Zarządzanie bezpieczeństwem informacji

Celem przedmiotu jest rozwinięcie zrozumienia wymagań dotyczących zabezpieczenia zasobów informacyjnych oraz pozyskanie wiedzy na temat podstawowych zasad, metod i technik analizy ryzyka oraz zarządzania bezpieczeństwem informacji. 

Wiedza i umiejętności zdobyte w tym przedmiocie stanowią podstawę do formułowania wymagań dotyczących zabezpieczenia systemu informatycznego oraz do oceny jego bezpieczeństwa w szerszym kontekście środowiska, w którym system ten jest eksploatowany.

Wykład

Zakres przedmiotu:

  • Zasoby informacyjne I ich znaczenie;
  • Pojęcie i zakres bezpieczeństwa informacji;
  • Bezpieczeństwo a zaufanie;
  • Bezpieczeństwo a użyteczność;
  • Klasyfikacja i etykietowanie zasobów informacyjnych;
  • Ocena zagrożeń i podatności;
  • Ocena ryzyka dotyczącego zasobów informacyjnych;
  • Dobór zabezpieczeń – system zarządzania bezpieczeństwem informacji;
  • Wybrane techniki analizy ryzyka – drzewa ataków;
  • Standard ISO/IEC 27001:2013 – zakres, wymagania, ocena zgodności;
  • Prywatność (pojęcie, zakres, regulacje) oraz wybrane techniki zapewniania prywatności;
  • Relacje między pojęciami bezpieczeństwa (safety), zabezpieczenia (security) i prywatności (privacy);
  • Zagrożenia bezpieczeństwa systemów SCADA (Supervisory Control And Data Acquisition).

Projekt

W ramach projektu studenci pracują w grupach. Każda z grup realizuje dwa zadania. Zadanie 1 dotyczy zastosowania szablonu zgodności ze standardem ISO/IEC 27001 do oceny zarządzania bezpieczeństwem w wybranej organizacji (zadanie jest wykonywane z wykorzystaniem narzędzia NOR-STA). Zadanie 2 dotyczy opracowania drzew ataku dla wskazanych zasobów informacyjnych (zadanie jest wykonywane z wykorzystaniem narzędzia ADTool).