Úvod do informačnej bezpečnosti

 (2017/2018)

Termín: utorok od 11:30 do 13:00 

Miestnosť: SA1C03 (P03) 

Vyučujúci: RNDr. JUDr. Pavol Sokol, PhD., MSc. Terézia Mezešová 

Študijný materiál

Harmonogram

 

(1) Úvod do informačnej bezpečnosti I. (19.09.2017)

Obsah: Význam informačnej bezpečnosti. Informačný systém a jeho životný cyklus. Triáda C-I-A. Parkerova šestica. Informačná bezpečnosť vs. kybernetická bezpečnosť.

Študijný materiál: Študijné materiály k štandardom základných znalostí IB (2013) - 1. kapitola

Prezentácia: 

 

(2) Úvod do informačnej bezpečnosti II. (26.09.2017)

Obsah: Model informačnej bezpečnosti. Aktívum. Hrozba. Zraniteľnosť. Útok. Agent hrozby a útočník. Riziko. Protiopatrenie. Prípadová štúdia. 

Študijný materiál: Študijné materiály k štandardom základných znalostí IB (2013) - 1. kapitola

Prezentácia: 

 

(3) Systém riadenia informačnej bezpečnosti (03.10.2017)

Obsah: Systém riadenia informačnej bezpečnosti (ISMS). PDCA model. Zavedenie ISMS. Politika ISMS. Analýza a zvládanie rizík. Implementácia a prevádzka ISMS. Monitorovanie a preskúsamie ISMS. Údržba a zlepšovanie ISMS. Riadenie rizík. 

Študijný materiál: Študijné materiály k štandardom základných znalostí IB (2013) - 1. kapitola

Prezentácia: 

 

(4) Právne a etické aspekty informačnej bezpečnosti (10.10.2017)

Obsah: Medzinárodné organizácie a normy v oblasti informačnej bezpečnosti. ISO/IEC 27000. RFC Štandardy. NIST štandardy. ENISA štandardy. ISACA a COBIT. Medzinárodná a európska právna úprava. GDPR. NIS smernica. Slovenská právna úprava. Ochrana osobných údajov. Elektronické podpisy. Etické aspekty informačnej bezpečnosti.

Študijný materiál: Študijné materiály k štandardom základných znalostí IB (2013) - 12. kapitola

Prezentácia: 

Zadanie č. 1: Deadline: 24.10.2017

  1. V rámci právneho poriadku SR identifikuje 5 aktív, 5 bezpečnostných opatrení a 5 hrozieb. Použite portál zákony pre ľudí

  2. Zoraďte nasledujúce údaje podľa ich citlivosti z pohľadu ochrany osobných údajov: meno, priezvisko, rodné číslo, dátum narodenia, číslo občianskeho preukazu, číslo pasu, prezývka, fotografia, vierovyznanie, bydlisko, číslo topánok, telesná výška, e-mail a známka z tohto predmetu Úvod do informačnej bezpečnosti. Súčaste doplňte 6 ďalších údajov. Svoje poradie údajov stručne zdôvodnite.

 

(5) Proces riadenia rizík – prípadová štúdia (17.10.2017)

Obsah: Riadenie rizík. Stanovenie kontextu. Posúdenie rizík. Analýza rizík. Hodnotenie rizík. Ošetrenie rizík. 

Študijný materiál: Študijné materiály k štandardom základných znalostí IB (2013) - 1. kapitola, ISO/IEC 27005:2013

Prezentácia: 

 

(6) Riadenie kontinuity činností a plánovanie obnovy (24.10.2017)

Obsah: Kontinuita činností. Riadenie kontinuity činností (BCM) - prínos, prvky, princípy. Časová línia BCM. Procesný cyklus BCM. Analýza dopadov (BIA). Plánovanie BCM. Implementácia a prevádzka BCM. Akčné plány. Školenia. Sledovanie a kontrola BCM.

Študijný materiál: Študijné materiály k štandardom základných znalostí IB (2013) - 11. kapitola

Prezentácia: 

Zadanie č. 2: Deadline: 7.11.2017 

Ako majiteľ e-shopu analyzujte dopad (business impact assessment) pre Vašu organizáciu v prípade nedostupnosti služieb e-shopu. V rámci analýzy vytvorte časové rozsahy pre nedostupnosť služby (rozdelenie stručne zdôvodnite) a tabuľku dopadov (okrem tabuľky je potrebné napísať aj zdôvodnenie). 

 

(7) Úvod do kryptológie (31.10.2017)

Obsah: Kryptológia. Kryptografia a kódova. Princípy informačnej bezpečnosti a kryptografia. Delenie kryptografie. Kryptoanalýza. Kirchhoffov princíp. Symetrická kryptografia. Klasické šifry. Blokové šifry. AES. Prúdové šifry. Asymetrická kryptografia. RSA. Hašovacie funkcie. Infraštruktúra verejných kľúčov. Certifikáty. 

Študijný materiál: Študijné materiály k štandardom základných znalostí IB (2013) - 8. kapitola (9. kapitola len informatívne)

Prezentácia: 

 

 

(8) Riadenie prístupu (07.11.2017)

Obsah: Identifikácia a autentifikácia. Systémy pre riadenie prístupu. Politika riadenia prístupu. Manažment prístupu používateľov. Biometrické systémy. Ochrana prístupu k sieti. Single Sign On. VPN. Mobilné výpočty a práca na diaľku.

Študijný materiál: Študijné materiály k štandardom základných znalostí IB (2013) - 4. kapitola

Prezentácia: 

 

(9) Fyzická a priestorová bezpečnosť (14.11.2017) 

Obsah: Vplyv prostredia na systém a súvisiace riziká. Prvky fyzickej bezpečnosti. Protipožiarna ochrana a  elektronická požiarna signalizácia. Ochrana informačných a komunikačných zariadení. Údržba, vynášanie a odstraňovanie  zariadení. Fyzická bezpečnosť prenosných zariadení. Poplachové systémy na hlásenie narušenia. Systém  kontroly vstupov.

Študijný materiál: Študijné materiály k štandardom základných znalostí IB (2013) - 7. kapitola

Prezentácia: 

Zadanie č. 3: Deadline: 05.12.2017 (posunutý termín)

Fyzická bezpečnosť predstavuje základný pilier bezpečnosti informačných systémov. Prejavuje sa najmä v umiestnení sieťových smerovačov, prepínačov, dátových úložísk a serverov, zabezpečujúcich hlavné služby pre organizáciu. V menších a stredných organizáciách (SME) sú tieto zariadenia umiestňované do miestností, ktoré sa nazývajú „serverovňa“. Predpokladajme, že táto miestnosť (s rozmermi 10 m x 7,5 m) je vybavená rozvodmi štandardného napätia 230V a maximálneho prúdu 63A. Je klasicky vybavená - štandardné zateplenie, okná a pripojenie do lokálnej počítačovej siete v požadovanej kapacite. Jej vybavenie (teda základný hardvér - diskové polia, servery, prepínače, smerovače) má cenu cca 2 milión € a je umiestnené v 11 dátových rozvádzačoch (každý s max. výkonom 5 kW). Máte k dispozícii 200.000 €, aby ste miestnosť čo najlepšie zabezpečili z hľadiska fyzickej bezpečnosti. Zostavte zoznam konkrétnych zariadení, resp. prác, ktoré je potrebné zakúpiť, resp. zabezpečiť. Každú položku zdôvodnite s ohľadom na jej bezpečnostné ciele. Používajte približné sumy, ktoré nájdete na Internete. 

Zadanie č. 3 - schéma serverovne

(10) Bezpečnosť počítačovej a komunikačnej siete (21.11.2017)  

Obsah: Základné bezpečnostné praktiky. Technológie počítačových sietí. Typy útokov na počítačové siete. Bezpečnosť sieťových prepínačov a sieťových smerovačov. DMZ a Firewally. IPS a IDS. Honeypoty a honeynety.

Študijný materiál: Študijné materiály k štandardom základných znalostí IB (2013) - 10. kapitola

Prezentácia: 


 

(11) Bezpečnosť počítačovej a komunikačnej siete II. (28.11.2017) 

Obsah: Základné bezpečnostné praktiky. Technológie počítačových sietí. Typy útokov na počítačové siete. Bezpečnosť sieťových prepínačov a sieťových smerovačov. DMZ a Firewally. IPS a IDS. Honeypoty a honeynety.

Študijný materiál: Študijné materiály k štandardom základných znalostí IB (2013) - 10. kapitola

Prezentácia: 

Zadanie č. 4: Deadline: 12.12.2017 

Vašou úlohou bude na základe schém počítačovej siete malej organizácie navrhnúť pre túto organizáciu sieťovú bezpečnosť. 

 

 

(12) Personálna bezpečnosť a bezpečnosť prevádzky (05.12.2017) 

Obsah: Sociálne inžinierstvo. Vzdelávanie v oblasti informačnej bezpečnosti. Bezpečnostné incidenty. Zálohovanie a obnova. Zaznamenania udalostí (logovanie).

Študijný materiál: Študijné materiály k štandardom základných znalostí IB (2013) - 6. kapitola

Prezentácia: 


 

(13) Aplikačná bezpečnosť (12.12.2017)  

Obsah: Škodlivý kód - jeho jednotlivé typy. Ransomware. End-point ochrana. OWASP. Zraniteľnosti webových aplikácií. Penetračné testovanie. Testovanie zdrojových kódov.

Študijný materiál: Študijné materiály k štandardom základných znalostí IB (2013) - 5. kapitola

Prezentácia: 

 

(14) Záverečný test (19.12.2017)

  • 50 bodov
  • 90 min.

 

Hodnotenie

  1. Priebežné úlohy – 20 bodov
  2. Projekt  - 50 bodov  
  3. Záverečný test – 50 bodov

spolu: 120b

Stupnica:

  • A - <92;120>
  • B - <84;92)
  • C - <76;84)
  • D - <68;76)
  • E - <60;68)
  • FX - (0;60)

 

Projekt

Materiály: