Zachodniopomorski Uniwersytet Technologiczny w Szczecinie

Wydział Informatyki - Informatyka (S1)

Sylabus przedmiotu Audyt i kontrola bezpieczeństwa:

Informacje podstawowe

Kierunek studiów Informatyka
Forma studiów studia stacjonarne Poziom pierwszego stopnia
Tytuł zawodowy absolwenta inżynier
Obszary studiów nauki techniczne, studia inżynierskie
Profil ogólnoakademicki
Moduł
Przedmiot Audyt i kontrola bezpieczeństwa
Specjalność Inżynieria systemów informacyjnych
Jednostka prowadząca Katedra Inżynierii Oprogramowania
Nauczyciel odpowiedzialny Imed El Fray <Imed.El Fray@zut.edu.pl>
Inni nauczyciele
ECTS (planowane) 4,0 ECTS (formy) 4,0
Forma zaliczenia zaliczenie Język polski
Blok obieralny 5 Grupa obieralna 2

Formy dydaktyczne

Forma dydaktycznaKODSemestrGodzinyECTSWagaZaliczenie
wykładyW6 30 2,00,50zaliczenie
laboratoriaL6 30 2,00,50zaliczenie

Wymagania wstępne

KODWymaganie wstępne
W-1Systemy operacyjne
W-2Sieci komputerowe
W-3Podstawy ochrony informacji

Cele przedmiotu

KODCel modułu/przedmiotu
C-1Zapoznanie studentów z rolą i celami audytów systemów informacyjnych, z technikami przyprowadzania audytów bezpieczeństwa, z najlepszymi praktykami, standardami i wymaganiami prawnymi dotyczącymi przetwarzania, przesyłania i przechowywania informacji, ich kontrolą oraz umiejętnościami oceny stopnia ich zgodności ze standardami i wymaganiami.
C-2Ukształtowanie umiejętności identyfikowania i klasyfikowania zasobów, podatności, zagrożeń, oszacowania ryzyka, przeprowadzenia audytu bezpieczeństwa, tworzenia polityki, procedur oraz planów ciągłości działania (BCP) i odtwarzania utraconych zasobów (DRP) po awarii.

Treści programowe z podziałem na formy zajęć

KODTreść programowaGodziny
laboratoria
T-L-1Opracowania matrycy kontroli Systemu Informacyjnego: - matryca kontroli ładu informatycznego - matryca kontroli rozwijania i nabywania - matryca kontroli eksploatacji systemów informatycznych - matryca kontroli bezpieczeństwa informacji - matryca kontroli mechanizmów kontroli aplikacji - matryca kontroli BCP/DRP - matryca kontroli outsourcingu/chmury obliczeniowej8
T-L-2Przeprowadzenie audytu na zgodność z normami z wykorzystaniem narzędzi RISIBASE: - Audyt bezpieczeństwa fizycznego, - Audyt bezpieczeństwa sieci (WAN, LAN, WLAN), - Audyt bezpieczeństwa eksploatacji sieci, systemów i aplikacji - Audyt środowiska IT, - Audyt pozyskiwania, rozwoju i utrzymywania systemów i aplikacji8
T-L-3Oszacowanie i postępowanie z ryzykiem z wykorzystaniem narzędzia RISICARE: - identyfikacja i klasyfikacja zasobów, - identyfikacja i klasyfikacja zagrożeń i podatności - obliczanie wagi ryzyka - postępowanie z ryzykiem - Obliczanie ryzyka szczątkowego6
T-L-4Techniki raportowania wyników kontrolnych/pokontrolnych z analizy i audytów: - sformułowanie wniosków i rekomendacji, - sformułowanie dowodów niezgodności, - sformułowanie zmian, uzupełnień itp. w polityce bezpieczeństwa, planów ciągłości działania (BCP) i planów odtwarzania utraconych zasobów (DRP).4
T-L-5Monitorowania bezpieczeństwa infrastruktury krytycznej przy pomocy Zabbix'a4
30
wykłady
T-W-1Potrzeba audytu systemów informacyjnych2
T-W-2Wprowadzenie do zarządzania bezpieczeństwem systemów informatycznych2
T-W-3Zarządzania ryzykiem systemów informacyjnych: - Ochrona zasobów, - szacowanie i postępowanie z ryzykiem dla procesów biznesowych - rozwój i utrzymanie systemów - ciągłość działania usług i odtwarzanie utraconych zasobów po awarii6
T-W-4Wprowadzenie do audytowania - audyt wytycznych norm i etyki zawodu - Ogólnie przyjęte standardy audytu (GAAS) - Cele kontroli w zakresie informacji i technologii pokrewnych (COBIT) - ISACA - Val IT - ITIL4
T-W-5Przeprowadzenie audytu systemu informacyjnego - Audyt wewnętrzny i audyt zewnętrzny Kontrola nad informacjami i procesami: - Zarządzanie informacją i procesami - Kontrola fizyczna i środowiskowa - Kontrola sieci - kontrola architektury systemów i oprogramowania systemowego - Kontrola aplikacji bazodanowych i dedykowanych - Kontrola Internetu i e-commerce - Kontrola działań operacyjnych (instalacja, konfiguracja, itp. oprogramowania i urządzeń) - Kontrola nad zmianami - Kontrola dostępu - Kontrola metod i mechanizmów szyfrowania, uwierzytelniania i zapewnienia niezaprzeczalności - Kontrola użytkowników końcowych - Kontrola licencji oprogramowania8
T-W-6Tworzenia dokumentacji polityki bezpieczeństwa systemów : - Tworzenie i testowanie polityki bezpieczeństwa organizacji, - Tworzenie i testowanie planów ciągłości działania (BCP) - Tworzenie i testowanie planów odtwarzania utraconych zasobów (DRP)3
T-W-7Przykłady systemów podlegających obowiązkowych audytów (ochrona przed cyberataków) Systemy krytyczne i infrastruktura krytyczna Państwa (pojęcia, typy systemów krytycznych, typ infrastruktury krytycznej, projektowanie bezpiecznego oprogramowania dla systemów krytycznych, Systemy kontroli i monitorowania infrastruktury krytycznej: systemy SIEM (Security Information and Event Management) i systemy SCADA (Supervisory Control And Data Acquisition).5
30

Obciążenie pracą studenta - formy aktywności

KODForma aktywnościGodziny
laboratoria
A-L-1Uczestnictwo w zajęciach30
A-L-2Przygotowanie do ćwiczeń laboratoryjnych12
A-L-3Kończenie (w ramach pracy własnej) sprawozdań z ćwiczeń laboratoryjnych8
50
wykłady
A-W-1Uczestnictwo w zajęciach30
A-W-2Zapoznanie się ze wskazaną literaturą / materiałami dydaktycznymi10
A-W-3Przygotowanie do egzaminu6
A-W-4Udział w konsultacjach2
A-W-5udział w egzaminie2
50

Metody nauczania / narzędzia dydaktyczne

KODMetoda nauczania / narzędzie dydaktyczne
M-1Wykład informacyjno-konwersatoryjny
M-2Cwiczenia laboratoryjne

Sposoby oceny

KODSposób oceny
S-1Ocena formująca: Ocena na podstawie wejsciówki, stopnia wykonania (pod koniec zajęć) scenariuszy formułowanych w oparciu o konspekty laboratoryjne i/lub sprawozdania z zajęć.
S-2Ocena podsumowująca: Test (jednokrotnego lub wielokrotnego wyboru) oraz pytania otwarte (zadania problemowe)

Zamierzone efekty kształcenia - wiedza

Zamierzone efekty kształceniaOdniesienie do efektów kształcenia dla kierunku studiówOdniesienie do efektów zdefiniowanych dla obszaru kształceniaOdniesienie do efektów kształcenia prowadzących do uzyskania tytułu zawodowego inżynieraCel przedmiotuTreści programoweMetody nauczaniaSposób oceny
I_1A_D03.07.1_W01
Potrafi zidentyfikować zasoby, podatności, zagrożenia, opracować matrycę kontroli działania systemu, przeprowadzić na przemian analizę ryzyka i audyt bezpieczeństwa systemów informacyjnych.
I_1A_W07, I_1A_W08C-1T-W-4, T-W-5, T-W-3, T-W-6, T-W-2M-1S-2

Zamierzone efekty kształcenia - umiejętności

Zamierzone efekty kształceniaOdniesienie do efektów kształcenia dla kierunku studiówOdniesienie do efektów zdefiniowanych dla obszaru kształceniaOdniesienie do efektów kształcenia prowadzących do uzyskania tytułu zawodowego inżynieraCel przedmiotuTreści programoweMetody nauczaniaSposób oceny
I_1A_D03.07.1_U01
Umie interpretować wyniki analizy ryzyka i/lub audytu bezpieczeństwa, przygotować raport końcowy z analizy lub audytu wraz z zaleceniami (np. zmian w polityce bezpieczeństwa, wdrożenia nowych zabezpieczeń, opracowania i/lub poprawienia BCP, DRP itp.) dotyczącymi dowolnego systemu IT.
I_1A_U12, I_1A_U08C-2T-L-3, T-L-4, T-L-2M-2S-1

Kryterium oceny - wiedza

Efekt kształceniaOcenaKryterium oceny
I_1A_D03.07.1_W01
Potrafi zidentyfikować zasoby, podatności, zagrożenia, opracować matrycę kontroli działania systemu, przeprowadzić na przemian analizę ryzyka i audyt bezpieczeństwa systemów informacyjnych.
2,0Student nie posiada wiedzy umożliwiającej mu uzyskanie zaliczenia
3,0Student zna metody identyfikacji i klasyfikacji zasobów, podatności, zagrożeń oraz zna techniki przeprowadzania analizy ryzyka oraz audytów bezpieczeństwa systemów IT .
3,5Wymagania na 3.0 plus dodatkowo: Student zna inne metody i techniki przeprowadzania analizy ryzyka oraz objaśnia otrzymane wyniki analizy.
4,0Wymagania na 3.5 plus dodatkowo: Student zna metody i techniki postępowania z ryzykiem systemów IT.
4,5Wymagania na 4.0 plus dodatkowo: Student zna proces tworzenia dokumentacji BCP i DRP dla systemów IT
5,0Wymagania na 4.5 plus dodatkowo: Student formułuje wnioski i zalecenia z przeprowadzonej analizy ryzyka oraz audytu bezpieczeństwa systemów IT.

Kryterium oceny - umiejętności

Efekt kształceniaOcenaKryterium oceny
I_1A_D03.07.1_U01
Umie interpretować wyniki analizy ryzyka i/lub audytu bezpieczeństwa, przygotować raport końcowy z analizy lub audytu wraz z zaleceniami (np. zmian w polityce bezpieczeństwa, wdrożenia nowych zabezpieczeń, opracowania i/lub poprawienia BCP, DRP itp.) dotyczącymi dowolnego systemu IT.
2,0Student nie posiada umiejętność umożliwiających mu uzyskanie zaliczenia.
3,0Student potrafi przygotować i dobierać dane umożliwiające mu przeprowadzenie analizy ryzyka systemu IT.
3,5Wymagania na 3.0 plus dodatkowo: Student potrafi obliczać wagę ryzyka oraz postępować z ryzykiem (dobierać odpowiednie mechanizmy zabezpieczeń).
4,0Wymagania na 3.5 plus dodatkowo: Student potrafi przeprowadzić audyt na zgodność z normami i znanymi technikami np. COBIT, ITIL, itp.
4,5Wymagania na 4.0 plus dodatkowo: Student potrafi sporządzać podstawowe dokumenty kontrolne i pokontrolne z audytu.
5,0Wymagania na 4.5 plus dodatkowo: Student formułuje wnioski i zalecenia z przeprowadzonego audytu bezpieczeństwa systemu IT.

Literatura podstawowa

  1. Ron A. Weber, Information Systems Control and Audit, Pearson Education, USA, 1998, 1st Edition
  2. Tomasz Polaczek, Audyt bezpieczeństwa informacji w praktyce, Helion, Gliwice, 2006
  3. Marian Molski, Małgorzata Łacheta, Przewodnik audytora systemów informatycznych, Helion, Gliwice, 2007
  4. Krzysztof Liderman, Analiza ryzyka i ochrona informacji w systemach komputerowych, PWN, Warszawa, 2008
  5. Aam Stabryły, Systemy controllingu, monitoringu i audytu, MFiles.pl, Kraków, 2010

Literatura dodatkowa

  1. Mohit Aggarwal, Information Technology System Audit, AJ Publications, USA, 2017

Treści programowe - laboratoria

KODTreść programowaGodziny
T-L-1Opracowania matrycy kontroli Systemu Informacyjnego: - matryca kontroli ładu informatycznego - matryca kontroli rozwijania i nabywania - matryca kontroli eksploatacji systemów informatycznych - matryca kontroli bezpieczeństwa informacji - matryca kontroli mechanizmów kontroli aplikacji - matryca kontroli BCP/DRP - matryca kontroli outsourcingu/chmury obliczeniowej8
T-L-2Przeprowadzenie audytu na zgodność z normami z wykorzystaniem narzędzi RISIBASE: - Audyt bezpieczeństwa fizycznego, - Audyt bezpieczeństwa sieci (WAN, LAN, WLAN), - Audyt bezpieczeństwa eksploatacji sieci, systemów i aplikacji - Audyt środowiska IT, - Audyt pozyskiwania, rozwoju i utrzymywania systemów i aplikacji8
T-L-3Oszacowanie i postępowanie z ryzykiem z wykorzystaniem narzędzia RISICARE: - identyfikacja i klasyfikacja zasobów, - identyfikacja i klasyfikacja zagrożeń i podatności - obliczanie wagi ryzyka - postępowanie z ryzykiem - Obliczanie ryzyka szczątkowego6
T-L-4Techniki raportowania wyników kontrolnych/pokontrolnych z analizy i audytów: - sformułowanie wniosków i rekomendacji, - sformułowanie dowodów niezgodności, - sformułowanie zmian, uzupełnień itp. w polityce bezpieczeństwa, planów ciągłości działania (BCP) i planów odtwarzania utraconych zasobów (DRP).4
T-L-5Monitorowania bezpieczeństwa infrastruktury krytycznej przy pomocy Zabbix'a4
30

Treści programowe - wykłady

KODTreść programowaGodziny
T-W-1Potrzeba audytu systemów informacyjnych2
T-W-2Wprowadzenie do zarządzania bezpieczeństwem systemów informatycznych2
T-W-3Zarządzania ryzykiem systemów informacyjnych: - Ochrona zasobów, - szacowanie i postępowanie z ryzykiem dla procesów biznesowych - rozwój i utrzymanie systemów - ciągłość działania usług i odtwarzanie utraconych zasobów po awarii6
T-W-4Wprowadzenie do audytowania - audyt wytycznych norm i etyki zawodu - Ogólnie przyjęte standardy audytu (GAAS) - Cele kontroli w zakresie informacji i technologii pokrewnych (COBIT) - ISACA - Val IT - ITIL4
T-W-5Przeprowadzenie audytu systemu informacyjnego - Audyt wewnętrzny i audyt zewnętrzny Kontrola nad informacjami i procesami: - Zarządzanie informacją i procesami - Kontrola fizyczna i środowiskowa - Kontrola sieci - kontrola architektury systemów i oprogramowania systemowego - Kontrola aplikacji bazodanowych i dedykowanych - Kontrola Internetu i e-commerce - Kontrola działań operacyjnych (instalacja, konfiguracja, itp. oprogramowania i urządzeń) - Kontrola nad zmianami - Kontrola dostępu - Kontrola metod i mechanizmów szyfrowania, uwierzytelniania i zapewnienia niezaprzeczalności - Kontrola użytkowników końcowych - Kontrola licencji oprogramowania8
T-W-6Tworzenia dokumentacji polityki bezpieczeństwa systemów : - Tworzenie i testowanie polityki bezpieczeństwa organizacji, - Tworzenie i testowanie planów ciągłości działania (BCP) - Tworzenie i testowanie planów odtwarzania utraconych zasobów (DRP)3
T-W-7Przykłady systemów podlegających obowiązkowych audytów (ochrona przed cyberataków) Systemy krytyczne i infrastruktura krytyczna Państwa (pojęcia, typy systemów krytycznych, typ infrastruktury krytycznej, projektowanie bezpiecznego oprogramowania dla systemów krytycznych, Systemy kontroli i monitorowania infrastruktury krytycznej: systemy SIEM (Security Information and Event Management) i systemy SCADA (Supervisory Control And Data Acquisition).5
30

Formy aktywności - laboratoria

KODForma aktywnościGodziny
A-L-1Uczestnictwo w zajęciach30
A-L-2Przygotowanie do ćwiczeń laboratoryjnych12
A-L-3Kończenie (w ramach pracy własnej) sprawozdań z ćwiczeń laboratoryjnych8
50
(*) 1 punkt ECTS, odpowiada około 30 godzinom aktywności studenta

Formy aktywności - wykłady

KODForma aktywnościGodziny
A-W-1Uczestnictwo w zajęciach30
A-W-2Zapoznanie się ze wskazaną literaturą / materiałami dydaktycznymi10
A-W-3Przygotowanie do egzaminu6
A-W-4Udział w konsultacjach2
A-W-5udział w egzaminie2
50
(*) 1 punkt ECTS, odpowiada około 30 godzinom aktywności studenta
PoleKODZnaczenie kodu
Zamierzone efekty kształceniaI_1A_D03.07.1_W01Potrafi zidentyfikować zasoby, podatności, zagrożenia, opracować matrycę kontroli działania systemu, przeprowadzić na przemian analizę ryzyka i audyt bezpieczeństwa systemów informacyjnych.
Odniesienie do efektów kształcenia dla kierunku studiówI_1A_W07Posiada wiedzę w zakresie ochrony i zarządzania informacją oraz bezpieczeństwa systemów informatycznych, jest świadomy obowiązujących norm prawnych i etycznych oraz zagrożeń w dziedzinie przestępczości elektronicznej.
I_1A_W08Posiada poszerzoną wiedzę w zakresie analizy, konfiguracji, integracji i bezpieczeństwa systemów i usług informatycznych.
Cel przedmiotuC-1Zapoznanie studentów z rolą i celami audytów systemów informacyjnych, z technikami przyprowadzania audytów bezpieczeństwa, z najlepszymi praktykami, standardami i wymaganiami prawnymi dotyczącymi przetwarzania, przesyłania i przechowywania informacji, ich kontrolą oraz umiejętnościami oceny stopnia ich zgodności ze standardami i wymaganiami.
Treści programoweT-W-4Wprowadzenie do audytowania - audyt wytycznych norm i etyki zawodu - Ogólnie przyjęte standardy audytu (GAAS) - Cele kontroli w zakresie informacji i technologii pokrewnych (COBIT) - ISACA - Val IT - ITIL
T-W-5Przeprowadzenie audytu systemu informacyjnego - Audyt wewnętrzny i audyt zewnętrzny Kontrola nad informacjami i procesami: - Zarządzanie informacją i procesami - Kontrola fizyczna i środowiskowa - Kontrola sieci - kontrola architektury systemów i oprogramowania systemowego - Kontrola aplikacji bazodanowych i dedykowanych - Kontrola Internetu i e-commerce - Kontrola działań operacyjnych (instalacja, konfiguracja, itp. oprogramowania i urządzeń) - Kontrola nad zmianami - Kontrola dostępu - Kontrola metod i mechanizmów szyfrowania, uwierzytelniania i zapewnienia niezaprzeczalności - Kontrola użytkowników końcowych - Kontrola licencji oprogramowania
T-W-3Zarządzania ryzykiem systemów informacyjnych: - Ochrona zasobów, - szacowanie i postępowanie z ryzykiem dla procesów biznesowych - rozwój i utrzymanie systemów - ciągłość działania usług i odtwarzanie utraconych zasobów po awarii
T-W-6Tworzenia dokumentacji polityki bezpieczeństwa systemów : - Tworzenie i testowanie polityki bezpieczeństwa organizacji, - Tworzenie i testowanie planów ciągłości działania (BCP) - Tworzenie i testowanie planów odtwarzania utraconych zasobów (DRP)
T-W-2Wprowadzenie do zarządzania bezpieczeństwem systemów informatycznych
Metody nauczaniaM-1Wykład informacyjno-konwersatoryjny
Sposób ocenyS-2Ocena podsumowująca: Test (jednokrotnego lub wielokrotnego wyboru) oraz pytania otwarte (zadania problemowe)
Kryteria ocenyOcenaKryterium oceny
2,0Student nie posiada wiedzy umożliwiającej mu uzyskanie zaliczenia
3,0Student zna metody identyfikacji i klasyfikacji zasobów, podatności, zagrożeń oraz zna techniki przeprowadzania analizy ryzyka oraz audytów bezpieczeństwa systemów IT .
3,5Wymagania na 3.0 plus dodatkowo: Student zna inne metody i techniki przeprowadzania analizy ryzyka oraz objaśnia otrzymane wyniki analizy.
4,0Wymagania na 3.5 plus dodatkowo: Student zna metody i techniki postępowania z ryzykiem systemów IT.
4,5Wymagania na 4.0 plus dodatkowo: Student zna proces tworzenia dokumentacji BCP i DRP dla systemów IT
5,0Wymagania na 4.5 plus dodatkowo: Student formułuje wnioski i zalecenia z przeprowadzonej analizy ryzyka oraz audytu bezpieczeństwa systemów IT.
PoleKODZnaczenie kodu
Zamierzone efekty kształceniaI_1A_D03.07.1_U01Umie interpretować wyniki analizy ryzyka i/lub audytu bezpieczeństwa, przygotować raport końcowy z analizy lub audytu wraz z zaleceniami (np. zmian w polityce bezpieczeństwa, wdrożenia nowych zabezpieczeń, opracowania i/lub poprawienia BCP, DRP itp.) dotyczącymi dowolnego systemu IT.
Odniesienie do efektów kształcenia dla kierunku studiówI_1A_U12Potrafi konfigurować systemy komputerowe i usługi, w zakresie bezpieczeństwa, sieci komputerowych, zasobów sprzętowych i oprogramowania.
I_1A_U08Potrafi dobrać i krytycznie ocenić elementy składowe systemów komputerowych.
Cel przedmiotuC-2Ukształtowanie umiejętności identyfikowania i klasyfikowania zasobów, podatności, zagrożeń, oszacowania ryzyka, przeprowadzenia audytu bezpieczeństwa, tworzenia polityki, procedur oraz planów ciągłości działania (BCP) i odtwarzania utraconych zasobów (DRP) po awarii.
Treści programoweT-L-3Oszacowanie i postępowanie z ryzykiem z wykorzystaniem narzędzia RISICARE: - identyfikacja i klasyfikacja zasobów, - identyfikacja i klasyfikacja zagrożeń i podatności - obliczanie wagi ryzyka - postępowanie z ryzykiem - Obliczanie ryzyka szczątkowego
T-L-4Techniki raportowania wyników kontrolnych/pokontrolnych z analizy i audytów: - sformułowanie wniosków i rekomendacji, - sformułowanie dowodów niezgodności, - sformułowanie zmian, uzupełnień itp. w polityce bezpieczeństwa, planów ciągłości działania (BCP) i planów odtwarzania utraconych zasobów (DRP).
T-L-2Przeprowadzenie audytu na zgodność z normami z wykorzystaniem narzędzi RISIBASE: - Audyt bezpieczeństwa fizycznego, - Audyt bezpieczeństwa sieci (WAN, LAN, WLAN), - Audyt bezpieczeństwa eksploatacji sieci, systemów i aplikacji - Audyt środowiska IT, - Audyt pozyskiwania, rozwoju i utrzymywania systemów i aplikacji
Metody nauczaniaM-2Cwiczenia laboratoryjne
Sposób ocenyS-1Ocena formująca: Ocena na podstawie wejsciówki, stopnia wykonania (pod koniec zajęć) scenariuszy formułowanych w oparciu o konspekty laboratoryjne i/lub sprawozdania z zajęć.
Kryteria ocenyOcenaKryterium oceny
2,0Student nie posiada umiejętność umożliwiających mu uzyskanie zaliczenia.
3,0Student potrafi przygotować i dobierać dane umożliwiające mu przeprowadzenie analizy ryzyka systemu IT.
3,5Wymagania na 3.0 plus dodatkowo: Student potrafi obliczać wagę ryzyka oraz postępować z ryzykiem (dobierać odpowiednie mechanizmy zabezpieczeń).
4,0Wymagania na 3.5 plus dodatkowo: Student potrafi przeprowadzić audyt na zgodność z normami i znanymi technikami np. COBIT, ITIL, itp.
4,5Wymagania na 4.0 plus dodatkowo: Student potrafi sporządzać podstawowe dokumenty kontrolne i pokontrolne z audytu.
5,0Wymagania na 4.5 plus dodatkowo: Student formułuje wnioski i zalecenia z przeprowadzonego audytu bezpieczeństwa systemu IT.