6

ECTS

30 sati

Predavanja
Team member six

Upravljanje informacijskom sigurnošću

Status predmeta: Obavezan

Saznajte više o predmetu:
Ciljevi predmeta:

Temeljni cilj kolegija jest naučiti polaznike kako uspostaviti cjeloviti sustav informacijske sigurnosti i upravljati sustavom informacijske sigurnosti. Način uspostave i upravljanja sustavom sigurnosti temelji se na poznavanju šire problematike informacijske sigurnosti i izgradnji sustava sigurnosti temeljenog na najboljoj praksi međunarodnog skupa normi ISO 27000 i NIST 800.

Ishodi učenja:

Na razini programa:

  1. Primijeniti iskustva dobre prakse prilikom uspostave sustava informacijske sigurnosti u poslovnom/ informacijskom sustavu. 
  2. Definirati, osmisliti i primijeniti strategiju uspostave sustava informacijske sigurnosti
  3. Ustrojiti i provoditi provjere sustava informacijske sigurnosti (audite) upotrebom odgovarajućih  metoda i postupaka, s ciljem osiguravanja sukladnosti sustava informacijske sigurnosti sa sigurnosnim planovima i procedurama, politikama, međunarodnim standardima, zakonskim i internim aktima poslovnog sustava
  4. Uspostaviti i unaprjeđivati ciklus planiranja – uspostave – provjere – i – korekcije sustava informacijske sigurnosti.
  5. Nadgledati i koordinirati životnim ciklusom informacijske sigurnosti koji uključuje planiranje, nabavu, razvoj, održavanje, vrednovanje i zamjenu sigurnosne infrastrukture.
  6. Kritizirati i opravdati odluke iz područja informacijske sigurnosti prema ključnim dionicima (uprava, zaposlenici, klijenti, institucije državne uprave).

Na razini predmeta:

  1. Razumjeti i analizirati značaj cjelovitog sustava informacijske sigurnosti. Time se određuje i oslonjivost poslovnog sustava na informacijski sustav,
  2. Poznavati i primijeniti metode i norme za uspostavu cjelovitih sustava informacijske sigurnosti te upravljanja procjenom značaja informacijske imovine, procjenom oblika i intenziteta prijetnji te procjenom rizika,
  3. Analizirati i prepoznati informacijsku imovinu, sigurnosne prijetnje i druge čimbenike nužne za procjenu ranjivosti informacijskog sustava i poduzimanje potrebnih mjera za smanjivanje ranjivosti,
  4. Predložiti i osmisliti program razvoja i uvođenja sustava informacijske sigurnosti u poslovni sustav i voditi takav projekt do njegove certifikacije

Kolegij podržava sljedeće e-kompetencije prema European e-Competence okviru:

  • D.1. Information Security Strategy Development
  • E.8. Information Security Management

Sadržaj kolegija dijelom odgovara i sljedećim stručnim certifikatima:

  • ISACA CISM Certified Information Security Manager
  • ISACA CGEIT Certified in the Governance of Enterprise IT
  • (ISC)2 CISSP Certified Information Systems Security Professional
Sadržaj predmeta:

Uvod u predmet: objašnjenje metode rada na kolegiju, podjela korisničkih računa za pristup LMS-u (Moodle) na kojem se nalazi nastavni sadržaj preko kojeg se koriste alati za diskusijske skupine, odabir tema za projektne radove te predaja radova u korisničkom okruženju.

Razlozi izgradnje sustava informacijske sigurnosti: Oslonjenost poslovnog sustava na informacijski sustav, principi podjele informacija u zajedničkim informacijskim sustavima. Pregledi stanja ovog područja u svijetu i RH. Ciljevi sigurnosti IS-a.
Mogući aspekti i razine sigurnosti IS-a. Pregled normi (standarda) iz ovog područja. Načini, aspekti i parametri organizacijske sigurnosti IS-a. Pridobivanje potpore poslovodstva. 

Koraci izgradnje sustava sigurnosti prema skupu normi ISO/IEC 27000, NIST 800. Definiranje politika informacijske sigurnosti, upravljanje informacijskom imovinom, procjene sigurnosnih rizika, pregled kvalitativnih i kvantitativnih metoda procjene rizika, odabir odgovarajućih kontrola. Upravljanje sigurnosnim rizicima u malim i srednjim poslovnim sustavima. Pristupi u korporacijskim sustavima. Uloga voditelja informacijske sigurnosti (tzv. CISO, Chief Information Security Officer). Prezentiranje i komunikacija prema upravi organizacije i upravnom/nadzornom odboru. Podizanje svijesti o informacijskoj sigurnosti.

Odabir mjera za smanjenje rizika i obrada rizika. Upravljanje razvojem sustava sigurnosti. Prikaz načina izrade bilance informacijske imovine, procjene značaja podatkovnog sadržaja. Upravljanje izradom procjene izvora, oblika i intenziteta prijetnji. 

Mjere za smanjivanje rizika: otpornost pojedinog materijalnog nositelja prema oblicima prijetnji. Programske mjere zaštite informacijskog sustava. 

Tehničke mjere zaštite informacijskog sustava. Fizičke mjere zaštite informacijskog sustava. Organizacijske mjere zaštite informacijskog sustava. Pravne i druge normativne mjere zaštite informacijskog sustava.

Propisi Europske zajednice i NATO-a iz područja sigurnosti informacija, Nacionalni program informacijske sigurnosti Republike Hrvatske. Hrvatsko zakonodavstvo iz ovog područja.

Upravljanje razvojem cjelovitog sustava informacijske sigurnosti. Organizacija projekta i sudionici. Određivanje područja primjene, izrada plana projekta, proizvodi i usluge po fazama projekta. Organizacijska struktura za upravljanje informacijskom sigurnošću. Nadzor tijekom realizacije projekta. Certifikacija sustava informacijske sigurnosti.