Manažment informačnej bezpečnosti
- Kredity: 3
- Ukončenie: Skúška
- Rozsah: 2C
- Semester: letný
- Ročník: 2
- Fakulta podnikového manažmentu
Vyučujúci
Zaradený v študijných programoch
Výsledky vzdelávania
Vedomosť:
• Komplexný pohľad na manažment informačnej bezpečnosti podniku prostredníctvom obsahového vymedzenia informačnej bezpečnosti, znalosti legislatívy a modelov viažucich sa na informačnú bezpečnosť, identifikácie informačných aktív, analýza informačných rizík a znalosti účinných bezpečnostných opatrení na zabezpečenie informačnej bezpečnosti podniku.
Kompetentnosť:
• efektívne využívať podstatné informácie o manažmente informačnej bezpečnosti na dosiahnutie optimálneho zabezpečenia informačnej bezpečnosti podniku,
• posúdiť informačné aktíva podniku,
• vyhodnotiť informačné bezpečnostné riziká pre podnik,
• navrhnúť riešenia a obhájiť odporúčania na zvýšenie informačnej bezpečnosti podniku,
• posúdiť efektivitu a účinnosť bezpečnostných opatrení a projektu manažmentu informačnej bezpečnosti podniku.
Zručnosť:
• analyzovať zraniteľnosť informačných aktív podniku,
• kvantitatívne a kvalitatívne analyzovať bezpečnostné riziká,
• navrhnúť organizačné, kompetenčné a technické bezpečnostné opatrenia na elimináciu bezpečnostných incidentov,
• vypracovať projekt informačnej bezpečnosti podniku,
• pripraviť podnik na audit manažmentu informačnej bezpečnosti a certifikáciu.
Stručná osnova predmetu
Tematické vymedzenie cvičení:
1. Manažment informačnej bezpečnosti podniku.
2. Legislatíva, normy a štandardy manažmentu informačnej bezpečnosti.
3. Informačné aktíva podniku.
4. Bezpečnostné incidenty v podnikoch.
5. Riziko informačnej bezpečnosti.
6. Manažment rizika informačnej bezpečnosti.
7. Bezpečnostné opatrenia.
8. Modely manažmentu informačnej bezpečnosti.
9. Projekt informačnej bezpečnosti podniku I.
10. Priebežné hodnotenie - overenie znalostí a zručností študentov nadobudnutých počas semestra.
11. Audit manažmentu informačnej bezpečnosti.
12. Certifikácia manažmentu informačnej bezpečnosti.
13. Prednáška zástupcu praxe.
Odporúčaná literatúra
Základná literatúra:
1. TIPTON, Harold F. - NOZAKI, Micki Krause. Information Security Management Handbook. Volume 6. Milton Park, Abingdon : Auerbach Publications, 2016. 504 s. ISBN 9781138199750.
2. Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
3. Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.
4. STN ISO/IEC 27001: 2014: Informačné technológie – Bezpečnostné metódy – Systémy riadenia informačnej bezpečnosti – Požiadavky.
5. ČERMÁK, Miroslav. Řízení informačních rizik v praxi. Brno : Tribun EU, 2009. s. 136. ISBN 978-80-7399-731-1.
6. ONDRÁK, Viktor – SEDLÁK, Petr – MAZÁLEK, Vladimír. Problematika ISMS v manažerské informatice. Brno : Akademické nakladatelství CERM, 2014. s. 378. ISBN 9788072048724.
7. STRNÁD, Ondrej. Riadenie rizík informačnej bezpečnosti. Ostrava : Amos, 2010. 238 s. ISBN 9788090452398.
8. STRNÁD, Ondrej. Systém riadenia informačnej bezpečnosti. Ostrava : Amos, 2013. 262 s. ISBN 978-80-87691-03-8.
9. STAMP, Mark. Information Security: Principles and Practice. Hodoken : Wiley. 606 p. ISBN 9780470626399.
Doplnková literatúra:
1. CSIRT.SK. Informačná bezpečnosť – Štandardy a legislatíva. Bratislava, 2021. Dostupné na internete: < https://www.csirt.gov.sk/informacna-bezpecnost/standardy-a-legislativa-813.html>.
2. CSIRT.SK. Štandardy informačnej bezpečnosti. Bratislava, 2020. Dostupné na internete:
4. KOSTRECOVÁ, Eva. Informačná bezpečnosť. Bratislava : STU, 2013. 83 s. ISBN 9788022739276.
5. WHITMAN, Michael E. – MATTORD, Herbert J. Principles of Information Security. Boston : Cengage Learning, Inc., 2018. 656 p. ISBN 9781337102063
6. KIM, David – SOLOMON, Michael G. Fundamentals of Information Systems Security. Burlington : Jones & Bartlett Learning, 2016. 575 p. ISBN 9781284116458.
7. WHITMAN, Michael E. – MATTORD, Herbert J. Management of Information Security. Boston : Cengage Learning Inc., 2018. 672 p. ISBN 9781337405713
8. NBÚ SR. 2016. Strategické dokumenty. Bratislava: Národný bezpečnostný úrad, 2020. Dostupné na internete: < https://www.nbu.gov.sk/kyberneticka-bezpecnost/strategicke-dokumenty/index.html >.
9. VACULÍK, Juraj. Manažment bezpečnosti informačného systému. Žilina : Edis, 2018. 288 s. ISBN 9788055414621.
Sylabus predmetu
Tematické vymedzenie cvičení: 1. Manažment informačnej bezpečnosti podniku. Informačná bezpečnosť - východiská, ciele a požiadavky. Atribúty informačnej bezpečnosti. Predmet ochrany informačnej bezpečnosti, aktíva IS, štruktúra a rámec manažmentu informačnej bezpečnosti. Koncepcie kybernetickej bezpečnosti v SR. 2. Legislatíva, normy a štandardy manažmentu informačnej bezpečnosti. Národné a medzinárodné normy definujúce manažment informačnej bezpečnosti - Zákon o kybernetickej bezpečnosti, Trestný zákon, Zákon o ochrane osobných údajov, Zákon o informačných systémoch verejnej správy, Normy rady ISO/IEC 27000, procesný rámec COBIT-u, ITIL. Národná stratégia kybernetickej bezpečnosti. Certifikácia v rámci systému manažérstva informačnej bezpečnosti. 3. Informačné aktíva podniku. Analýza informačných aktív podniku, klasifikácia, typy a kategórie informačných aktív. Ohodnotenie informačných aktív. Analýza zraniteľnosti. 4. Bezpečnostné incidenty v podnikoch. Bezpečnostné hrozby, incidenty, kategórie bezpečnostných incidentov. Životný cyklus bezpečnostných hrozieb. Zdroje bezpečnostných incidentov, pravdepodobnosť výskytu bezpečnostných incidentov a hrozieb v podniku. Detekcia bezpečnostných incidentov v podniku. Trendy kybernetických hrozieb. 5. Riziko informačnej bezpečnosti. Zraniteľnosti a riziká informačnej bezpečnosti. Ohodnotenie a posúdenie bezpečnostných rizík - kvalitatívna a kvantitatívna analýza rizík informačnej bezpečnosti. Miera rizika. Metriky rizík. 6. Manažment rizika informačnej bezpečnosti. Vplyv rizika informačnej bezpečnosti na manažment a ekonomické ukazovatele podniku. Plán manažmentu rizika. Mitigácia rizík informačnej bezpečnosti. 7. Bezpečnostné opatrenia. Požiadavky na bezpečnostné opatrenia. Typy a kategórie bezpečnostných opatrení. Organizačné, kompetenčné a technické bezpečnostné opatrenia. Opatrenia pre elimináciu a mitigáciu bezpečnostných rizík. Primeraná bezpečnosť vs. akceptovateľné náklady, efektivita a účinnosť bezpečnostných opatrení. 8. Modely manažmentu informačnej bezpečnosti – model PDCA, Activate-Adapt-Anticipate, Confidentiality-Integrity-Availability, TQISM, Doménový model ISSRM, Všeobecný model faktorov vplyvu, Model BMIS, Procesné mapy systému riadenia informačnej bezpečnosti, Rámec kybernetickej bezpečnosti. 9. Projekt informačnej bezpečnosti podniku I. (úvodná fáza) – obsah, štruktúra a dokumentácia. Plánovanie systému riadenia informačnej bezpečnosti pre podnik. Detekcia a analýza bezpečnostných rizík. Kvantitatívna a kvalitatívna analýza rizík. Priebežné hodnotenie - overenie znalostí a zručností študentov nadobudnutých počas semestra. 10. Projekt informačnej bezpečnosti podniku II. (implementačná fáza) – implementácia a prevádzka systému informačnej bezpečnosti. Monitorovanie a revízia. Spätná väzba, Udržiavanie a zlepšovanie. 11. Audit a certifikácia manažmentu informačnej bezpečnosti. Úloha bezpečnostného auditu, význam a prínosy bezpečnostného auditu pre podnik. Možnosti realizácie bezpečnostného auditu. Certifikácia informačných systémov - typy certifikácie, úloha a význam certifikácie, prínosy certifikácie pre podnik, fázy certifikácie.
Podmienky na absolvovanie predmetu
30 % priebežná písomná práca, 70 % kombinovaná skúška
Pracovné zaťaženie študenta
78 h (účasť na seminároch 26 h, príprava na priebežnú písomnú prácu 26 h, príprava na skúšku 26 h)
Jazyk, ktorého znalosť je potrebná na absolvovanie predmetu
slovenský
Dátum schválenia: 09.02.2023
Dátum poslednej zmeny: 14.05.2022
Dátum schválenia: 09.02.2023
Dátum poslednej zmeny: 14.05.2022