Bezpieczeństwo społeczne, organizacyjne i zarządzanie cyberbezpieczeństwem

103000 - Wydział Elektroniki i Technik Informacyjnych

BESPO

1

Głównym celem twórców przedmiotu jest przedstawienie studentom spektrum zagadnień, z którymi musi zmierzyć się inżynier (projektant lub użytkownik) w szeroko rozumianym obszarze bezpieczeństwa podczas budowy oraz utrzymania urządzeń lub systemów teleinformatycznych. Dotyczy to kwestii: prawnych, organizacyjnych, społecznych oraz dotyka zagadnień bezpieczeństwa w kontekście: elementów lub całego systemu, osób, przedsięwzięć oraz całych firm. Podczas wykładu zostaną omówione możliwe zagrożenia, oraz ich ewentualne konsekwencje. Przedstawione zostanie jak można zdefiniować funkcje i jak je zaimplementować z wykorzystaniem różnych mechanizmów, tak aby w efekcie uzyskać zamierzone cele, skutkujące bezpieczeństwem systemu. Równocześnie zostaną rozważone różnorodne efekty wprowadzenia danych zabezpieczenia do systemu lub też ich złamania. Zostanie również przedstawiona metodologia analizy ryzyka.

Głównym celem twórców przedmiotu jest przedstawienie studentom spektrum zagadnień, z którymi musi zmierzyć się inżynier (projektant lub użytkownik) w szeroko rozumianym obszarze bezpieczeństwa podczas budowy oraz utrzymania urządzeń lub systemów teleinformatycznych. Dotyczy to kwestii: prawnych, organizacyjnych, społecznych oraz dotyka zagadnień bezpieczeństwa w kontekście: elementów lub całego systemu, osób, przedsięwzięć oraz całych firm. Podczas wykładu zostaną omówione możliwe zagrożenia, oraz ich ewentualne konsekwencje. Przedstawione zostanie jak można zdefiniować funkcje i jak je zaimplementować z wykorzystaniem różnych mechanizmów, tak aby w efekcie uzyskać zamierzone cele, skutkujące bezpieczeństwem systemu. Równocześnie zostaną rozważone różnorodne efekty wprowadzenia danych zabezpieczenia do systemu lub też ich złamania. Zostanie również przedstawiona metodologia analizy ryzyka.

Treść wykładu

1. Wprowadzenie do zagadnień ochrony informacji.
   Prywatność, anonimowość, poufność, zagrożenia, podatności, zabezpieczenia, incydenty, zarządzanie incydentami, obsługa incydentów, współczesne zagrożenia cyberbezpieczeństwa, aktualne przykłady. Organizacje zajmujące się cyberbezpieczeństwem, kontekst prawny.
2. Współczesne obszary związane z bezpieczeństwem teleinformatycznym.
   Przykłady uzasadniające potrzebę zarządzania bezpieczeństwem: e-płatności-kredyt-czeki i technologia blockchain, podpis EIDAS, e-dowódy, bezpieczeństwo w chmurze obliczeniowej, aktualne możliwe zagrożenia.
3. Projektowanie systemów bezpieczeństwa informacyjnego.
   Zarządzanie przedsięwzięciem projektowania i budowy systemu bezpieczeństwa informacyjnego, cykl życia systemu, etap analizy w cyklu rozwojowym systemu bezpieczeństwa informacyjnego, dokumentowanie prac projektowych, dobre praktyki w projektowaniu wiarygodnych systemów, testowanie: funkcjonalne, wydajnościowe, pokryciowe, produkcja, serwis i rozwój.
4. Modele ochrony informacji.
   Organizacja dostępu do informacji, sterowanie dostępem do informacji: Model Grahama-Denninga, Bella-LaPaduli, Model Biby, Brewera-Nasha, Clarka-Wilsona, Harrisona-Ruzzo-Ullmana, Normy: ISO/IEC 27001.
5. Polityki bezpieczeństwa i dokumentowanie systemu ochrony informacji.
   Plan, instrukcje i procedury bezpieczeństwa informacyjnego, dokumentowanie przedsięwzięć zapewniania ciągłości działania organizacji, plan zapewniania ciągłości działania, plany kryzysowe, wytyczne z norm i standardów, kopie bezpieczeństwa - infrastruktura i organizacja, ochrona fizyczna, normy, ISO/IEC.
6. Zarządzanie ryzykiem.
   Charakterystyka procesu zarządzania ryzykiem, norma PN-ISO/IEC 27005:2010, standardy FIPS/NIST, ISO 31000-rodzina norm dotyczących zarządzania ryzykiem, analiza ryzyka - identyfikacja zakresu, środowiska, zagrożeń i podatności, oszacowanie ryzyka – metoda ilościowa, metoda jakościowa, ryzyko akceptowalne i koszty postępowania z ryzykiem.
7. Bezpieczeństwo społeczne.
   Sieci społecznościowe: zagrożenia i metody przeciwdziałania zagrożeniom. Metody analizy sieci społecznościowych (podać przykłady). Metody zapewnienia prywatności w sieci, ew. inne zagadnienia bezpieczeństwa społecznego.
8. Wojna informacyjna i manipulacja świadomością społeczną.
   Charakterystyka wojny informacyjnej, jej uczestnicy i jej poziomy, Rola mediów. Techniki manipulacji. Analiza przypadków. Przeciwdziałanie dezinformacji.
9. Tajemnice chronione prawem.
   Ochrona danych osobowych, tajemnica: lekarska, adwokacka, bankowa, skarbowa, danych telekomunikacyjnych, statystycznych, dane publiczne, prywatność w sieci, aspekty prawne, zatarcie śladów w Internecie, konsekwencje.
10. Ochrona informacji niejawnych.
    Podstawy prawne, organizacja ochrony informacji niejawnych, rola służb ochrony państwa, klauzule tajności, bezpieczeństwo osobowe i przemysłowe, KT, pełnomocnicy, inspektorzy, administratorzy, certyfikacja urządzeń lub narzędzi, standardy, ocena zgodności: ITSEC, CC. Obrót towarami podwójnego zastosowania, audyt.
11. Infrastruktura krytyczna.
    Środki i zasoby infrastruktury, podstawy prawne narodowego programu ochrony infrastruktury krytycznej, zapewnienie funkcjonalności, ciągłości działań i integralności, bezpieczeństwo fizyczne, techniczne i osobowe IK.
12. Przyszłość - sztuczna inteligencja i cyberbezpieczeństwo.
    Analiza bigdata z różnych źródeł: IoT i procesory SGX, chmury, 5G, techniki: maszynowego uczenia i deep learningu, wykrywanie ataków typu DDos, zyski i możliwe straty.

Zakres projektu

W ramach projektu stworzone zostaną zespoły 6-osobowe (2 projektantów + 2 osoby weryfikujące i dokumentujące + 2 atakujących) będą one miały do wykonania zadanie w postaci:

• analizy i zdefiniowania zagrożeń,
• specyfikacji celów i funkcji bezpieczeństwa,
• implementacji mechanizmów bezpieczeństwa,
• wykonanie dokumentacji,
• analiza bezpieczeństwa,
• przeprowadzenia weryfikacji projektu oraz ataków i ustalenie możliwych słabych ogniw wraz z oceną końcową bezpieczeństwa.

1. Strategia cyberbezpieczeństwa RP, na lata 2017-2022, Ministerstwo Cyfryzacji, 2017.
2. Pod redakcją: S. Gwoździewicz, K. Tomaszyckiego, Prawne i społeczne aspekty cyberbezpieczeństwa, MII, 2017.
3. Pod redakcją: J. Trubalska, L. Wojciechowski, Bezpieczeństwo państwa w cyberprzestrzeni, WSEI, 2017.
4. Bezpieczeństwo infrastruktury krytycznej, Instytut Kościuszki, 2014.
5. System bezpieczeństwa cyberprzestrzeni RP, NASK, 2015.
6. M. Kubiak, S. Topolewski, Bezpieczeństwo informacyjne w XXI wieku, Imprint, 2016.
7. Wojna informacyjna w Internecie, CSM, 2017.

Sprawdzanie założonych efektów kształcenia realizowane jest przez:

• ocenę wiedzy i umiejętności związanych z realizacją zadań projektowych – ocena prezentacji i raportu z przeglądu literatury;
• ocenę wiedzy i umiejętności wykazanych na egzaminie ustnym.

103100 - Instytut Automatyki i Informatyki Stosowanej

103100 - Instytut Automatyki i Informatyki Stosowanej