Zachodniopomorski Uniwersytet Technologiczny w Szczecinie

Wydział Informatyki - Informatyka (S1)
specjalność: Inżynieria oprogramowania

Sylabus przedmiotu Audyt i kontrola bezpieczeństwa:

Informacje podstawowe

Kierunek studiów Informatyka
Forma studiów studia stacjonarne Poziom pierwszego stopnia
Tytuł zawodowy absolwenta inżynier
Obszary studiów charakterystyki PRK, kompetencje inżynierskie PRK
Profil ogólnoakademicki
Moduł
Przedmiot Audyt i kontrola bezpieczeństwa
Specjalność Inżynieria systemów informacyjnych
Jednostka prowadząca Katedra Inżynierii Oprogramowania
Nauczyciel odpowiedzialny Imed El Fray <Imed.El Fray@zut.edu.pl>
Inni nauczyciele
ECTS (planowane) 4,0 ECTS (formy) 4,0
Forma zaliczenia zaliczenie Język polski
Blok obieralny 5 Grupa obieralna 2

Formy dydaktyczne

Forma dydaktycznaKODSemestrGodzinyECTSWagaZaliczenie
laboratoriaL6 30 2,00,50zaliczenie
wykładyW6 30 2,00,50zaliczenie

Wymagania wstępne

KODWymaganie wstępne
W-1Systemy operacyjne
W-2Sieci komputerowe
W-3Podstawy ochrony informacji

Cele przedmiotu

KODCel modułu/przedmiotu
C-1Zapoznanie studentów z rolą i celami audytów systemów informacyjnych, z technikami przyprowadzania audytów bezpieczeństwa, z najlepszymi praktykami, standardami i wymaganiami prawnymi dotyczącymi przetwarzania, przesyłania i przechowywania informacji, ich kontrolą oraz umiejętnościami oceny stopnia ich zgodności ze standardami i wymaganiami.
C-2Ukształtowanie umiejętności identyfikowania i klasyfikowania zasobów, podatności, zagrożeń, oszacowania ryzyka, przeprowadzenia audytu bezpieczeństwa, tworzenia polityki, procedur oraz planów ciągłości działania (BCP) i odtwarzania utraconych zasobów (DRP) po awarii.

Treści programowe z podziałem na formy zajęć

KODTreść programowaGodziny
laboratoria
T-L-1Opracowania matrycy kontroli Systemu Informacyjnego: - matryca kontroli ładu informatycznego - matryca kontroli rozwijania i nabywania - matryca kontroli eksploatacji systemów informatycznych - matryca kontroli bezpieczeństwa informacji - matryca kontroli mechanizmów kontroli aplikacji - matryca kontroli BCP/DRP - matryca kontroli outsourcingu/chmury obliczeniowej8
T-L-2Przeprowadzenie audytu na zgodność z normami z wykorzystaniem narzędzi RISIBASE: - Audyt bezpieczeństwa fizycznego, - Audyt bezpieczeństwa sieci (WAN, LAN, WLAN), - Audyt bezpieczeństwa eksploatacji sieci, systemów i aplikacji - Audyt środowiska IT, - Audyt pozyskiwania, rozwoju i utrzymywania systemów i aplikacji8
T-L-3Oszacowanie i postępowanie z ryzykiem z wykorzystaniem narzędzia RISICARE: - identyfikacja i klasyfikacja zasobów, - identyfikacja i klasyfikacja zagrożeń i podatności - obliczanie wagi ryzyka - postępowanie z ryzykiem - Obliczanie ryzyka szczątkowego6
T-L-4Techniki raportowania wyników kontrolnych/pokontrolnych z analizy i audytów: - sformułowanie wniosków i rekomendacji, - sformułowanie dowodów niezgodności, - sformułowanie zmian, uzupełnień itp. w polityce bezpieczeństwa, planów ciągłości działania (BCP) i planów odtwarzania utraconych zasobów (DRP).4
T-L-5Monitorowania bezpieczeństwa infrastruktury krytycznej przy pomocy Zabbix'a4
30
wykłady
T-W-1Potrzeba audytu systemów informacyjnych2
T-W-2Wprowadzenie do zarządzania bezpieczeństwem systemów informatycznych2
T-W-3Zarządzania ryzykiem systemów informacyjnych: - Ochrona zasobów, - szacowanie i postępowanie z ryzykiem dla procesów biznesowych - rozwój i utrzymanie systemów - ciągłość działania usług i odtwarzanie utraconych zasobów po awarii6
T-W-4Wprowadzenie do audytowania - audyt wytycznych norm i etyki zawodu - Ogólnie przyjęte standardy audytu (GAAS) - Cele kontroli w zakresie informacji i technologii pokrewnych (COBIT) - ISACA - Val IT - ITIL4
T-W-5Przeprowadzenie audytu systemu informacyjnego - Audyt wewnętrzny i audyt zewnętrzny Kontrola nad informacjami i procesami: - Zarządzanie informacją i procesami - Kontrola fizyczna i środowiskowa - Kontrola sieci - kontrola architektury systemów i oprogramowania systemowego - Kontrola aplikacji bazodanowych i dedykowanych - Kontrola Internetu i e-commerce - Kontrola działań operacyjnych (instalacja, konfiguracja, itp. oprogramowania i urządzeń) - Kontrola nad zmianami - Kontrola dostępu - Kontrola metod i mechanizmów szyfrowania, uwierzytelniania i zapewnienia niezaprzeczalności - Kontrola użytkowników końcowych - Kontrola licencji oprogramowania8
T-W-6Tworzenia dokumentacji polityki bezpieczeństwa systemów : - Tworzenie i testowanie polityki bezpieczeństwa organizacji, - Tworzenie i testowanie planów ciągłości działania (BCP) - Tworzenie i testowanie planów odtwarzania utraconych zasobów (DRP)3
T-W-7Przykłady systemów podlegających obowiązkowych audytów (ochrona przed cyberataków) Systemy krytyczne i infrastruktura krytyczna Państwa (pojęcia, typy systemów krytycznych, typ infrastruktury krytycznej, projektowanie bezpiecznego oprogramowania dla systemów krytycznych, Systemy kontroli i monitorowania infrastruktury krytycznej: systemy SIEM (Security Information and Event Management) i systemy SCADA (Supervisory Control And Data Acquisition).5
30

Obciążenie pracą studenta - formy aktywności

KODForma aktywnościGodziny
laboratoria
A-L-1Uczestnictwo w zajęciach30
A-L-2Przygotowanie do ćwiczeń laboratoryjnych12
A-L-3Kończenie (w ramach pracy własnej) sprawozdań z ćwiczeń laboratoryjnych8
50
wykłady
A-W-1Uczestnictwo w zajęciach30
A-W-2Zapoznanie się ze wskazaną literaturą / materiałami dydaktycznymi10
A-W-3Przygotowanie do egzaminu6
A-W-4Udział w konsultacjach2
A-W-5udział w egzaminie2
50

Metody nauczania / narzędzia dydaktyczne

KODMetoda nauczania / narzędzie dydaktyczne
M-1Wykład informacyjno-konwersatoryjny
M-2Cwiczenia laboratoryjne

Sposoby oceny

KODSposób oceny
S-1Ocena formująca: Ocena na podstawie wejsciówki, stopnia wykonania (pod koniec zajęć) scenariuszy formułowanych w oparciu o konspekty laboratoryjne i/lub sprawozdania z zajęć.
S-2Ocena podsumowująca: Test (jednokrotnego lub wielokrotnego wyboru) oraz pytania otwarte (zadania problemowe)

Zamierzone efekty uczenia się - wiedza

Zamierzone efekty uczenia sięOdniesienie do efektów kształcenia dla kierunku studiówOdniesienie do efektów zdefiniowanych dla obszaru kształceniaOdniesienie do efektów uczenia się prowadzących do uzyskania tytułu zawodowego inżynieraCel przedmiotuTreści programoweMetody nauczaniaSposób oceny
I_1A_D03.07.1_W01
Potrafi zidentyfikować zasoby, podatności, zagrożenia, opracować matrycę kontroli działania systemu, przeprowadzić na przemian analizę ryzyka i audyt bezpieczeństwa systemów informacyjnych.
I_1A_W07, I_1A_W08C-1T-W-2, T-W-3, T-W-4, T-W-5, T-W-6M-1S-2

Zamierzone efekty uczenia się - umiejętności

Zamierzone efekty uczenia sięOdniesienie do efektów kształcenia dla kierunku studiówOdniesienie do efektów zdefiniowanych dla obszaru kształceniaOdniesienie do efektów uczenia się prowadzących do uzyskania tytułu zawodowego inżynieraCel przedmiotuTreści programoweMetody nauczaniaSposób oceny
I_1A_D03.07.1_U01
Umie interpretować wyniki analizy ryzyka i/lub audytu bezpieczeństwa, przygotować raport końcowy z analizy lub audytu wraz z zaleceniami (np. zmian w polityce bezpieczeństwa, wdrożenia nowych zabezpieczeń, opracowania i/lub poprawienia BCP, DRP itp.) dotyczącymi dowolnego systemu IT.
I_1A_U08, I_1A_U12C-2T-L-2, T-L-3, T-L-4M-2S-1

Kryterium oceny - wiedza

Efekt uczenia sięOcenaKryterium oceny
I_1A_D03.07.1_W01
Potrafi zidentyfikować zasoby, podatności, zagrożenia, opracować matrycę kontroli działania systemu, przeprowadzić na przemian analizę ryzyka i audyt bezpieczeństwa systemów informacyjnych.
2,0Student nie posiada wiedzy umożliwiającej mu uzyskanie zaliczenia
3,0Student zna metody identyfikacji i klasyfikacji zasobów, podatności, zagrożeń oraz zna techniki przeprowadzania analizy ryzyka oraz audytów bezpieczeństwa systemów IT .
3,5Wymagania na 3.0 plus dodatkowo: Student zna inne metody i techniki przeprowadzania analizy ryzyka oraz objaśnia otrzymane wyniki analizy.
4,0Wymagania na 3.5 plus dodatkowo: Student zna metody i techniki postępowania z ryzykiem systemów IT.
4,5Wymagania na 4.0 plus dodatkowo: Student zna proces tworzenia dokumentacji BCP i DRP dla systemów IT
5,0Wymagania na 4.5 plus dodatkowo: Student formułuje wnioski i zalecenia z przeprowadzonej analizy ryzyka oraz audytu bezpieczeństwa systemów IT.

Kryterium oceny - umiejętności

Efekt uczenia sięOcenaKryterium oceny
I_1A_D03.07.1_U01
Umie interpretować wyniki analizy ryzyka i/lub audytu bezpieczeństwa, przygotować raport końcowy z analizy lub audytu wraz z zaleceniami (np. zmian w polityce bezpieczeństwa, wdrożenia nowych zabezpieczeń, opracowania i/lub poprawienia BCP, DRP itp.) dotyczącymi dowolnego systemu IT.
2,0Student nie posiada umiejętność umożliwiających mu uzyskanie zaliczenia.
3,0Student potrafi przygotować i dobierać dane umożliwiające mu przeprowadzenie analizy ryzyka systemu IT.
3,5Wymagania na 3.0 plus dodatkowo: Student potrafi obliczać wagę ryzyka oraz postępować z ryzykiem (dobierać odpowiednie mechanizmy zabezpieczeń).
4,0Wymagania na 3.5 plus dodatkowo: Student potrafi przeprowadzić audyt na zgodność z normami i znanymi technikami np. COBIT, ITIL, itp.
4,5Wymagania na 4.0 plus dodatkowo: Student potrafi sporządzać podstawowe dokumenty kontrolne i pokontrolne z audytu.
5,0Wymagania na 4.5 plus dodatkowo: Student formułuje wnioski i zalecenia z przeprowadzonego audytu bezpieczeństwa systemu IT.

Literatura podstawowa

  1. Ron A. Weber, Information Systems Control and Audit, Pearson Education, USA, 1998, 1st Edition
  2. Tomasz Polaczek, Audyt bezpieczeństwa informacji w praktyce, Helion, Gliwice, 2006
  3. Marian Molski, Małgorzata Łacheta, Przewodnik audytora systemów informatycznych, Helion, Gliwice, 2007
  4. Krzysztof Liderman, Analiza ryzyka i ochrona informacji w systemach komputerowych, PWN, Warszawa, 2008
  5. Aam Stabryły, Systemy controllingu, monitoringu i audytu, MFiles.pl, Kraków, 2010

Literatura dodatkowa

  1. Mohit Aggarwal, Information Technology System Audit, AJ Publications, USA, 2017

Treści programowe - laboratoria

KODTreść programowaGodziny
T-L-1Opracowania matrycy kontroli Systemu Informacyjnego: - matryca kontroli ładu informatycznego - matryca kontroli rozwijania i nabywania - matryca kontroli eksploatacji systemów informatycznych - matryca kontroli bezpieczeństwa informacji - matryca kontroli mechanizmów kontroli aplikacji - matryca kontroli BCP/DRP - matryca kontroli outsourcingu/chmury obliczeniowej8
T-L-2Przeprowadzenie audytu na zgodność z normami z wykorzystaniem narzędzi RISIBASE: - Audyt bezpieczeństwa fizycznego, - Audyt bezpieczeństwa sieci (WAN, LAN, WLAN), - Audyt bezpieczeństwa eksploatacji sieci, systemów i aplikacji - Audyt środowiska IT, - Audyt pozyskiwania, rozwoju i utrzymywania systemów i aplikacji8
T-L-3Oszacowanie i postępowanie z ryzykiem z wykorzystaniem narzędzia RISICARE: - identyfikacja i klasyfikacja zasobów, - identyfikacja i klasyfikacja zagrożeń i podatności - obliczanie wagi ryzyka - postępowanie z ryzykiem - Obliczanie ryzyka szczątkowego6
T-L-4Techniki raportowania wyników kontrolnych/pokontrolnych z analizy i audytów: - sformułowanie wniosków i rekomendacji, - sformułowanie dowodów niezgodności, - sformułowanie zmian, uzupełnień itp. w polityce bezpieczeństwa, planów ciągłości działania (BCP) i planów odtwarzania utraconych zasobów (DRP).4
T-L-5Monitorowania bezpieczeństwa infrastruktury krytycznej przy pomocy Zabbix'a4
30

Treści programowe - wykłady

KODTreść programowaGodziny
T-W-1Potrzeba audytu systemów informacyjnych2
T-W-2Wprowadzenie do zarządzania bezpieczeństwem systemów informatycznych2
T-W-3Zarządzania ryzykiem systemów informacyjnych: - Ochrona zasobów, - szacowanie i postępowanie z ryzykiem dla procesów biznesowych - rozwój i utrzymanie systemów - ciągłość działania usług i odtwarzanie utraconych zasobów po awarii6
T-W-4Wprowadzenie do audytowania - audyt wytycznych norm i etyki zawodu - Ogólnie przyjęte standardy audytu (GAAS) - Cele kontroli w zakresie informacji i technologii pokrewnych (COBIT) - ISACA - Val IT - ITIL4
T-W-5Przeprowadzenie audytu systemu informacyjnego - Audyt wewnętrzny i audyt zewnętrzny Kontrola nad informacjami i procesami: - Zarządzanie informacją i procesami - Kontrola fizyczna i środowiskowa - Kontrola sieci - kontrola architektury systemów i oprogramowania systemowego - Kontrola aplikacji bazodanowych i dedykowanych - Kontrola Internetu i e-commerce - Kontrola działań operacyjnych (instalacja, konfiguracja, itp. oprogramowania i urządzeń) - Kontrola nad zmianami - Kontrola dostępu - Kontrola metod i mechanizmów szyfrowania, uwierzytelniania i zapewnienia niezaprzeczalności - Kontrola użytkowników końcowych - Kontrola licencji oprogramowania8
T-W-6Tworzenia dokumentacji polityki bezpieczeństwa systemów : - Tworzenie i testowanie polityki bezpieczeństwa organizacji, - Tworzenie i testowanie planów ciągłości działania (BCP) - Tworzenie i testowanie planów odtwarzania utraconych zasobów (DRP)3
T-W-7Przykłady systemów podlegających obowiązkowych audytów (ochrona przed cyberataków) Systemy krytyczne i infrastruktura krytyczna Państwa (pojęcia, typy systemów krytycznych, typ infrastruktury krytycznej, projektowanie bezpiecznego oprogramowania dla systemów krytycznych, Systemy kontroli i monitorowania infrastruktury krytycznej: systemy SIEM (Security Information and Event Management) i systemy SCADA (Supervisory Control And Data Acquisition).5
30

Formy aktywności - laboratoria

KODForma aktywnościGodziny
A-L-1Uczestnictwo w zajęciach30
A-L-2Przygotowanie do ćwiczeń laboratoryjnych12
A-L-3Kończenie (w ramach pracy własnej) sprawozdań z ćwiczeń laboratoryjnych8
50
(*) 1 punkt ECTS, odpowiada około 30 godzinom aktywności studenta

Formy aktywności - wykłady

KODForma aktywnościGodziny
A-W-1Uczestnictwo w zajęciach30
A-W-2Zapoznanie się ze wskazaną literaturą / materiałami dydaktycznymi10
A-W-3Przygotowanie do egzaminu6
A-W-4Udział w konsultacjach2
A-W-5udział w egzaminie2
50
(*) 1 punkt ECTS, odpowiada około 30 godzinom aktywności studenta
PoleKODZnaczenie kodu
Zamierzone efekty uczenia sięI_1A_D03.07.1_W01Potrafi zidentyfikować zasoby, podatności, zagrożenia, opracować matrycę kontroli działania systemu, przeprowadzić na przemian analizę ryzyka i audyt bezpieczeństwa systemów informacyjnych.
Odniesienie do efektów kształcenia dla kierunku studiówI_1A_W07Posiada wiedzę w zakresie ochrony i zarządzania informacją oraz bezpieczeństwa systemów informatycznych, jest świadomy obowiązujących norm prawnych i etycznych oraz zagrożeń w dziedzinie przestępczości elektronicznej.
I_1A_W08Posiada poszerzoną wiedzę w zakresie analizy, konfiguracji, integracji i bezpieczeństwa systemów i usług informatycznych.
Cel przedmiotuC-1Zapoznanie studentów z rolą i celami audytów systemów informacyjnych, z technikami przyprowadzania audytów bezpieczeństwa, z najlepszymi praktykami, standardami i wymaganiami prawnymi dotyczącymi przetwarzania, przesyłania i przechowywania informacji, ich kontrolą oraz umiejętnościami oceny stopnia ich zgodności ze standardami i wymaganiami.
Treści programoweT-W-2Wprowadzenie do zarządzania bezpieczeństwem systemów informatycznych
T-W-3Zarządzania ryzykiem systemów informacyjnych: - Ochrona zasobów, - szacowanie i postępowanie z ryzykiem dla procesów biznesowych - rozwój i utrzymanie systemów - ciągłość działania usług i odtwarzanie utraconych zasobów po awarii
T-W-4Wprowadzenie do audytowania - audyt wytycznych norm i etyki zawodu - Ogólnie przyjęte standardy audytu (GAAS) - Cele kontroli w zakresie informacji i technologii pokrewnych (COBIT) - ISACA - Val IT - ITIL
T-W-5Przeprowadzenie audytu systemu informacyjnego - Audyt wewnętrzny i audyt zewnętrzny Kontrola nad informacjami i procesami: - Zarządzanie informacją i procesami - Kontrola fizyczna i środowiskowa - Kontrola sieci - kontrola architektury systemów i oprogramowania systemowego - Kontrola aplikacji bazodanowych i dedykowanych - Kontrola Internetu i e-commerce - Kontrola działań operacyjnych (instalacja, konfiguracja, itp. oprogramowania i urządzeń) - Kontrola nad zmianami - Kontrola dostępu - Kontrola metod i mechanizmów szyfrowania, uwierzytelniania i zapewnienia niezaprzeczalności - Kontrola użytkowników końcowych - Kontrola licencji oprogramowania
T-W-6Tworzenia dokumentacji polityki bezpieczeństwa systemów : - Tworzenie i testowanie polityki bezpieczeństwa organizacji, - Tworzenie i testowanie planów ciągłości działania (BCP) - Tworzenie i testowanie planów odtwarzania utraconych zasobów (DRP)
Metody nauczaniaM-1Wykład informacyjno-konwersatoryjny
Sposób ocenyS-2Ocena podsumowująca: Test (jednokrotnego lub wielokrotnego wyboru) oraz pytania otwarte (zadania problemowe)
Kryteria ocenyOcenaKryterium oceny
2,0Student nie posiada wiedzy umożliwiającej mu uzyskanie zaliczenia
3,0Student zna metody identyfikacji i klasyfikacji zasobów, podatności, zagrożeń oraz zna techniki przeprowadzania analizy ryzyka oraz audytów bezpieczeństwa systemów IT .
3,5Wymagania na 3.0 plus dodatkowo: Student zna inne metody i techniki przeprowadzania analizy ryzyka oraz objaśnia otrzymane wyniki analizy.
4,0Wymagania na 3.5 plus dodatkowo: Student zna metody i techniki postępowania z ryzykiem systemów IT.
4,5Wymagania na 4.0 plus dodatkowo: Student zna proces tworzenia dokumentacji BCP i DRP dla systemów IT
5,0Wymagania na 4.5 plus dodatkowo: Student formułuje wnioski i zalecenia z przeprowadzonej analizy ryzyka oraz audytu bezpieczeństwa systemów IT.
PoleKODZnaczenie kodu
Zamierzone efekty uczenia sięI_1A_D03.07.1_U01Umie interpretować wyniki analizy ryzyka i/lub audytu bezpieczeństwa, przygotować raport końcowy z analizy lub audytu wraz z zaleceniami (np. zmian w polityce bezpieczeństwa, wdrożenia nowych zabezpieczeń, opracowania i/lub poprawienia BCP, DRP itp.) dotyczącymi dowolnego systemu IT.
Odniesienie do efektów kształcenia dla kierunku studiówI_1A_U08Potrafi dobrać i krytycznie ocenić elementy składowe systemów komputerowych.
I_1A_U12Potrafi konfigurować systemy komputerowe i usługi, w zakresie bezpieczeństwa, sieci komputerowych, zasobów sprzętowych i oprogramowania.
Cel przedmiotuC-2Ukształtowanie umiejętności identyfikowania i klasyfikowania zasobów, podatności, zagrożeń, oszacowania ryzyka, przeprowadzenia audytu bezpieczeństwa, tworzenia polityki, procedur oraz planów ciągłości działania (BCP) i odtwarzania utraconych zasobów (DRP) po awarii.
Treści programoweT-L-2Przeprowadzenie audytu na zgodność z normami z wykorzystaniem narzędzi RISIBASE: - Audyt bezpieczeństwa fizycznego, - Audyt bezpieczeństwa sieci (WAN, LAN, WLAN), - Audyt bezpieczeństwa eksploatacji sieci, systemów i aplikacji - Audyt środowiska IT, - Audyt pozyskiwania, rozwoju i utrzymywania systemów i aplikacji
T-L-3Oszacowanie i postępowanie z ryzykiem z wykorzystaniem narzędzia RISICARE: - identyfikacja i klasyfikacja zasobów, - identyfikacja i klasyfikacja zagrożeń i podatności - obliczanie wagi ryzyka - postępowanie z ryzykiem - Obliczanie ryzyka szczątkowego
T-L-4Techniki raportowania wyników kontrolnych/pokontrolnych z analizy i audytów: - sformułowanie wniosków i rekomendacji, - sformułowanie dowodów niezgodności, - sformułowanie zmian, uzupełnień itp. w polityce bezpieczeństwa, planów ciągłości działania (BCP) i planów odtwarzania utraconych zasobów (DRP).
Metody nauczaniaM-2Cwiczenia laboratoryjne
Sposób ocenyS-1Ocena formująca: Ocena na podstawie wejsciówki, stopnia wykonania (pod koniec zajęć) scenariuszy formułowanych w oparciu o konspekty laboratoryjne i/lub sprawozdania z zajęć.
Kryteria ocenyOcenaKryterium oceny
2,0Student nie posiada umiejętność umożliwiających mu uzyskanie zaliczenia.
3,0Student potrafi przygotować i dobierać dane umożliwiające mu przeprowadzenie analizy ryzyka systemu IT.
3,5Wymagania na 3.0 plus dodatkowo: Student potrafi obliczać wagę ryzyka oraz postępować z ryzykiem (dobierać odpowiednie mechanizmy zabezpieczeń).
4,0Wymagania na 3.5 plus dodatkowo: Student potrafi przeprowadzić audyt na zgodność z normami i znanymi technikami np. COBIT, ITIL, itp.
4,5Wymagania na 4.0 plus dodatkowo: Student potrafi sporządzać podstawowe dokumenty kontrolne i pokontrolne z audytu.
5,0Wymagania na 4.5 plus dodatkowo: Student formułuje wnioski i zalecenia z przeprowadzonego audytu bezpieczeństwa systemu IT.