Wydział Informatyki - Informatyka (S1)
specjalność: Inżynieria oprogramowania
Sylabus przedmiotu Audyt i kontrola bezpieczeństwa:
Informacje podstawowe
Kierunek studiów | Informatyka | ||
---|---|---|---|
Forma studiów | studia stacjonarne | Poziom | pierwszego stopnia |
Tytuł zawodowy absolwenta | inżynier | ||
Obszary studiów | charakterystyki PRK, kompetencje inżynierskie PRK | ||
Profil | ogólnoakademicki | ||
Moduł | — | ||
Przedmiot | Audyt i kontrola bezpieczeństwa | ||
Specjalność | Inżynieria systemów informacyjnych | ||
Jednostka prowadząca | Katedra Inżynierii Oprogramowania | ||
Nauczyciel odpowiedzialny | Imed El Fray <Imed.El Fray@zut.edu.pl> | ||
Inni nauczyciele | |||
ECTS (planowane) | 4,0 | ECTS (formy) | 4,0 |
Forma zaliczenia | zaliczenie | Język | polski |
Blok obieralny | 5 | Grupa obieralna | 2 |
Formy dydaktyczne
Wymagania wstępne
KOD | Wymaganie wstępne |
---|---|
W-1 | Systemy operacyjne |
W-2 | Sieci komputerowe |
W-3 | Podstawy ochrony informacji |
Cele przedmiotu
KOD | Cel modułu/przedmiotu |
---|---|
C-1 | Zapoznanie studentów z rolą i celami audytów systemów informacyjnych, z technikami przyprowadzania audytów bezpieczeństwa, z najlepszymi praktykami, standardami i wymaganiami prawnymi dotyczącymi przetwarzania, przesyłania i przechowywania informacji, ich kontrolą oraz umiejętnościami oceny stopnia ich zgodności ze standardami i wymaganiami. |
C-2 | Ukształtowanie umiejętności identyfikowania i klasyfikowania zasobów, podatności, zagrożeń, oszacowania ryzyka, przeprowadzenia audytu bezpieczeństwa, tworzenia polityki, procedur oraz planów ciągłości działania (BCP) i odtwarzania utraconych zasobów (DRP) po awarii. |
Treści programowe z podziałem na formy zajęć
KOD | Treść programowa | Godziny |
---|---|---|
laboratoria | ||
T-L-1 | Opracowania matrycy kontroli Systemu Informacyjnego: - matryca kontroli ładu informatycznego - matryca kontroli rozwijania i nabywania - matryca kontroli eksploatacji systemów informatycznych - matryca kontroli bezpieczeństwa informacji - matryca kontroli mechanizmów kontroli aplikacji - matryca kontroli BCP/DRP - matryca kontroli outsourcingu/chmury obliczeniowej | 8 |
T-L-2 | Przeprowadzenie audytu na zgodność z normami z wykorzystaniem narzędzi RISIBASE: - Audyt bezpieczeństwa fizycznego, - Audyt bezpieczeństwa sieci (WAN, LAN, WLAN), - Audyt bezpieczeństwa eksploatacji sieci, systemów i aplikacji - Audyt środowiska IT, - Audyt pozyskiwania, rozwoju i utrzymywania systemów i aplikacji | 8 |
T-L-3 | Oszacowanie i postępowanie z ryzykiem z wykorzystaniem narzędzia RISICARE: - identyfikacja i klasyfikacja zasobów, - identyfikacja i klasyfikacja zagrożeń i podatności - obliczanie wagi ryzyka - postępowanie z ryzykiem - Obliczanie ryzyka szczątkowego | 6 |
T-L-4 | Techniki raportowania wyników kontrolnych/pokontrolnych z analizy i audytów: - sformułowanie wniosków i rekomendacji, - sformułowanie dowodów niezgodności, - sformułowanie zmian, uzupełnień itp. w polityce bezpieczeństwa, planów ciągłości działania (BCP) i planów odtwarzania utraconych zasobów (DRP). | 4 |
T-L-5 | Monitorowania bezpieczeństwa infrastruktury krytycznej przy pomocy Zabbix'a | 4 |
30 | ||
wykłady | ||
T-W-1 | Potrzeba audytu systemów informacyjnych | 2 |
T-W-2 | Wprowadzenie do zarządzania bezpieczeństwem systemów informatycznych | 2 |
T-W-3 | Zarządzania ryzykiem systemów informacyjnych: - Ochrona zasobów, - szacowanie i postępowanie z ryzykiem dla procesów biznesowych - rozwój i utrzymanie systemów - ciągłość działania usług i odtwarzanie utraconych zasobów po awarii | 6 |
T-W-4 | Wprowadzenie do audytowania - audyt wytycznych norm i etyki zawodu - Ogólnie przyjęte standardy audytu (GAAS) - Cele kontroli w zakresie informacji i technologii pokrewnych (COBIT) - ISACA - Val IT - ITIL | 4 |
T-W-5 | Przeprowadzenie audytu systemu informacyjnego - Audyt wewnętrzny i audyt zewnętrzny Kontrola nad informacjami i procesami: - Zarządzanie informacją i procesami - Kontrola fizyczna i środowiskowa - Kontrola sieci - kontrola architektury systemów i oprogramowania systemowego - Kontrola aplikacji bazodanowych i dedykowanych - Kontrola Internetu i e-commerce - Kontrola działań operacyjnych (instalacja, konfiguracja, itp. oprogramowania i urządzeń) - Kontrola nad zmianami - Kontrola dostępu - Kontrola metod i mechanizmów szyfrowania, uwierzytelniania i zapewnienia niezaprzeczalności - Kontrola użytkowników końcowych - Kontrola licencji oprogramowania | 8 |
T-W-6 | Tworzenia dokumentacji polityki bezpieczeństwa systemów : - Tworzenie i testowanie polityki bezpieczeństwa organizacji, - Tworzenie i testowanie planów ciągłości działania (BCP) - Tworzenie i testowanie planów odtwarzania utraconych zasobów (DRP) | 3 |
T-W-7 | Przykłady systemów podlegających obowiązkowych audytów (ochrona przed cyberataków) Systemy krytyczne i infrastruktura krytyczna Państwa (pojęcia, typy systemów krytycznych, typ infrastruktury krytycznej, projektowanie bezpiecznego oprogramowania dla systemów krytycznych, Systemy kontroli i monitorowania infrastruktury krytycznej: systemy SIEM (Security Information and Event Management) i systemy SCADA (Supervisory Control And Data Acquisition). | 5 |
30 |
Obciążenie pracą studenta - formy aktywności
KOD | Forma aktywności | Godziny |
---|---|---|
laboratoria | ||
A-L-1 | Uczestnictwo w zajęciach | 30 |
A-L-2 | Przygotowanie do ćwiczeń laboratoryjnych | 12 |
A-L-3 | Kończenie (w ramach pracy własnej) sprawozdań z ćwiczeń laboratoryjnych | 8 |
50 | ||
wykłady | ||
A-W-1 | Uczestnictwo w zajęciach | 30 |
A-W-2 | Zapoznanie się ze wskazaną literaturą / materiałami dydaktycznymi | 10 |
A-W-3 | Przygotowanie do egzaminu | 6 |
A-W-4 | Udział w konsultacjach | 2 |
A-W-5 | udział w egzaminie | 2 |
50 |
Metody nauczania / narzędzia dydaktyczne
KOD | Metoda nauczania / narzędzie dydaktyczne |
---|---|
M-1 | Wykład informacyjno-konwersatoryjny |
M-2 | Cwiczenia laboratoryjne |
Sposoby oceny
KOD | Sposób oceny |
---|---|
S-1 | Ocena formująca: Ocena na podstawie wejsciówki, stopnia wykonania (pod koniec zajęć) scenariuszy formułowanych w oparciu o konspekty laboratoryjne i/lub sprawozdania z zajęć. |
S-2 | Ocena podsumowująca: Test (jednokrotnego lub wielokrotnego wyboru) oraz pytania otwarte (zadania problemowe) |
Zamierzone efekty uczenia się - wiedza
Zamierzone efekty uczenia się | Odniesienie do efektów kształcenia dla kierunku studiów | Odniesienie do efektów zdefiniowanych dla obszaru kształcenia | Odniesienie do efektów uczenia się prowadzących do uzyskania tytułu zawodowego inżyniera | Cel przedmiotu | Treści programowe | Metody nauczania | Sposób oceny |
---|---|---|---|---|---|---|---|
I_1A_D03.07.1_W01 Potrafi zidentyfikować zasoby, podatności, zagrożenia, opracować matrycę kontroli działania systemu, przeprowadzić na przemian analizę ryzyka i audyt bezpieczeństwa systemów informacyjnych. | I_1A_W07, I_1A_W08 | — | — | C-1 | T-W-2, T-W-3, T-W-4, T-W-5, T-W-6 | M-1 | S-2 |
Zamierzone efekty uczenia się - umiejętności
Zamierzone efekty uczenia się | Odniesienie do efektów kształcenia dla kierunku studiów | Odniesienie do efektów zdefiniowanych dla obszaru kształcenia | Odniesienie do efektów uczenia się prowadzących do uzyskania tytułu zawodowego inżyniera | Cel przedmiotu | Treści programowe | Metody nauczania | Sposób oceny |
---|---|---|---|---|---|---|---|
I_1A_D03.07.1_U01 Umie interpretować wyniki analizy ryzyka i/lub audytu bezpieczeństwa, przygotować raport końcowy z analizy lub audytu wraz z zaleceniami (np. zmian w polityce bezpieczeństwa, wdrożenia nowych zabezpieczeń, opracowania i/lub poprawienia BCP, DRP itp.) dotyczącymi dowolnego systemu IT. | I_1A_U08, I_1A_U12 | — | — | C-2 | T-L-2, T-L-3, T-L-4 | M-2 | S-1 |
Kryterium oceny - wiedza
Efekt uczenia się | Ocena | Kryterium oceny |
---|---|---|
I_1A_D03.07.1_W01 Potrafi zidentyfikować zasoby, podatności, zagrożenia, opracować matrycę kontroli działania systemu, przeprowadzić na przemian analizę ryzyka i audyt bezpieczeństwa systemów informacyjnych. | 2,0 | Student nie posiada wiedzy umożliwiającej mu uzyskanie zaliczenia |
3,0 | Student zna metody identyfikacji i klasyfikacji zasobów, podatności, zagrożeń oraz zna techniki przeprowadzania analizy ryzyka oraz audytów bezpieczeństwa systemów IT . | |
3,5 | Wymagania na 3.0 plus dodatkowo: Student zna inne metody i techniki przeprowadzania analizy ryzyka oraz objaśnia otrzymane wyniki analizy. | |
4,0 | Wymagania na 3.5 plus dodatkowo: Student zna metody i techniki postępowania z ryzykiem systemów IT. | |
4,5 | Wymagania na 4.0 plus dodatkowo: Student zna proces tworzenia dokumentacji BCP i DRP dla systemów IT | |
5,0 | Wymagania na 4.5 plus dodatkowo: Student formułuje wnioski i zalecenia z przeprowadzonej analizy ryzyka oraz audytu bezpieczeństwa systemów IT. |
Kryterium oceny - umiejętności
Efekt uczenia się | Ocena | Kryterium oceny |
---|---|---|
I_1A_D03.07.1_U01 Umie interpretować wyniki analizy ryzyka i/lub audytu bezpieczeństwa, przygotować raport końcowy z analizy lub audytu wraz z zaleceniami (np. zmian w polityce bezpieczeństwa, wdrożenia nowych zabezpieczeń, opracowania i/lub poprawienia BCP, DRP itp.) dotyczącymi dowolnego systemu IT. | 2,0 | Student nie posiada umiejętność umożliwiających mu uzyskanie zaliczenia. |
3,0 | Student potrafi przygotować i dobierać dane umożliwiające mu przeprowadzenie analizy ryzyka systemu IT. | |
3,5 | Wymagania na 3.0 plus dodatkowo: Student potrafi obliczać wagę ryzyka oraz postępować z ryzykiem (dobierać odpowiednie mechanizmy zabezpieczeń). | |
4,0 | Wymagania na 3.5 plus dodatkowo: Student potrafi przeprowadzić audyt na zgodność z normami i znanymi technikami np. COBIT, ITIL, itp. | |
4,5 | Wymagania na 4.0 plus dodatkowo: Student potrafi sporządzać podstawowe dokumenty kontrolne i pokontrolne z audytu. | |
5,0 | Wymagania na 4.5 plus dodatkowo: Student formułuje wnioski i zalecenia z przeprowadzonego audytu bezpieczeństwa systemu IT. |
Literatura podstawowa
- Ron A. Weber, Information Systems Control and Audit, Pearson Education, USA, 1998, 1st Edition
- Tomasz Polaczek, Audyt bezpieczeństwa informacji w praktyce, Helion, Gliwice, 2006
- Marian Molski, Małgorzata Łacheta, Przewodnik audytora systemów informatycznych, Helion, Gliwice, 2007
- Krzysztof Liderman, Analiza ryzyka i ochrona informacji w systemach komputerowych, PWN, Warszawa, 2008
- Aam Stabryły, Systemy controllingu, monitoringu i audytu, MFiles.pl, Kraków, 2010
Literatura dodatkowa
- Mohit Aggarwal, Information Technology System Audit, AJ Publications, USA, 2017