Manažment informačnej bezpečnosti

Sylabus predmetu

Tematické vymedzenie cvičení: 1. Manažment informačnej bezpečnosti podniku. Informačná bezpečnosť - východiská, ciele a požiadavky. Atribúty informačnej bezpečnosti. Predmet ochrany informačnej bezpečnosti, aktíva IS, štruktúra a rámec manažmentu informačnej bezpečnosti. Koncepcie kybernetickej bezpečnosti v SR. 2. Legislatíva, normy a štandardy manažmentu informačnej bezpečnosti. Národné a medzinárodné normy definujúce manažment informačnej bezpečnosti - Zákon o kybernetickej bezpečnosti, Trestný zákon, Zákon o ochrane osobných údajov, Zákon o informačných systémoch verejnej správy, Normy rady ISO/IEC 27000, procesný rámec COBIT-u, ITIL. Národná stratégia kybernetickej bezpečnosti. Certifikácia v rámci systému manažérstva informačnej bezpečnosti. 3. Informačné aktíva podniku. Analýza informačných aktív podniku, klasifikácia, typy a kategórie informačných aktív. Ohodnotenie informačných aktív. Analýza zraniteľnosti. 4. Bezpečnostné incidenty v podnikoch. Bezpečnostné hrozby, incidenty, kategórie bezpečnostných incidentov. Životný cyklus bezpečnostných hrozieb. Zdroje bezpečnostných incidentov, pravdepodobnosť výskytu bezpečnostných incidentov a hrozieb v podniku. Detekcia bezpečnostných incidentov v podniku. Trendy kybernetických hrozieb. 5. Riziko informačnej bezpečnosti. Zraniteľnosti a riziká informačnej bezpečnosti. Ohodnotenie a posúdenie bezpečnostných rizík - kvalitatívna a kvantitatívna analýza rizík informačnej bezpečnosti. Miera rizika. Metriky rizík. 6. Manažment rizika informačnej bezpečnosti. Vplyv rizika informačnej bezpečnosti na manažment a ekonomické ukazovatele podniku. Plán manažmentu rizika. Mitigácia rizík informačnej bezpečnosti. 7. Bezpečnostné opatrenia. Požiadavky na bezpečnostné opatrenia. Typy a kategórie bezpečnostných opatrení. Organizačné, kompetenčné a technické bezpečnostné opatrenia. Opatrenia pre elimináciu a mitigáciu bezpečnostných rizík. Primeraná bezpečnosť vs. akceptovateľné náklady, efektivita a účinnosť bezpečnostných opatrení. 8. Modely manažmentu informačnej bezpečnosti – model PDCA, Activate-Adapt-Anticipate, Confidentiality-Integrity-Availability, TQISM, Doménový model ISSRM, Všeobecný model faktorov vplyvu, Model BMIS, Procesné mapy systému riadenia informačnej bezpečnosti, Rámec kybernetickej bezpečnosti. 9. Projekt informačnej bezpečnosti podniku I. (úvodná fáza) – obsah, štruktúra a dokumentácia. Plánovanie systému riadenia informačnej bezpečnosti pre podnik. Detekcia a analýza bezpečnostných rizík. Kvantitatívna a kvalitatívna analýza rizík. Priebežné hodnotenie - overenie znalostí a zručností študentov nadobudnutých počas semestra. 10. Projekt informačnej bezpečnosti podniku II. (implementačná fáza) – implementácia a prevádzka systému informačnej bezpečnosti. Monitorovanie a revízia. Spätná väzba, Udržiavanie a zlepšovanie. 11. Audit a certifikácia manažmentu informačnej bezpečnosti. Úloha bezpečnostného auditu, význam a prínosy bezpečnostného auditu pre podnik. Možnosti realizácie bezpečnostného auditu. Certifikácia informačných systémov - typy certifikácie, úloha a význam certifikácie, prínosy certifikácie pre podnik, fázy certifikácie.