5

ECTS

30 sati

Predavanja
Team member six

Testiranje sustava sigurnosti i etičko hakiranje

Status predmeta: Izborni

Saznajte više o predmetu:
Ciljevi predmeta:

Naučiti polaznike metode i načine provjere razine sigurnosti složenih sustava. Prikazati metodologije za testiranje razine sustava sigurnosti.

Ishodi učenja:

Na razini programa:

  1. Primijeniti iskustva dobre prakse prilikom uspostave sustava informacijske sigurnosti u poslovnom/ informacijskom sustavu
  2. Ustrojiti i provoditi provjere sustava informacijske sigurnosti (audite) upotrebom odgovarajućih  metoda i postupaka, s ciljem osiguravanja sukladnosti sustava informacijske sigurnosti sa sigurnosnim planovima i procedurama, politikama, međunarodnim standardima, zakonskim i internim aktima poslovnog sustava.
  3. Analizirati, preporučiti i odabrati sigurnosne zahtjeve prilikom dizajna, razvoja i uspostave sustava informacijske sigurnosti
  4. Analizirati resurse informacijskog sustava s aspekta njihove ranjivosti i sigurnosnih nedostataka. 
  5. Primijeniti metodologije procjene i umanjivanja sigurnosnih rizika, te postupke upravljanja rizicima u kontekstu informacijske sigurnosti. 
  6. Analizirati, razviti, primijeniti i vrednovati metode i načine zaštite resursa informacijskog sustava s ciljem sprečavanja narušavanja njegova integriteta, detekcije neovlaštenih aktivnosti i napada, te uspostave odgovarajućih zaštitnih mjera

Na razini predmeta:

  1. Evaluirati primjenu raznih metodologija i pristupa testiranju sustava sigurnosti.
  2. Odabrati primjerenu metodologiju i pristup testiranju sustava sigurnosti prema konkretnom zahtjevu i opsegu testiranja.
  3. Kritički prosuđivati      etičke principe, pravnu regulativu i znati moguće rizike u sklopu testiranja sustava sigurnosti i etičkog hakiranja.
  4. Organizirati pristup i način testiranja sustava sigurnosti za odabrani sustav.
  5. Preispitati      odabrane metode testiranja sigurnosti.
  6. Evaluirati i procijeniti razinu sigurnosti u sustavu primjenom metodologije.

Kolegij podržava i doprinosi sljedećim e-kompetencijama prema European e-Competence okviru:

  • B.3. Testing
  • E.3. Risk Management
  • E.5. Process Improvement
  • E.6. ICT Quality Management

Sadržaj kolegija dijelom odgovara i sljedećim  stručnim certifikatima:

  • EC Council Certified Ethical Hacker
  • GIAC Systems and Network Auditor
  • GIAC Penetration tester
Sadržaj predmeta:

Uvod u predmet: objašnjenje metode rada na kolegiju, odabir tema za problemske zadatke.

Etička i pravna pitanja u području testiranja sustava sigurnosti i etičkog hakiranja. Zakonska regulativa i moguća kaznena odgovornost. 

Razine provjere sustava sigurnosti, skeniranje za ranjivostima, penetracijski testovi, revizije sustava, testiranje

Pristupi testiranju sustava sigurnosti, određivanje i dokumentiranje opsega testiranja, potrebni dokumenti i dozvole prije testiranja, pisanje izvješća testiranja.

Metodologije testiranja sustava sigurnosti i odabir primjerene metodologije ovisno o specifičnostima sustava koji se testira. Osnove OSSTMM metodologije (eng. The Open Source1 Security Testing Methodology Manual). Testiranje razine svijesti osoblja o sigurnosti, razina prijevara i izloženosti socijalnom inženjeringu, sigurnosti računalne i telekomunikacijske mreže, bežičnih uređaja, mobilnih uređaja, fizičke sigurnosne kontrole pristupa, sigurnosnih procesa te sigurnosti fizičke lokacije.
Koraci u testiranju i etičkom hakiranju, postupci prije testiranja, izviđanje, modeliranje prijetnji, analiza ranjivosti, eksploatacija, post-eksploatacija, izvješćivanje.

Priprema za penetracijsko testiranje
Odabir meta na temelju procjene rizika.
Vrste penetracijskih testova.
Odabir opsega za penetracijsko testiranje.
Prednosti i mane izgradnje internog tima za penetracijsko testiranje.

Aktivnosti poslije penetracijskog testiranja
Razumijevanje izvješća penetracijskog testa, postupanje s rezultatima penetracijskog testa i smanjenje uočenih ranjivosti, ponovni test.
Načini realiziranja metodologije testiranja kroz konkretne metode testiranja - Prikaz metoda testiranja ovisi o interesu i specijalizaciji polaznika