Wydział Informatyki - Informatyka (S1)
Sylabus przedmiotu Audyt bezpieczeństwa systemów teleinformacyjnych:
Informacje podstawowe
| Kierunek studiów | Informatyka | ||
|---|---|---|---|
| Forma studiów | studia stacjonarne | Poziom | pierwszego stopnia |
| Tytuł zawodowy absolwenta | inżynier | ||
| Obszary studiów | nauki techniczne, studia inżynierskie | ||
| Profil | ogólnoakademicki | ||
| Moduł | — | ||
| Przedmiot | Audyt bezpieczeństwa systemów teleinformacyjnych | ||
| Specjalność | systemy komputerowe i oprogramowanie | ||
| Jednostka prowadząca | Katedra Inżynierii Oprogramowania | ||
| Nauczyciel odpowiedzialny | Imed El Fray <Imed.El Fray@zut.edu.pl> | ||
| Inni nauczyciele | |||
| ECTS (planowane) | 2,0 | ECTS (formy) | 2,0 |
| Forma zaliczenia | zaliczenie | Język | polski |
| Blok obieralny | 10 | Grupa obieralna | 8 |
Formy dydaktyczne
Wymagania wstępne
| KOD | Wymaganie wstępne |
|---|---|
| W-1 | Student powinien posiadać podstawową znajomość systemów operacyjnych, podstaw sieci komputerowych oraz podstaw ochrony informacji |
Cele przedmiotu
| KOD | Cel modułu/przedmiotu |
|---|---|
| C-1 | Zapoznanie studentów z technikiami przyprowadzenie analizę ryzyka i audytów bezpieczeństwa SI organizacji |
| C-2 | Ukształtowanie umiejętności identyfikowaniu i klasyfikowaniu zasobów, podatności ,zagrożeń, przeprowdzenie audytu bezpieczeństwa, oszacowania ryzyka, tworzenie polityki oraz procedur i planów ciągłości działania dla dowolnego systemu informacyjnego organizacji. |
Treści programowe z podziałem na formy zajęć
| KOD | Treść programowa | Godziny |
|---|---|---|
| laboratoria | ||
| T-L-1 | Audyt bezpieczeństwa organizacyjnego | 2 |
| T-L-2 | Audyt bezpieczeństwa fizycznego (bezpieczeństwa budynku i pomieszczeń biurowych) | 2 |
| T-L-3 | Audyt bezpieczeństwa sieci (LAN, WAN, WiFi) | 2 |
| T-L-4 | Audyt bezpieczeństwa eksploatacji sieci i systemów | 2 |
| T-L-5 | Audyt środowisko IT | 3 |
| T-L-6 | Audyt środowisko Pracy | 2 |
| T-L-7 | Oszacowania ryzyka (identyfikacja i klasyfikacja zasobów, podatności oraz wyznaczenie wagi ryzyka i ryzyka szczątkowego) | 2 |
| 15 | ||
| wykłady | ||
| T-W-1 | Wprowadzenie do zarządzania bezpieczeństwem systemów informatycznych | 2 |
| T-W-2 | Procesy zarządzania bezpieczeństwem systemów informatycznych | 3 |
| T-W-3 | Proces Analizy i oszacowania ryzyka | 2 |
| T-W-4 | System zarządzania bezpieczeństwem informacji (ISMS) | 3 |
| T-W-5 | Wprowadzenie do audytowania | 2 |
| T-W-6 | Przegląd znanych metodyk prowadzenia analizy ryzyka i audytu systemów informatycznych | 3 |
| T-W-7 | Przeprowadzenie audytu | 3 |
| T-W-8 | Przeprowdzenie analizy ryzyka | 3 |
| T-W-9 | Tworzenie polityki bezpieczeństwa SI | 2 |
| T-W-10 | Rola audytu w planowaniu ciągłości działania | 2 |
| T-W-11 | Tworzenie i testowanie planów ciągłości działania | 3 |
| T-W-12 | Wymaganie polityki bezpieczeństwa Systemów Informacyjnych SI | 2 |
| 30 | ||
Obciążenie pracą studenta - formy aktywności
| KOD | Forma aktywności | Godziny |
|---|---|---|
| laboratoria | ||
| A-L-1 | Uczestnictwo w zajęciach | 15 |
| A-L-2 | Przygotowanie do zajęć laboratoryjnych | 12 |
| A-L-3 | Przygotowanie sprawozdań z laboratoriów | 4 |
| A-L-4 | Udział w konsultacjach i zaliczeniu | 2 |
| 33 | ||
| wykłady | ||
| A-W-1 | Uczestnictwo w zajęciach | 15 |
| A-W-2 | Przygotowanie i udział w zaliczeniu wykładu | 10 |
| A-W-3 | Udział w konsultacjach do wykładu | 2 |
| 27 | ||
Metody nauczania / narzędzia dydaktyczne
| KOD | Metoda nauczania / narzędzie dydaktyczne |
|---|---|
| M-1 | Wykład informacyjno/konwersatoryjny |
| M-2 | Ćwiczenia laboratoryjne |
Sposoby oceny
| KOD | Sposób oceny |
|---|---|
| S-1 | Ocena formująca: Ocena na podstawie wejściówki, stopnia wykonania scenariusza praktycznego ćwiczenia laboratoryjnego w czasie przeznaczonego dla każdego danego laboratorium, sprawozdania z laboratorium |
| S-2 | Ocena podsumowująca: Test (jednokrotnego lub wielokrotnego wyboru) oraz pytania otwarte (zadania problemowe) |
Zamierzone efekty kształcenia - wiedza
| Zamierzone efekty kształcenia | Odniesienie do efektów kształcenia dla kierunku studiów | Odniesienie do efektów zdefiniowanych dla obszaru kształcenia | Odniesienie do efektów kształcenia prowadzących do uzyskania tytułu zawodowego inżyniera | Cel przedmiotu | Treści programowe | Metody nauczania | Sposób oceny |
|---|---|---|---|---|---|---|---|
| I_1A_O8/03_W01 Student potrafi zidentyfikować zasoby, podatności, zagrożenie, generować kwestionariusze pytań, przeprowadzić na przemian analizę ryzyka i audyt bezpieczeństwa systemów informacyjnych. | I_1A_W04, I_1A_W07, I_1A_W17, I_1A_W22 | — | — | C-1 | T-W-1, T-W-3, T-W-5, T-W-10, T-W-2, T-W-4, T-W-12, T-W-6, T-L-7 | M-2, M-1 | S-2, S-1 |
Zamierzone efekty kształcenia - umiejętności
| Zamierzone efekty kształcenia | Odniesienie do efektów kształcenia dla kierunku studiów | Odniesienie do efektów zdefiniowanych dla obszaru kształcenia | Odniesienie do efektów kształcenia prowadzących do uzyskania tytułu zawodowego inżyniera | Cel przedmiotu | Treści programowe | Metody nauczania | Sposób oceny |
|---|---|---|---|---|---|---|---|
| I_1A_O8/03_U01 Student umie interpretowac wyniki analizy ryzyka i/lub adytu bezpieczeństwa, przegotować raport koncowy z analizy lub audytu wraz z zaleceniami (np. zmian w polityce bezpieczeństwa, wdrożenie nowych zabezpieczeń, opracowania i/lub poprawienie BCP itp.) dotyczącymi dowolnego systemu IT. | I_1A_U10, I_1A_U12, I_1A_U17, I_1A_U05 | — | — | C-2 | T-W-9, T-W-5, T-W-11, T-L-2, T-L-1, T-L-3, T-L-4, T-L-6, T-L-7, T-L-5 | M-2, M-1 | S-2, S-1 |
Kryterium oceny - wiedza
| Efekt kształcenia | Ocena | Kryterium oceny |
|---|---|---|
| I_1A_O8/03_W01 Student potrafi zidentyfikować zasoby, podatności, zagrożenie, generować kwestionariusze pytań, przeprowadzić na przemian analizę ryzyka i audyt bezpieczeństwa systemów informacyjnych. | 2,0 | - student nie posiada wiedzą umożliwiającą mu uzyskania zaliczenia na 3.0 |
| 3,0 | - student zna metody identyfikacji i klasyfikacji zasobów, podatności, zagrożenie i skojarzyć je ze scenariuszami zagrożeń, - student zna techniki przeprowadzenia analizę ryzyka oraz audyty bezpieczeństwa systemów IT . | |
| 3,5 | Wymagania na 3.0 plus dodatkowo: - student zna inne metody i techniki przeprowadzenia analizę ryzyka i/lub audytu bezpieczeństwa systemów IT. | |
| 4,0 | Wymagania na 3.5 plus dodatkowo: - student objaśnia otrzymanych wyników z przeprowadzonej analizy ryzykaoraz audytu bezpieczeństwa systemów IT. | |
| 4,5 | Wymagania na 4.0 plus dodatkowo: - student wskazuje zabezpieczenie które muszą być wdrożone aby zminimalizować zagrożenia działających na systemach IT | |
| 5,0 | Wymagania na 4.5 plus dodatkowo: - student formuje wnioski i zaleceniach z przeprowadzonej analizy ryzyka i/lub audytu bezpieczeństwa systemów IT. |
Kryterium oceny - umiejętności
| Efekt kształcenia | Ocena | Kryterium oceny |
|---|---|---|
| I_1A_O8/03_U01 Student umie interpretowac wyniki analizy ryzyka i/lub adytu bezpieczeństwa, przegotować raport koncowy z analizy lub audytu wraz z zaleceniami (np. zmian w polityce bezpieczeństwa, wdrożenie nowych zabezpieczeń, opracowania i/lub poprawienie BCP itp.) dotyczącymi dowolnego systemu IT. | 2,0 | - student nie posiada umiejętność umożliwiająca mu uzyskania zaliczenia na 3.0 |
| 3,0 | - student potrafi przygotować i dobierać dane umożliwiające mu przeprowadzenie analizę ryzyka systemu IT. | |
| 3,5 | Wymagania na 3.0 plus dodatkowo: - student potrafi obliczać wagę ryzyka dla każdego ze scenariuszy ryzyka systemu IT. | |
| 4,0 | Wymagania na 3.5 plus dodatkowo: - student potrawi dobierać odpowiednich mechanizmów zabezpieczeń odpowiadających wyników analizy ryzyka | |
| 4,5 | Wymagania na 4.0 plus dodatkowo: - student sporządza dokument po audytowym zgodnie z wymagania normy ISO.IEC 270xx. | |
| 5,0 | Wymagania na 4.5 plus dodatkowo: - student formuje wnioski i zaleceniach z przeprowdzonego audytu bezpieczeństwa systemu IT. |
Literatura podstawowa
- Andrzej Białas, Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, WNT, Warszawa, 2007, Wydanie drugie
- Marian Molski, Małgorzata Łacheta, Przewodnik audytora systemów informatycznych, Helion, Gliwice, 2007
- Tomasz Polaczek, Audyt bezpieczeństwa informacji w praktyce, Helion, Gliwice, 2006
Literatura dodatkowa
- Kszysztof Liderman, Analiza ryzyka i ochrona informacji w systemach komputerowych, PWN, Warszawa, 2008