Politechnika Warszawska - Centralny System Uwierzytelniania
Strona główna

Bezpieczeństwo społeczne, organizacyjne i zarządzanie cyberbezpieczeństwem

Informacje ogólne

Kod przedmiotu: 103A-CBxxx-ISP-BESPO
Kod Erasmus / ISCED: (brak danych) / (brak danych)
Nazwa przedmiotu: Bezpieczeństwo społeczne, organizacyjne i zarządzanie cyberbezpieczeństwem
Jednostka: Wydział Elektroniki i Technik Informacyjnych
Grupy: ( Cyberbezpieczeństwo )-Cyberbezpieczeństwo-inż.-EITI
( Przedmioty techniczne )---EITI
Punkty ECTS i inne: 5.00 Podstawowe informacje o zasadach przyporządkowania punktów ECTS:
  • roczny wymiar godzinowy nakładu pracy studenta konieczny do osiągnięcia zakładanych efektów uczenia się dla danego etapu studiów wynosi 1500-1800 h, co odpowiada 60 ECTS;
  • tygodniowy wymiar godzinowy nakładu pracy studenta wynosi 45 h;
  • 1 punkt ECTS odpowiada 25-30 godzinom pracy studenta potrzebnej do osiągnięcia zakładanych efektów uczenia się;
  • tygodniowy nakład pracy studenta konieczny do osiągnięcia zakładanych efektów uczenia się pozwala uzyskać 1,5 ECTS;
  • nakład pracy potrzebny do zaliczenia przedmiotu, któremu przypisano 3 ECTS, stanowi 10% semestralnego obciążenia studenta.
Język prowadzenia: polski
Jednostka decyzyjna:

103000 - Wydział Elektroniki i Technik Informacyjnych

Kod wydziałowy:

BESPO

Numer wersji:

1

Skrócony opis:

Głównym celem twórców przedmiotu jest przedstawienie studentom spektrum zagadnień, z którymi musi zmierzyć się inżynier (projektant lub użytkownik) w szeroko rozumianym obszarze bezpieczeństwa podczas budowy oraz utrzymania urządzeń lub systemów teleinformatycznych. Dotyczy to kwestii: prawnych, organizacyjnych, społecznych oraz dotyka zagadnień bezpieczeństwa w kontekście: elementów lub całego systemu, osób, przedsięwzięć oraz całych firm. Podczas wykładu zostaną omówione możliwe zagrożenia, oraz ich ewentualne konsekwencje. Przedstawione zostanie jak można zdefiniować funkcje i jak je zaimplementować z wykorzystaniem różnych mechanizmów, tak aby w efekcie uzyskać zamierzone cele, skutkujące bezpieczeństwem systemu. Równocześnie zostaną rozważone różnorodne efekty wprowadzenia danych zabezpieczenia do systemu lub też ich złamania. Zostanie również przedstawiona metodologia analizy ryzyka.

Pełny opis:

Głównym celem twórców przedmiotu jest przedstawienie studentom spektrum zagadnień, z którymi musi zmierzyć się inżynier (projektant lub użytkownik) w szeroko rozumianym obszarze bezpieczeństwa podczas budowy oraz utrzymania urządzeń lub systemów teleinformatycznych. Dotyczy to kwestii: prawnych, organizacyjnych, społecznych oraz dotyka zagadnień bezpieczeństwa w kontekście: elementów lub całego systemu, osób, przedsięwzięć oraz całych firm. Podczas wykładu zostaną omówione możliwe zagrożenia, oraz ich ewentualne konsekwencje. Przedstawione zostanie jak można zdefiniować funkcje i jak je zaimplementować z wykorzystaniem różnych mechanizmów, tak aby w efekcie uzyskać zamierzone cele, skutkujące bezpieczeństwem systemu. Równocześnie zostaną rozważone różnorodne efekty wprowadzenia danych zabezpieczenia do systemu lub też ich złamania. Zostanie również przedstawiona metodologia analizy ryzyka.



Treść wykładu

  1. Wprowadzenie do zagadnień ochrony informacji.
    Prywatność, anonimowość, poufność, zagrożenia, podatności, zabezpieczenia, incydenty, zarządzanie incydentami, obsługa incydentów, współczesne zagrożenia cyberbezpieczeństwa, aktualne przykłady. Organizacje zajmujące się cyberbezpieczeństwem, kontekst prawny.
  2. Współczesne obszary związane z bezpieczeństwem teleinformatycznym.
    Przykłady uzasadniające potrzebę zarządzania bezpieczeństwem: e-płatności-kredyt-czeki i technologia blockchain, podpis EIDAS, e-dowódy, bezpieczeństwo w chmurze obliczeniowej, aktualne możliwe zagrożenia.
  3. Projektowanie systemów bezpieczeństwa informacyjnego.
    Zarządzanie przedsięwzięciem projektowania i budowy systemu bezpieczeństwa informacyjnego, cykl życia systemu, etap analizy w cyklu rozwojowym systemu bezpieczeństwa informacyjnego, dokumentowanie prac projektowych, dobre praktyki w projektowaniu wiarygodnych systemów, testowanie: funkcjonalne, wydajnościowe, pokryciowe, produkcja, serwis i rozwój.
  4. Modele ochrony informacji.
    Organizacja dostępu do informacji, sterowanie dostępem do informacji: Model Grahama-Denninga, Bella-LaPaduli, Model Biby, Brewera-Nasha, Clarka-Wilsona, Harrisona-Ruzzo-Ullmana, Normy: ISO/IEC 27001.
  5. Polityki bezpieczeństwa i dokumentowanie systemu ochrony informacji.
    Plan, instrukcje i procedury bezpieczeństwa informacyjnego, dokumentowanie przedsięwzięć zapewniania ciągłości działania organizacji, plan zapewniania ciągłości działania, plany kryzysowe, wytyczne z norm i standardów, kopie bezpieczeństwa - infrastruktura i organizacja, ochrona fizyczna, normy, ISO/IEC.
  6. Zarządzanie ryzykiem.
    Charakterystyka procesu zarządzania ryzykiem, norma PN-ISO/IEC 27005:2010, standardy FIPS/NIST, ISO 31000-rodzina norm dotyczących zarządzania ryzykiem, analiza ryzyka - identyfikacja zakresu, środowiska, zagrożeń i podatności, oszacowanie ryzyka – metoda ilościowa, metoda jakościowa, ryzyko akceptowalne i koszty postępowania z ryzykiem.
  7. Bezpieczeństwo społeczne.
    Sieci społecznościowe: zagrożenia i metody przeciwdziałania zagrożeniom. Metody analizy sieci społecznościowych (podać przykłady). Metody zapewnienia prywatności w sieci, ew. inne zagadnienia bezpieczeństwa społecznego.
  8. Wojna informacyjna i manipulacja świadomością społeczną.
    Charakterystyka wojny informacyjnej, jej uczestnicy i jej poziomy, Rola mediów. Techniki manipulacji. Analiza przypadków. Przeciwdziałanie dezinformacji.
  9. Tajemnice chronione prawem.
    Ochrona danych osobowych, tajemnica: lekarska, adwokacka, bankowa, skarbowa, danych telekomunikacyjnych, statystycznych, dane publiczne, prywatność w sieci, aspekty prawne, zatarcie śladów w Internecie, konsekwencje.
  10. Ochrona informacji niejawnych.
    Podstawy prawne, organizacja ochrony informacji niejawnych, rola służb ochrony państwa, klauzule tajności, bezpieczeństwo osobowe i przemysłowe, KT, pełnomocnicy, inspektorzy, administratorzy, certyfikacja urządzeń lub narzędzi, standardy, ocena zgodności: ITSEC, CC. Obrót towarami podwójnego zastosowania, audyt.
  11. Infrastruktura krytyczna.
    Środki i zasoby infrastruktury, podstawy prawne narodowego programu ochrony infrastruktury krytycznej, zapewnienie funkcjonalności, ciągłości działań i integralności, bezpieczeństwo fizyczne, techniczne i osobowe IK.
  12. Przyszłość - sztuczna inteligencja i cyberbezpieczeństwo.
    Analiza bigdata z różnych źródeł: IoT i procesory SGX, chmury, 5G, techniki: maszynowego uczenia i deep learningu, wykrywanie ataków typu DDos, zyski i możliwe straty.



Zakres projektu

W ramach projektu stworzone zostaną zespoły 6-osobowe (2 projektantów + 2 osoby weryfikujące i dokumentujące + 2 atakujących) będą one miały do wykonania zadanie w postaci:

  • analizy i zdefiniowania zagrożeń,
  • specyfikacji celów i funkcji bezpieczeństwa,
  • implementacji mechanizmów bezpieczeństwa,
  • wykonanie dokumentacji,
  • analiza bezpieczeństwa,
  • przeprowadzenia weryfikacji projektu oraz ataków i ustalenie możliwych słabych ogniw wraz z oceną końcową bezpieczeństwa.
Literatura:

  1. Strategia cyberbezpieczeństwa RP, na lata 2017-2022, Ministerstwo Cyfryzacji, 2017.
  2. Pod redakcją: S. Gwoździewicz, K. Tomaszyckiego, Prawne i społeczne aspekty cyberbezpieczeństwa, MII, 2017.
  3. Pod redakcją: J. Trubalska, L. Wojciechowski, Bezpieczeństwo państwa w cyberprzestrzeni, WSEI, 2017.
  4. Bezpieczeństwo infrastruktury krytycznej, Instytut Kościuszki, 2014.
  5. System bezpieczeństwa cyberprzestrzeni RP, NASK, 2015.
  6. M. Kubiak, S. Topolewski, Bezpieczeństwo informacyjne w XXI wieku, Imprint, 2016.
  7. Wojna informacyjna w Internecie, CSM, 2017.
Metody i kryteria oceniania:

Sprawdzanie założonych efektów kształcenia realizowane jest przez:

  • ocenę wiedzy i umiejętności związanych z realizacją zadań projektowych – ocena prezentacji i raportu z przeglądu literatury;
  • ocenę wiedzy i umiejętności wykazanych na egzaminie ustnym.

Zajęcia w cyklu "rok akademicki 2023/2024 - sem. letni" (w trakcie)

Okres: 2024-02-19 - 2024-09-30
Wybrany podział planu:
Przejdź do planu
Typ zajęć:
Projekt, 30 godzin, 60 miejsc więcej informacji
Wykład, 30 godzin, 60 miejsc więcej informacji
Koordynatorzy: Andrzej Zalewski
Prowadzący grup: Szymon Kijas, Andrzej Zalewski
Lista studentów: (nie masz dostępu)
Zaliczenie: Egzamin
Jednostka realizująca:

103100 - Instytut Automatyki i Informatyki Stosowanej

Zajęcia w cyklu "rok akademicki 2022/2023 - sem. letni" (zakończony)

Okres: 2023-02-20 - 2023-09-30
Wybrany podział planu:
Przejdź do planu
Typ zajęć:
Projekt, 30 godzin, 60 miejsc więcej informacji
Wykład, 30 godzin, 60 miejsc więcej informacji
Koordynatorzy: Andrzej Zalewski
Prowadzący grup: Szymon Kijas, Andrzej Zalewski
Lista studentów: (nie masz dostępu)
Zaliczenie: Egzamin
Jednostka realizująca:

103100 - Instytut Automatyki i Informatyki Stosowanej

Zajęcia w cyklu "rok akademicki 2021/2022 - sem. letni" (zakończony)

Okres: 2022-02-23 - 2022-09-30
Wybrany podział planu:
Przejdź do planu
Typ zajęć:
Projekt, 30 godzin, 60 miejsc więcej informacji
Wykład, 30 godzin, 60 miejsc więcej informacji
Koordynatorzy: Andrzej Zalewski
Prowadzący grup: Andrzej Zalewski
Lista studentów: (nie masz dostępu)
Zaliczenie: Egzamin
Jednostka realizująca:

103100 - Instytut Automatyki i Informatyki Stosowanej

Opisy przedmiotów w USOS i USOSweb są chronione prawem autorskim.
Właścicielem praw autorskich jest Politechnika Warszawska.
pl. Politechniki 1, 00-661 Warszawa tel: (22) 234 7211 https://pw.edu.pl kontakt deklaracja dostępności USOSweb 7.0.0.0-7 (2024-03-18)