2. Razumjeti tehničke, organizacijske i ljudske faktore koji su povezani i koji utječu na rizike u informacijskoj sigurnosti.
  3. Procijeniti sigurnosne rizike informacijskog sustava.
  4. Poznavati i primijeniti sigurnosne norme i koncepte iz domene upravljanja rizicima u informacijskoj sigurnosti.
  5. Poznavati i primijeniti klasifikacijski model ranjivosti te načina postupanja s ranjivostima. 
  6. Analizirati i primijeniti potrebne mjere za rad sa ranjivostima i prijetnjama.

Nastavni plan i program kolegija je sukladan kompetecijama koje definira „Europski okvir e-kompetencija“ (European e- competences Framework) za profile ICT Security Manager i ICT Security Auditor, te u potpunosti pokriva skup znanja i kompetencija iz domene upravljanja rizicima 

  • K1 primjena analize rizika, uzimajući u obzir korporativne vrijednosti i interese;
  • K2 smanjivanje gubitaka u zavisnosti o ulaganjima u razvoj sustava izbjegavanja rizika;
  • K3 dobre prakse (metodologije) i standardi u analizi rizika
  • S1 izraditi plan upravljanja rizicima kako bi se utvrdile potrebne mjere za njihovo smanjivanje;
  • S2;prezentiranje i objašnjavanje rezultata provedene procjene rizika
  • S3 dizajnirati i dokumentirati procese za analizu i upravljanje rizicima;
  • S4 primijeniti mjere za smanjivanje posljedica i prijetnji.

Sadržaj kolegija dijelom odgovara i sljedećim stručnim certifikatima:

  • ISACA CRISC Certified in Risk and Information Systems Control
  • ISACA CISM Certified Information Security Manager
  • (ISC)2 CISSP Certified Information Systems Security Professional
Sadržaj predmeta:

Uvod u predmet. Pojam sigurnosnog rizika. Vrste sigurnosnih rizika. Odnos sigurnosni rizik – ranjivost – sigurnosni incident. Procjena sigurnosnog rizika. Načini nastanka sigurnosnih rizika. Pregled mogućih prodora u informacijske sustave i njihove značajke. Traženje sigurnosnih propusta. Analize ranjivosti i moguće posljedice tih ranjivosti. Vjerojatnost njihova nastanka.
Metrike za određivanje sigurnosnih rizika. Kvantitativne i kvalitativne metrike. Metode za procjenu rizika. 
Alati za procjenu rizika.
Oblici i posljedice nepostojanja organizacije sigurnosti, definiranje potrebnih odgovornosti i njihovih nositelja, obaveze treće strane u pristupima informacijskim resursima.
Međunarodne norme i koncepti upravljanja sigurnosnim rizicima. Iskustva dobre prakse. 
Proces upravljanja sigurnosnim rizicima. Uspostava registra informacijske imovne. Uspostava PDCA ciklusa kao dio procesa upravljanja sigurnosnim rizicima. Rezultat procjene sigurnosnog rizika.
Nepoštivanje međunarodnih propisa iz područja sigurnosti informacija/podataka. Najčešći oblici kršenja nacionalnih propisa i nepoštivanje nacionalnog programa informacijske sigurnosti, te njihov utjecaj na upravljanje sigurnosnim rizicima. Europske direktive iz domene kibernetičke sigurnosti, Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga