Nositelji:

prof. dr. sc. Slobodan Ribarić, prof. dr. sc. Sven Lončarić

Opis:

Postupci autentifikacije identiteta u informacijskim sustavima i informacijskom društvu. Temelji obrade i analize biometrijskih signala i slika. Temelji raspoznavanja uzoraka. Temelji teorije detekcije. Pregled metoda i tehnologija za biometrijsku autentifikaciju. Autentifikacijski protokoli temeljeni na otisku prsta, slici lica, šarenici, mrežnici, otisku dlana, geometriji ruke i dlana, potpisu, govoru i DNK. Postupci registracije korisnika u bazi, verifikacija i identifikacija. Vrednovanje kvalitete i učinkovitosti biometrijskih mehanizama (FRR, FAR, FER, EER). Primjena biometrijskih postupaka u kontroli pristupa i autorizaciji korištenja informacijskih sustava. Korištenje pametnih kartica s biometrijskim karakteristikama. Upravljanje u biometrici, što uključuje prikupljanje, distribuciju i obradu biometrijskih podataka, u cilju očuvanja sigurnosti, neporecivosti i privatnosti podataka. Životni ciklus biometrijskih rješenja. Preduvjet su znanja stečena na diplomskom studiju.

ECTS:

6

Sati nastave:

30

Kompetencije:

Studenti koji polože ovaj predmet steći će sljedeća znanja i vještine:

• Razumijevanje metoda za biometrijsku identifikaciju
• Načini mjerenja biometrijskih karakteristika
• Znanja o tehnologijama za biometrijsku autentifikaciju
• Razumijevanje ograničenja pojedinih metoda i tehnologija za biometrijsku autentifikaciju.
• Projektiranje i evaluacija sustava za biometrijsku autentifikaciju
• Razumijevanje pravnih, socijalnih i etičkih aspekata primjena ovih tehnologija.

Oblici provođenja nastave:

Predavanja, vježbe i seminarski radovi.

Nastavne cjeline:

Naziv

Uvod u biometrijsku autentifikaciju. Definicija problema. Zahtjevi na metode za autenfikaciju. Primjene.

Temelji obrade i analize biometrijskih signala i slika.

Temelji raspoznavanja biometrijskih uzoraka. Ekstrakcija značajki signala i slika. Klasifikacija uzoraka. Teorija detekcije. Mjere točnosti i pogrešaka metoda za autentifikaciju.

Pregled metoda i tehnologija za biometrijsku autentifikaciju. Raspoznavanje otisaka prstiju.

Raspoznavanje lica iz vidljivih i termografskih slika.

Raspoznavanje na temelju slike šarenice i mrežnice oka. Raspoznavanje na temelju geometrije ruke i hoda.

Raspoznavanje otiska dlana. Raspoznavanje rukopisa i potpisa.

Autentifikacija na temelju govora. DNK autentifikacija.

Sklopovlje za biometrijsku autentifikaciju. Čitači otisaka prstiju. Sustavi za raspoznavanje lica, irisa i retine. Skeneri potpisa. Pametne kartice s biometrijskim karakteristikama.

Biometrijski standardi. ISO norme. NIST norme. BioAPI. Pravni, etički i socijalni aspekti primjena biometrijske autentifikacije.

Primjene u gospodarstvu i državnim institucijama. Primjeri projekata. Životni ciklus biometrijskih rješenja.

Prezentacije studentskih seminarskih radova.

Način polaganja:

Seminarski rad, usmeni ispit

Literatura:

1. A. K. Jain, P. Flynn, A. Ross, " Handbook of Biometrics", Springer, 2007
2. J. R. Vacca, Biometric Technologies and Verification Systems, Butterworth-Heinemann, 2007
3. H. Wechsler, Reliable Face Recognition Methods: System Design, Implementation and Evaluation, Springer, 2006

Semestar:

1 ili 2

Izvođenje na engleskom:

Da

Način praćenja kvalitete:

Praćenje kvalitete i uspješnosti izvedbe predmeta sukladno sustavu upravljanja kvalitetom Sveučilišta u Zagrebu. Samovrednovanje nastave i anketiranje polaznika.

Nositelji:

izv. prof. dr. sc. Stjepan Groš, prof. dr. sc. Boris Vrdoljak

Opis:

Sve veća važnost i prisutnost informacijskih sustava u poslovanju i ostvarenju poslovnih ciljeva postavlja informacijsku sigurnost u centar suvremenih sustava. Predmet daje temeljna znanja u informacijskoj sigurnosti iz tehničke, administrativne i upravljačke perspektive. Glavne teme predmeta uključuju osnovu kriptografije, kontrole pristupa, opće ranjivosti softvera, opće ranjivosti računalnih mreža, upravljanje digitalnim pravima, klasifikaciju podataka, politike informacijske sigurnosti i zakonske propise, privatnost, utjecaj ljudskog faktora i upravljanje informacijskom sigurnošću te specijalistička poglavlja u informacijskoj sigurnosti. Također se obrađuju teme učinkovitog upravljanja svim aspektima organizacijskih rješenja za računalnu i mrežnu sigurnost te utjecaj sigurnosne tehnologije na upravljanje rizicima informacijske sigurnosti.

Posebna pažnja bit će posvećena uspostavi sustava upravljanja informacijskom sigurnošću (ISMS) primjenom međunarodne norme ISO/IEC 27001 te odabiru sigurnosnih mjera prema normi ISO/IEC 27002 kao i svim aktivnostima vezanim na PDCA (Plan-Do-Check-Act) životni ciklus ISMS sustava. U kontekstu uspostave ISMS-a obraditi će se i tema upravljanja kontinuitetom poslovanja (BCM) i analiza utjecaja na poslovanje (BIA).

Dodatni materijali pokrivaju zakonske aspekte, revizije informacijske sigurnosti te kako ostvariti sustav upravljanja u organizaciji na dnevnoj razini operativnosti.

Osim toga u kolegij su uključene i osnove računalne sigurnosti: sigurnost operacijskih sustava, mrežna sigurnost, vatrozidovi, obrana i DoS napadi, tehnike autentifikacije, sigurnost Weba, tehnike detekcije i sprječavanja upada, sigurnosne tehnike zaštite mobilnog koda, tehnike zaštite privatnosti na Internetu i ostali aspekti računalne sigurnosti.

Preduvjeti za ovaj predmet uključuju osnovna znanja o računalnim sustavima i mrežama, poznavanje programiranja i osnovna matematička znanja, ali se ne zahtijeva bilo kakvo prethodno poznavanje računalne i komunikacijske sigurnosti.

ECTS:

6

Sati nastave:

30

Kompetencije:

Studenti će steći osnove razumijevanja postupaka za uključenje informacijske sigurnosti u informacijske sustave kroz perspektivu sigurnosnog inženjerstva i poslovnog upravljanja. Pored toga steći će praktična iskustava u uspostavi sustava upravljanja informacijskom sigurnošću prema međunarodnim normama i zakonskim propisima.

Oblici provođenja nastave:

Predavanja, vježbe i seminarski radovi

Nastavne cjeline:

Naziv

Sati

Definiranje informacijske sigurnosti, problemi, ciljevi, načela i politika sigurnosti. Informacijska imovina.

1

Ranjivosti informacijske imovine te prijetnje i napadi na nju.

1

Analiza, upravljanje i nadzor rizika. Metode procjene rizika.

2

Osnove kriptografije. Protokoli, tehnike i algoritmi. Digitalno potpisivanje.

2

Arhitektura sigurnosnog sustava-osnovni moduli (SABSA model). Strategija informacijske sigurnosti.

2

Postupci digitalne identifikacije i autentifikacije.

2

Kontrola pristupa. Matematički modeli. Sigurnosne politike. Dodjela i upravljane pravima pristupa.

2

Sigurnost i zaštita programa i operacijskih sustava. Povjerljivi sustavi.

2

Sigurnost baza podataka. Transakcijska obrada u višerazinskim sigurnosnim bazama podataka.

2

Sigurnost računalnih mreža i distribuiranih sustava. Višerazinske računalne mreže.

1

Sustavi za detekciju sigurnosnih proboja (IDS/IPS).

1

Projektiranje i izgradnja sustava informacijske sigurnosti (ISMS) prema međunarodnim normama ISO 27001 i ISO 27002.

2

Sigurnosne kontrole - odabir i implementacija prema standardu ISO 27002.

2

Upravljanje, poboljšanje i nadzor sustava informacijske sigurnosti (ISMS) - PDCA ciklus. Mjerenje učinkovitosti kontrola.

2

Upravljanje kontinuitetom poslovanja (BCM). Analiza utjecaja na poslovanje - BIA (Business Impact Analysis).

2

Standardi i kriteriji vrednovanja informacijske sigurnosti.

2

Zakonski i etički aspekti informacijske sigurnosti.

2

Način polaganja:

Seminarski rad, usmeni ispit

Literatura:

1. Donald L. Pipkin, „Information Security“, Prentice Hall PTR, 2000
2. Dieter Gollman, „Computer Security“, John Wiley & Sons, 1999
3. Andrew Blyth, Gerald L. Kovacich, „Information Assurance“, Springer- Verlag London Limited, 2001
4. Harold F. Tipton, Micki Krause, "Information Security Management", Handbook, 4th edition, CRC Press LLC, 2000

Semestar:

1

Izvođenje na engleskom:

Da

Način praćenja kvalitete:

Praćenje kvalitete i uspješnosti izvedbe predmeta sukladno sustavu upravljanja kvalitetom Sveučilišta u Zagrebu. Samovrednovanje nastave i anketiranje polaznika.

Nositelji:

prof. dr. sc. Saša Nikšić, izv. prof. dr. sc. Tihomir Katulić

Opis:

Intenzivan znanstveno-tehnološki razvoj, od sredine prošlog stoljeća do danas, prate nastojanja nacionalnih zakonodavstava i međunarodnih organizacija da stvore takvo pravno okruženje u kojem će se daljnji informacijski razvoj nesmetano i sigurno odvijati.

Pravna regulativa, okrenuta uređenju odnosa i propisivanju granica u fizičkom svijetu, našla se u problemima zbog čega su se zakonske promjene događale neujednačeno, sporo i selektivno i to ponajprije na onim područjima i onim redoslijedom kako su se zloporabe uočavale. Tako je šezdesete godine obilježio početak pravne regulacije na području zaštite osobnih podataka, sedamdesete pravna zaštita od gospodarskog računalnog kriminala, osamdesete zaštita intelektualnog vlasništva, dok je za devedesete svojstveno stvaranje i uspostava normativnog okvira regulacije elektroničkog trgovanja. Razvoj i sve šire korištenje elektroničkih komunikacija doveo je do novih odnosa kao i potrebe reguliranja prava i obveza kako korisnika tako i davatelja usluga informacijskog društva.

U sklopu predmeta pratit će se zakonske promjene, postojeće pozitivno pravo i sudska praksa, kao i prijedlozi za uspostavu novog regulatornog okvira na područjima od interesa za uspostavu efikasne pravne infrastrukture informacijske sigurnosti.

ECTS:

6

Sati nastave:

30

Kompetencije:

Studenti će steći osnovni uvid u razvoj pravne regulative na području zaštite osobnih podataka, računalnog kriminaliteta, zaštite intelektualnog vlasništva, normativnog okvira elektroničkog trgovanja i odgovornosti davatelja usluga informacijskog društva. Upoznat će se s relevantnim pravnim iskustvima iz Republike Hrvatske i Europske unije, posebno kroz primjere iz sudske prakse Suda EU i Europskog suda za ljudska prava, te kroz selektivnu komparativnu analizu propisa s posebnim osvrtom na hrvatsko pozitivno zakonodavstvo.

Oblici provođenja nastave:

Predavanja i seminarski radovi

Nastavne cjeline:

Naziv

Sati

Uvod – informacijske tehnologije i pravo

2

Konvencija o kibernetičkom kriminalu

4

Implementacija Konvencije o kibernetičkom kriminalu u RH

6

Privatnost i elektroničke komunikacije

6

Intelektualno vlasništvo u digitalnom okruženju

6

Pravni okvir elektroničkog trgovanja i odgovornost za štetu davatelja usluga na Internetu

6

Način polaganja:

Seminarski rad, usmeni ispit.

Literatura:

Materijali s predavanja i skripta (odabrani dijelovi iz knjiga, članaka, zakonskih propisa i sudske prakse)

Semestar:

2

Izvođenje na engleskom:

Ne

Način praćenja kvalitete:

Praćenje kvalitete i uspješnosti izvedbe predmeta sukladno sustavu upravljanja kvalitetom Sveučilišta u Zagrebu. Samovrednovanje nastave i anketiranje polaznika.

Nositelji:

izv. prof. dr.sc. Marin Golub, doc. dr. sc. Ante Đerek

Opis:

Predmet upoznaje studenta sa suvremenom primijenjenom kriptografijom u mjeri i na način koji odgovara specijalistima informacijske sigurnosti. Izlažu se suvremene tehnike kriptografije i kriptoanalize, mehanizmi za njihovu primjenu i posljedice u kritičnim sustavima. Primarni fokus je na aplikacijama i njihovu postojećem statusu sigurnosti. Glavne teme uz ostalo uključuju: dokazivu sigurnost, algoritme za simetrično i asimetrično kriptiranje, postupke autentifikacije, funkcije za izračunavanje sažetka poruke (hash), digitalni potpis, kriptografske protokole za razmjenu ključeva, infrastrukturu javnog ključa (PKI), kriptoanalitičke tehnike kao što su linearna i diferencijalna kriptoanaliza, vremenski napadi, zadržavanje sadržaja memorije i drugo. Na vježbama će studenti programski ostvariti neki kriptografski sustav. Na predavanjima i vježbama će se poticati rasprava o statusu postojećih kriptografskih tehnologija te o praktičnim iskustvima u odabranim kriptografskim aplikacijama. Preduvjet su znanja stečena na diplomskom studiju.

ECTS:

6

Sati nastave:

30

Kompetencije:

Studenti će biti osposobljeni identificirati kriptografske tehnologije, procijeniti njihov aktualni status glede sigurnosti i ranjivosti te predstaviti te koncepte za različite vrste korisnika i primjena.

Oblici provođenja nastave:

Predavanja, vježbe i seminarski radovi.

Nastavne cjeline:

Naziv

Sati

Sigurnosni mehanizmi. Ugrožavanje sigurnosti. Vrste napada na sigurnost i sigurnosni zahtjevi.

1

Simetrični kriptosustavi (DES, 3DES, DESX, IDEA). Kriptiranje toka podataka (A5, RC4). Napredni kriptosustavi (AES).

1

Načini kriptiranja (ECB, CBC, CFB, OFB, CTR).

1

Napadi na kriptosustave. Uvod u kriptoanalizu. Linearna i diferencijalna kriptoanaliza.

1

Asimetrični kriptosustavi (RSA, digitalna omotnica). Dobrota RSA kriptosustava.

1

Funkcije za izračunavanje sažetka poruke (MD5, SHA). Digitalni potpis. Zapečaćena digitalna omotnica.

1

Vježbe: Primjena kriptografskih algoritama

9

Autentifikacija u zatvorenim sustavima. Jednostrana i obostrana autentifikacija.

1

Prijava za rad. Zaštita pristupanja pojedinim sredstvima – autorizacija.

1

Autentifikacijski protokol Kerberos. Nedostaci Kerberos protokola.

1

Digitalni certifikat. Dijelovi sustava PKI. X.509 certifikat i autentifikacijski protokoli.

1

Sigurnosna zaštitna stijena. Protokoli za zaštitu podataka na otvorenim mrežama (SSL, TLS, SET).

1

Vježbe: Sigurnosni protokoli

10

Način polaganja:

Seminar, pismeni i usmeni ispit

Literatura:

1. B. Schneier, Applied Cryptography, 2nd edition, J. Wiley & Sons, 1996.
2. R. Anderson, Security Engineering, J. Wiley & Sons, 2001.
3. L.C.Washington, Elliptic Curves, Chapman & Hall/CRC, 2003

Semestar:

1 ili 2

Izvođenje na engleskom:

Ne

Način praćenja kvalitete:

Praćenje kvalitete i uspješnosti izvedbe predmeta sukladno sustavu upravljanja kvalitetom Sveučilišta u Zagrebu. Samovrednovanje nastave i anketiranje polaznika.

Nositelji:

prof. dr. sc. Miroslav Bača

dr. sc. Petra Grd

Opis:

ICT je posljednjih godina veoma napredovala i postala je sastavni dio radnog i privatnog životnog okruženja. Javljaju se novi oblici pohrane podataka koji predstavljaju poboljšanje u odnosu na nedavnu prošlost, ali otvaraju vrata i skupini ljudi koja te podatke može i želi zlouporabiti.

Računalna forenzika je znanost koja se bavi, sakupljanjem, pretraživanjem, analizom te prezentacijom podataka prikupljenih s elektroničkih medija. Međutim, moralna i pravna dilema je do koje granice osoba koja zna i može pristupiti tuđim računalnim resursima to doista i smije činiti. Kada se ta granica prijeđe, krši se zakon i započinje istraga tijekom koje se vrlo često obavlja pretraga računalnih resursa, prisluškuju telefonski razgovori, presreću poruke Internetom i sl. U okviru zakonskih ovlaštenja posebno obučeni stručnjaci rade na otkrivanja i pohranjivanju na sigurni medij podataka od interesa za istragu, pišu izvješća o obavljenom poslu, svjedoče na sudu. Zato je potrebno poznavati metodologiju postupanja, načinu prikupljanja dokaza, analize prikupljenog materijala i prezentaciji rezultata istrage. Pri radu koriste se određena hardverska i softverska pomagala. Kada slučaj dođe na sud, rezultati istrage se prezentiraju odvjetnicima, sucu i poroti. Izuzetno je važno da forenzički stručnjak na jednostavan način prezentira rezultate kako bi ga svi mogli razumjeti jer njegova uloga može biti ključna u rješavanju zločina. Preduvjet su znanja stečena na diplomskom studiju.

ECTS:

6

Sati nastave:

30

Kompetencije:

Studenti koji polože ovaj predmet steći će sljedeća znanja i vještine:

• razumijevanje uloge računalne forenzike u suvremenom okruženju računalnih i komunikacijskih tehnologija;
• upoznavanje s postupcima održavanja sigurnih računarskih sustava i poboljšanje tehnika zaštite računarskih sustava;
• upoznavanje se računalnom etikom i legislativom.

Oblici provođenja nastave:

Predavanja, vježbe i seminarski radovi.

Nastavne cjeline:

Naziv

Sati

Uvod u računalnu forenziku

2

Računalni dokazi i legislativa

2

Zloporaba računalnih i komunikacijskih tehnologije u kriminalne namjene

1

Protokoli postupanja i dokumentiranje postupaka

1

Pretraživanje i prikupljanje dostupnih podataka

1

Analiza prikupljenih informacija

1

Priprema i publiciranje izvještaja

1

Razvoj forenzičkih alata

1

Softverski forenzički alati (ENCASE)

2

Hardverski forenzički alati

2

Pretraga osobnog računala

2

Restauracija obnovljivih sadržaja na osobnom računalu

1

Internet i zloporaba Interneta

2

Elektronička pošta: praćenje putanje, restauracija zagubljene, oštećene ili obrisane pošte i privitaka

1

Pretraga složenih računalnih sustava

2

Pedofilski, pornografski i slični sadržaji

1

Neautorizirano korištenje softvera

2

Neautorizirano korištenje audiograma i videograma

2

Čišćenje ostataka korištenja računala

1

Računalni nametljivci (virusi, crvi,..) i restauracija napadnutih sadržaja

2

Način polaganja:

Seminarski rad, usmeni ispit.

Literatura:

1. Criss Posise, Kevin Mandia, Matt Pepe: Incident Response and Computer Forensics, Second Edition, McGraw-Hill, Inc. New York, USA, 2001.
2. Waren G. Kruse, Jay . H. Heiser: Computer Forensics: Incident Response Essentials
3. E. Eugene Schultz, Russell Shumway: Incident Response: A Strategic Guide to Handling System and Network Security, Sums Publishing, 2001.

Semestar:

1 ili 2

Izvođenje na engleskom:

Ne

Način praćenja kvalitete:

Praćenje kvalitete i uspješnosti izvedbe predmeta sukladno sustavu upravljanja kvalitetom Sveučilišta u Zagrebu. Samovrednovanje nastave i anketiranje polaznika.

Nositelji:

prof. dr. sc. Mario Spremić

Opis:

Informacijski sustavi predstavljaju okosnicu modernog poslovanja jer brzo i automatizirano provode poslovne transakcije i omogućuju efikasnije i konkurentnije poslovanje. Što se informacije i informacijski sustavi intenzivnije koriste u poslovanju, više je pozornosti potrebno posvetiti sustavnim mjerama kontrole, nadzora i provjere sigurnosti. Efikasni i djelotvorni informacijski sustavi se redovito trebaju podvrgavati unutarnjoj i vanjskoj reviziji, odnosno provjeri njihove učinkovitosti, pouzdanosti i sigurnosti. Razvoj sustava informacijske sigurnosti treba počivati na relevantnoj procjeni rizika i njihovu utjecaju na poslovanje, pri čemu pri razmatranju kontrolnih protumjera u obzir treba uzeti regulatorne, ekonomske, financijske, tehnološke, metodološke i ostale razloge. Upravo iz tih razloga problemu informacijske sigurnosti potrebno je pristupati holistički i cjelovito, uz detaljnu ekonomsku analizu i procjenu ulaganja. Kao i kod bilo koje vrste ulaganja u informatiku, ulaganju u informacijsku sigurnost treba prethoditi detaljna ekonomska analiza uz studiju izvedivosti i dugoročno održivu strategiju.

ECTS:

6

Sati nastave:

30

Kompetencije:

Studenti će steći osnovna razumijevanja procjene važnosti sigurnosnih problema u informacijskim sustavima i njihova utjecaja na cjelokupno poslovanje. Studenti će steći metodološka i praktična znanja procjene razine informatičkih rizika, odnosno razine njihova utjecaja na cjelokupno poslovanje, što će im omogućiti planirati cjelovite strategije odgovora na rizike. Studenti bi trebali usvojiti znanja i vještine provedbe ekonomske analize i procjene isplativosti provedbe kontrolnih (zaštitnih) mjera, kao i znanja i vještine provjere (revizije) sustava informacijske sigurnosti. Studenti će steći znanja, vještine i praktična iskustva provjere (revizije, certificiranja) sustava informacijske sigurnosti prema najvažnijim svjetskim praksama, normama i standardima

Oblici provođenja nastave:

Predavanja, vježbe i seminarski radovi

Nastavne cjeline:

Naziv

Sati

Mehanizmi strateškog upravljanja informatikom (IT Governance) i uloga informacijske sigurnosti

2

Vrste informatičkih sigurnosnih rizika

2

Upravljanje informatičkim sigurnosnim rizicima i koraci i faze analize njihova utjecaja na poslovanje

4

Metode i načini ekonomskog vrednovanja negativnog učinka informatičkih sigurnosnih rizika na poslovanje

4

Određivanje prihvatljive razine rizika obzirom na poslovne ciljeve i zahtjeve, dodjela obveza i odgovornosti

2

Izrada i provedba strategije i procjena isplativosti ulaganja u informacijsku sigurnost

2

Ekonomska analiza opravdanosti i izvedivosti provedbe sigurnosnih kontrolnih protumjera

2

Koraci i faze izrade plana odgovora na rizike

2

Krovne i izvedene metodologije upravljanja informacijskom sigurnošću i prikaz njihove primjene u praksi (ISO 27000, CobiT, PCI DSS, Risk IT, ISM2, itd.)

2

Provedba revizije informacijskih sustava, ekonomske koristi od certificiranja sustava informacijske sigurnosti

4

Prikaz tijeka procesa certificiranja sustava informacijske sigurnosti

2

Organizacijski aspekti informacijske sigurnosti (institucije i regulativa, hijerarhijski položaj voditelja informacijske sigurnosti)

2

Način polaganja:

Seminarski rad, usmeni ispit.

Literatura:

1. Panian, Ž., Spremić M. i suradnici (2007): Korporativno upravljanje i revizija informacijskih sustava, Zgombić i partneri, Zagreb, 2007
2. Spremić, M. (2009): IT Governance and IT Risk Management Principles And Methods For Supporting “Always-On” Enterprise Information Systems, in a book Always-On Enterprise Information Systems for Business Continuance: Technologies for Reliable and Scalable Operation, IGI Publishing, ISBN: 978-1-60566-723-2, edited by Bajgoric, Nijaz.
3. Spremić, M. (2011): Standards and Frameworks for Information System Security Auditing and Assurance, Proceedings of the World Congress on Engineering 2011 (WCE 2011). Newswood Limited. Part vol.1, 2011, 514-19. Hong Kong, China
4. Spremić, M. (2011): Measuring IT governance maturity - evidences from using regulation framework in the republic Croatia, European Computing Conference. Proceedings of the European Computing Conference (ECC '11). WSEAS Press. 2011, 98-104. Athens, Greece.
5. Hunton, J.E., Bryant, S.M., Bagranoff, N.A. (2004): Information technology Audit, John Wiley & Sons.

Semestar:

2

Izvođenje na engleskom:

Da

Način praćenja kvalitete:

Praćenje kvalitete i uspješnosti izvedbe predmeta sukladno sustavu upravljanja kvalitetom Sveučilišta u Zagrebu. Samovrednovanje nastave i anketiranje polaznika.

Nositelji:

prof. dr. sc. Boris Vrdoljak

Izvođači:

mr. sc. Krešimir Kristić, dipl ing. el.

Opis:

Računarstvo u oblaku postaje dominantnim načinom korištenja informacijsko komunikacijskih tehnologija u poslovanju. Okružje računarstva u oblaku uz tradicionalno poznate izazove poslovne primjene IKT, zahtijeva od poslovnog korisnika odgovore na nova i brojna specifična pitanja s ekonomskog, organizacijskog, pravnog, fiskalnog, tehnološkog i posebice sigurnosnog motrišta. Važno je da se studenti upoznaju sa specifičnostima računarstva u oblaku da bi spremni, djelotvorno i učinkovito sudjelovali u rješavanju sigurnosnih izazova pri manipuliranju poslovnim podacima u višezakupničkom dispergiranom okružju – u oblaku putem Interenta dostupnih pohrambenih i obradbenih resursa koje istovremeno dijeli i koristi ogroman broj nepoznatih zakupaca-korisnika.

Glavne teme predmeta uključuju specifičnosti okružja računarstva u oblaku, posebice u pogledu sigurnosti i zaštite poslovne imovine i interesa kupaca. Regulativa UN-a, NATO pakta, Europske Unije i Republike Hrvatske daljnje su relevantne teme koje određuju okvire za planiranje i uskladu djelovanja na razini mikroekonomske jedinice. Različitosti precepcija sigurnosti kupaca i profesionalaca iz područja informacijske sigurnosti daljnja su tema čija razrada zasigurno doprinosi uspješnoj međusobnoj komunikaciji i razumijevanju te uspješnoj primjeni sigurnosnih mjera. Izolacija zakupčevih podataka, zakupčevoga radnoga prostora, zakupčevih performansi i raspoloživosti te zakupčevih specifičnih prilgodaba i proširenja poslovne logike važna su tema informacijske sigurnosti inherentna okružju računarstva u oblaku. Strukturirani pristup sigurnosnim područjima računarstva u oblaku, potrebi standardizacije i upoznavanja postojećih certifikacijskih standarda, prethode temi modela i razina provedbe sigurnosnih mjera. Završna tema sigurnosnih izazova uslijed sazrijevanja okružja računarstva u oblaku naglašava potrebu stalnoga osobnog razvoja i usavršavanja stručnjaka informacijske sigurnosti.

Preduvjeti za ovaj predmet uključuju osnovna znanja o primjeni informacijsko komunikacijskih tehnologija u poslovanju.

ECTS:

6

Sati nastave:

30

Kompetencije:

Studenti će steći osnovna razumijevanja sigurnosnih problema u današnjim poslovnim primjenama računarstva u oblaku koja će im omogućiti planiranje i provođenje zaštite kritične poslovne imovine u okružju računarstva u oblaku. Pored toga, izradom seminarskoga rada steći će praktična iskustva planiranja i primjene stečenih znanja u vlastitom poslovnom slučaju.

Oblici provođenja nastave:

Predavanja i seminarski radovi

Nastavne cjeline:

Naziv

Sati

Računarstvo u oblaku - uvod, definicija, razlikovanje modela primjene, modela isporuke i vrsta usluga

1

Računarstvo u oblaku - dobrobiti, ekonomski i organizacijski izazovi i pristupi

1

Računarstvo u oblaku - poslovni izazovi, sigurnost u funkciji strateških ciljeva

1

Globalizirano okružje, regulativa i provedba

1

Percepcija sigurnosti i povjerenje u okružju računarstva u oblaku

1

Sigurnosna područja računarstva u oblaku - uvod

1

Sigurnosna područja računarstva u oblaku

3

Višezakupništvo i izolacija I – definicija, referentni model višezakupništva

3

Višezakupništvo i izolacija II - područja zahtjeva, razine provedbe, povezane prijetnje, rizici i primjene mjera

3

Višezakupništvo i izolacija – seminarska izlaganja i diskusija

3

Sustavi standardizacije i certifikacije u okružju oblaka

3

Modeli i razine provedbe sigurnosnih mjera I

3

Modeli i razine provedbe sigurnosnih mjera II

3

Provedba sigurnosnih mjera – seminarska izlaganja i diskusija

3

Korporativno upravljanje informacijskom sigurnošću

1

Sigurnosni izazovi daljnjeg razvoja računarstva u oblaku, udruživanje oblaka, ...

1

Certifikacija i revizija iduće generacije (Next Generation Certification and Audit)

1

Način polaganja:

Ispit i seminarski rad.

Literatura:

1. Krešimir Kristić, „Ekonomski kriteriji opravdanosti i vrednovanja poslovne primjene računalstva u oblaku“, magistarski rad, Ekonomski fakultet Sveučilišta u Zagrebu, 2012.
2. Cloud Security Alliance, „Security Guidance for Critical Areas of Focus in Cloud Computing V3.0“, CSA, 2011., "… V4.0", CSA, 2016.
3. ENISA, "Cloud Security Guide for SMEs", April 2015.
4. ENISA, https://www.enisa.europa.eu/publications#c6=Cloud+Security i drugi izvori

Semestar:

2

Izvođenje na engleskom:

Ne

Način praćenja kvalitete:

Praćenje kvalitete i uspješnosti izvedbe predmeta sukladno sustavu upravljanja kvalitetom Sveučilišta u Zagrebu. Samovrednovanje nastave i anketiranje polaznika.

Nositelji:

prof. dr. sc. Dina Šimunić, prof. dr. sc. Željko Ilić, izv. prof. dr. sc. Marin Vuković

Opis:

Bežični komunikacijski sustavi predstavljaju temelj poslovne i osobne komunikacije. Tehnologijska osnovica rada i primjena bežičnih mreža su raznovrsne prirode i doista impresivnog rasta. Stoga će se studenti tijekom izvođenja nastave upoznati s osnovama rada suvremenih bežičnih mreža, kao i izazovima aspekta sigurnosti ovih mreža. Predmet obuhvaća pregled rada napose fizičkog i pristupnog sloja suvremenih bežičnih mreža u raznovrsnoj poslovnoj i osobnoj uporabi, kao i zahtjeva za sigurnost i opasnostima u radu. Osim navedenog, važeće norme i zakonski akti ovog područja u svijetu i Republici Hrvatskoj, kao i različiti koncepti sigurnosti bežičnih mreža u različitim uvjetima primjene predstavljat će značajan dio građe predmeta. Budući da se bežične mreže kontinuirano i vrlo brzo razvijaju i nalaze sve veće primjene, predmet obuhvaća prezentaciju tehnologija i norma u nastajanju. Studentima će također biti razjašnjene ranjivost i protumjere ublažavanja i rješavanja problema sigurnosti bežičnih mreža različitih primjena. Na kraju, predviđeno je aktivno sudjelovanje studenata u izradi analize slučaja nekoliko tipova poslovnih mreža. Preduvjet su znanja stečena na diplomskom studiju.

ECTS:

6

Sati nastave:

30

Kompetencije:

Student će biti osposobljen za izbor, oblikovanje i vrednovanje tehnološke infrastrukture u realizaciji sigurnih bežičnih mreža određen primjene uz zadovoljenje zakonskih propisa i izjava sigurnosnih politika.

Oblici provođenja nastave:

Predavanja, vježbe i seminarski radovi.

Nastavne cjeline:

Naziv

Sati

Temelji i postojeće primjene bežičnih mreža

5

Raščlamba bežičnih mreža

4

Sigurnost fizičkog sloja

4

Sigurnost pristupnog sloja

4

Tehnologije i norme u nastajanju

4

Tehničke protumjere

4

Analiza slučaja poslovnih mreža

5

Način polaganja:

Seminarski rad, usmeni ispit.

Literatura:

1. Yang Xiao, Xuemin Shen, Ding-Zhu Du (Eds), Wireless Network Security,1st edition, Springer, 2007
2. John R. Vacca, Guide to Wireless Network Security, 1st edition, Springer, 2006
3. Levente Buttyan, Jean-Pierre Hubaux, Security and Cooperation in Wireless Networks: Thwarting Malicious and Selfish Behavior in the Age of Ubiquitous Computing, 1st edition, Cambridge University Press, 2008

Semestar:

2

Izvođenje na engleskom:

Da.

Način praćenja kvalitete:

Praćenje kvalitete i uspješnosti izvedbe predmeta sukladno sustavu upravljanja kvalitetom Sveučilišta u Zagrebu. Samovrednovanje nastave i anketiranje polaznika.

Nositelj:

prof. dr. sc. Boris Vrdoljak

Luka Humski, mag. ing.

Opis:

Razvoj informacijskih i komunikacijskih tehnologija, a pogotovo Interneta, omogućio je razvoj i korištenje sustava za elektroničko poslovanje. Ti sustavi omogućuju tvrtkama da fleksibilnije povežu unutarnje i vanjske sustave za obradu podataka, da učinkovitije posluju s dobavljačima i kupcima te tako povećaju produktivnost. Da bi stupanj korištenja sustava za elektroničko poslovanje bio što veći, korisnici moraju prvo steći povjerenje u te sustave. Stoga se velika pozornost pri izgradnji sustava za elektroničko poslovanje mora posvetiti sigurnosti sustava.

Studenti će se na ovom kolegiju prvo upoznati s osnovnim konceptima elektroničkog poslovanja: s definicijom pojmova i tipova elektroničkog poslovanja. Upoznat će se zatim s tehnologijama koje su bitne za realizaciju sustava za elektroničko poslovanje. Fokus će biti na jezicima i normama vezanim za Extensible Markup Language (XML) i na tehnologijama usluga web.

Automatizacija poslovnih procesa dobavnog lanca predstavlja najvažniju primjenu elektroničkog poslovanja. U to je uključeno kreiranje, provjera valjanosti, razmjena i arhiviranje elektroničkih poslovnih dokumenata, kao što su e-narudžba i e-račun. S gledišta sigurnosti takvog sustava, potrebno je, kao prvo, osigurati sigurnost baza podataka i web-aplikacija. Posebnu pozornost treba posvetiti identifikaciji i autentifikaciji te osiguranju integriteta elektroničkih poruka pri njihovoj razmjeni s poslovnim partnerima. Stoga su važne teme: elektronički identitet, elektronički potpis, vremenski žig te sigurnost usluga weba.

Studenti će se također upoznati sa sigurnosnim problemima u različitim vrstama sustava za elektroničko plaćanje, kao i s mehanizmima potrebnim za poboljšanje razine sigurnosti tih sustava.

Preduvjet su znanja stečena na diplomskom studiju.

ECTS:

6

Sati nastave:

30

Kompetencije:

Student će biti osposobljen za izbor, oblikovanje i vrednovanje kako tehnološke tako i aplikacijske infrastrukture u realizaciji poslovnih modela, uz zadovoljenje zakonskih propisa i izjava sigurnosnih politika.

Oblici provođenja nastave:

Predavanja, vježbe i seminarski radovi.

Nastavne cjeline:

Naziv

Sati

Uvod u elektroničko poslovanje.

3

Uvod u sigurnost elektroničkog poslovanja.

2

XML i usluge Weba.

3

Dobavni lanac. Elektronički dokumenti u dobavnom lancu.

4

Elektroničko plaćanje.

3

Elektronički potpis i vremenski žig. Sigurnosne norme XML-Encryption i XML-Signature.

3

Elektronički identitet.

3

Sigurnost u kartičnom poslovanju. Sigurnost u elektroničkoj trgovini.

3

Sigurnost usluga Weba.

3

Primjena elektroničkog poslovanja.

3

Način polaganja:

Seminarski rad, usmeni ispit.

Literatura:

1. Papazoglou, M. P., “e-Business”, Academic Press Inc., John Wiley and Sons, 2006.
2. Kou, W., “ Payment Technologies for E-Commerce ”, Springer-Verlag, 2003.
3. Odabrani članci i dokumentacija

Semestar:

2

Izvođenje na engleskom:

Da.

Način praćenja kvalitete:

Praćenje kvalitete i uspješnosti izvedbe predmeta sukladno sustavu upravljanja kvalitetom Sveučilišta u Zagrebu. Samovrednovanje nastave i anketiranje polaznika.

Nositelj:

prof. dr. sc. Krešimir Fertalj, prof. dr. sc. Boris Vrdoljak

Opis:

Loše projektiranje i izgradnja softvera predstavljaju glavni uzrok ranjivosti današnjeg softvera u primjeni. Što više, uz mobilnost koda kao realnosti današnjice, posebno u kontekstu Web tehnologija i upravljanja digitalnim pravima, projektanti sustava su suočeni sa zaštitom računala od izvanjskog softvera te od zaštitnog softvera koji izvode vanjska računala. U ovom kolegiju promatra se softver kao mehanizam za napad, kao alat za zaštitu resursa te kao na resurs koji treba zaštititi. Glavne teme uključuju: proces projektiranja sigurnog softvera; tehnike sigurnog programiranja; upravljanje softverskim rizicima; te platforme za izgradnju sigurnih sustava.

Sustavi za upravljanje bazama podataka su sveprisutni u današnjem društvu te su važan alat u podizanju njihove produktivnosti. Sposobnost uskladištenja, pristupa i upravljanja podatcima u takvim sustavima postaje kritična za svaku organizaciju. Baze podataka se nalaze u centru strategije informacijskih sustava svake organizacije. Na svim razinama u organizaciji korisnici mogu očekivati da će imati kontakt sa sustavima za baze podataka. Stoga vještina u korištenju takvih sustava, njihovo razumijevanje u smislu sposobnosti i ograničenja, poznavanje kako pristupiti podatcima izravno ili posredstvom tehničkih eksperata, poznavanje kako učinkovito koristiti informaciju koju ti sustavi osiguravaju te mogućnost projektiranja novih sustava i odgovarajućih aplikacija je značajna prednost i nužnost današnjice. Sustavi za upravljanje relacijskim bazama podataka (RDBMS) su danas u primjenama još uvijek dominantni te su jedan od glavnih fokusa predmeta. Preduvjet je poznavanje rada s relacijskim bazama podataka.

ECTS:

6

Sati nastave:

30

Kompetencije:

Student će biti osposobljen za projektiranje i izgradnju sigurnog softvera, te za prepoznavanje ranjivosti postojećih aplikacija i njihovu zaštitu. Pored toga studenti će biti osposobljeni za vrednovanje sustava za upravljanje bazama podataka te za njihovu ispravnu ugradnju posebno s aspekta ostvarenja zahtjeva informacijske sigurnosti.

Oblici provođenja nastave:

Predavanja, seminarski radovi studenata.

Nastavne cjeline:

Naziv

Sati

Sigurnost programske podrške

1

Životni ciklus razvoja sigurnog softvera

2

Projektiranje sigurnosti

2

Oblikovni obrasci sigurnog softvera

2

Upravljanje softverskim rizicima

2

Sigurno kodiranje

2

Analiza softverske sigurnosti

2

Razvojni okviri sigurnog softvera

1

Alati za softversku sigurnost

1

Strategija i politike zaštite podataka

1

Diskrecijska zaštita podataka

2

Zaštita podataka temeljena na ulogama

2

Kontekstno ovisna zaštita podataka

1

Sigurnosne prijetnje, SQL injekcija, problem zaključivanja

2

Uloga administratora podataka u zaštiti baze podataka, podjela uloga

1

Nadgledanje rada korisnika

1

Maskiranje podataka, šifriranje podataka

2

Baze podataka s višerazinskom zaštitom podataka

2

Zaštita podataka u objektnim, multimedijskim i XML bazama podataka.

1

Način polaganja:

Seminarski rad, usmeni ispit

Literatura:

1. M. Howard, D .LeBlanc and J. Viega: The 24 Deadly Sins of Software Security, McGraw-Hill, 2009.
2. D.A. Ashbaugh: Security Software Development, CRC Press, 2009.
3. J. Grembi, Secure Software Development: A Security Programmer's Guide, Cengage Learning, 2009.
4. B. Thuraisingham: Database and Applications Security: Integrating Information Security and Data Management, Auerbach, 2005.
5. D. F. Ferraiolo, R. D. Kuhn, R. Chandramouli: Role-Based Access Control, (2th Edition) Artech House, Inc., 2007

Semestar:

1 ili 2

Izvođenje na engleskom:

Da

Način praćenja kvalitete:

Praćenje kvalitete i uspješnosti izvedbe predmeta sukladno sustavu upravljanja kvalitetom Sveučilišta u Zagrebu. Samovrednovanje nastave i anketiranje polaznika.

Nositelji:

izv. prof. dr. sc. Miljenko Mikuc, izv. prof. dr. sc. Stjepan Groš, izv. prof. dr. sc. Marin Vuković

Izvođači:

dr. sc. Denis Salopek

Opis:

Informacijski sustavi su osnova modernog poslovanja. Temeljna infrastruktura na kojoj se baziraju su, između ostalog, i računalne mreže te Internet kao najpoznatija mreža. Zbog toga je izuzetno važno da se studenti upoznaju sa sigurnosnim problemima današnjih računalnih mreža i načinima na koji se ti problemi rješavaju, odnosno ublažuju.

U sklopu predmeta proći će se po različitim slojevima računalne mreže te će se u svakom sloju ukazati na probleme i njihova rješenja. Poseban naglasak bit će na TCP/IP porodici protokola.

Preduvjeti za ovaj predmet uključuju osnovna znanja o računalnim mrežama i operacijskim sustavima te poznavanje programiranja.

ECTS:

6

Sati nastave:

30

Kompetencije:

Studenti će steći osnovna razumijevanja sigurnosnih problema u današnjim računalnim mrežama koja će im omogućiti planiranje i provođenje zaštite računalnih mreža. Pored toga steći će praktična iskustava koja će im omogućiti korištenje osnovnih zaštitnih mehanizama te će također steći osnovne vještine potrebne za provjeru sigurnosti postojećih računalnih mreža.

Oblici provođenja nastave:

Predavanja i seminarski radovi

Nastavne cjeline:

Naziv

Sati

Uvodno predavanje. Temelji mrežne i računalne sigurnosti

3

Sigurnost podatkovnog sloja i Ethernet lokalnih mreža

2

Sigurnost bežičnih mreža

2

Sigurnost mrežnog sloja Interneta, IPsec

3

Sigurnost programski definiranih mreža (SDN)

2

Sigurnost prijenosnog sloja Interneta, SSL/TLS

4

Sustavi autentifikacije i autorizacije

2

Sigurnost najkorištenijih internetskih usluga i infrastrukturnih protokola (Web, elektronička pošta, VoIP, BGP, DNS, FTP, telnet, ...)

8

Zaštitni mehanizmi (vatrozid, IDS/IPS)

1

Penetracijski testovi i skeniranje ranjivosti

3

Način polaganja:

Seminarski rad, pismeni i usmeni ispit.

Literatura:

1. Stuart McClure, Joel Scambray, George Kurtz, Hacking Exposed: Network Security Secrets & Solutions, 7th edition, McGraw Hill Professional, 2012.
2. Jeremy Faircloth, Penetration Tester's Open Source Toolkit, Fourth Edition, Syngress, 206.
3. Chris McNab, Network Security Assessment, O’Reilly, 2017.
4. Različiti materijali i podaci dostupni na Internetu

Semestar:

1

Izvođenje na engleskom:

Da

Način praćenja kvalitete:

Praćenje kvalitete i uspješnosti izvedbe predmeta sukladno sustavu upravljanja kvalitetom Sveučilišta u Zagrebu. Samovrednovanje nastave i anketiranje polaznika.

Nositelji:

izv. prof. dr. sc. Stjepan Groš, prof. Mario Vašak, doc. dr. sc. Leonardo Jelenković, prof. dr. sc. Juraj Havelka

Izvođači:

Opis:

Od svojih početaka upravljački sustavi bili su izolirani, korišteni u posebnim radnim uvjetima, s posebnim zahtjevima i tijekom dugih vremenskih perioda. Za razliku od informacijskih tehnologija (IT), upravljački sustavi nadziru fizičke sustave i pogreška u njihovom radu može imati katastrofalne posljedice, uključivši i gubitke života. Zbog toga se u njihovom dizajnu vodi puno računa o pouzdanosti i raspoloživosti. Međutim, sve više se u izgradnji upravljačkih komponenti koriste tehnologije iz IT sustava što znači da se uvode nove prijetnje u upravljačke sustave. To stvara probleme inženjerima koji dizajniraju i održavaju upravljačke sustave te menadžmentu koji upravlja proizvodnim pogonima, distribucijskim sustavima i slično jer nisu obučeni za nove, namjerne, prijetnje koje se pojavljuju niti dovoljno dobro poznaju probleme IT-ja s kojima se poslovna okruženja susreću već desetljećima. Cilj ovog predmeta je pružiti studentima specifična znanja iz sigurnosti upravljačkih sustava koristeći, i nadograđujući se, na znanja koja pružaju ostali predmeti specijalističkih studija.

ECTS:

6

Sati nastave:

30

Kompetencije:

Studenti će steći razumijevanja sigurnosnih problema primijenjenih u modernim upravljačkim sustavima te mehanizmima zaštite, njihovim prednostima i manama. Pri tome se sigurnost i zaštita razmatra tijekom svih faza životnog ciklusa upravljačkog sustava, od dizajna, izgradnje, implementacije do održavanja. Navedena znanja omogućit će studentima dizajn, implementaciju i održavanje sigurnih upravljačkih sustava u skladu s najboljim praksama.

Oblici provođenja nastave:

Predavanja i seminarski radovi.

Nastavne cjeline:

Naziv

Sati

Uvod

1

Globalni standardi, prakse i regulativa u području sigurnosti

2

Ranjivosti mrežnih protokola u upravljačkim sustavima

3

Sigurnost operacijskih sustava

2

Sigurnost upravljačke opreme (PLC, HMI, RTU)

5

Upravljanje rizicima u upravljačkim sustavima

3

Mehanizmi zaštite

4

Ispitivanje sigurnosti upravljačke opreme

2

Dizajn i razvoj sigurnih upravljačkih sustava

4

Razvoj i primjena programa sigurnosti upravljačkih sustava

4

Način polaganja:

Seminari, pismeni i usmeni ispit.

Literatura:

1. Macaulay, Tyson, and Bryan L. Singer. Cybersecurity for industrial control systems: SCADA, DCS, PLC, HMI, and SIS. CRC Press, 2011.
2. Knapp, Eric D., and Raj Samani. Applied Cyber Security and the Smart Grid: Implementing Security Controls into the Modern Power Infrastructure. Newnes, 2013.
3. Knapp, Eric D., and Joel Thomas Langill. Industrial Network Security: Securing critical infrastructure networks for smart grid, SCADA, and other Industrial Control Systems. Syngress, 2014.
4. Stouffer, Keith, Joe Falco, and Karen Scarfone. "Guide to industrial control systems (ICS) security."NIST special publication(2015): 800-82 Revision 2.
5. Različiti materijali dostupni na Internetu.

Semestar:

2

Izvođenje na engleskom:

Da

Način praćenja kvalitete:

Praćenje kvalitete i uspješnosti izvedbe predmeta sukladno sustavu upravljanja kvalitetom Sveučilišta u Zagrebu. Samo vrednovanje nastave i anketiranje polaznika.

Nositelji:

prof. dr. sc. Gordan Gledec, izv. prof. dr. sc. Marin Vuković

Opis:

Web aplikacije i servisi jedan su od najbitnijih sastavnih elemenata Interneta kakvog poznajemo. Tendencija personalizacije internetskih usluga korisnicima rezultira u velikoj količini povjerljivih korisničkih podataka koji se koriste u okviru usluga. Kako bi se takvi podaci, kao i web aplikacije i servisi, adekvatno osigurali potrebno je poznavanje problema sigurnosti web aplikacija.

U okviru predmeta prikazat će se najkorištenije arhitekture web aplikacija i servisa na kojima će biti pokazano kako uključiti sigurnost u sam dizajn. Predstavit će se najčešće ranjivosti, načini iskorištavanja te mogućnosti zaštite. Konačno, demonstrirat će se odabrani alati za provjeru ranjivosti web aplikacija.

ECTS:

6

Sati nastave:

30

Kompetencije:

Studenti će steći osnovna razumijevanja sigurnosnih problema u današnjim web aplikacijama i servisima što će im omogućiti planiranje i provođenje zaštite web aplikacija i servisa. Steći će praktična iskustva temeljem kojih će moći  dizajnirati sigurne arhitekture web aplikacija i servisa. Uz navedeno, iskustvo u radu s alatima za testiranje ranjivosti web aplikacija i servisa omogućit će im analizu sigurnosnog stanja postojećih web aplikacija te zaštitu istih.

Oblici provođenja nastave:

Predavanja, vježbe i seminarski radovi.

Nastavne cjeline:

Naziv

Osnove web aplikacija

Arhitekture web aplikacija

Temeljni sigurnosni mehanizmi u web aplikacijama

Najčešće i aktualne ranjivosti web aplikacija

Ranjivosti temeljene na dizajnu poslužiteljskog dijela

Ranjivosti temeljene na preglednicima

Penetracijsko testiranje web aplikacija

Društvene mreže, društveni inžinjering i lažiranje stranica

Način polaganja:

Seminarski rad, usmeni ispit

Literatura:

1. Michal Zalewski: The Tangled Web, No Starch Press, 201.
2. Michael Cross: Developer's Guide to Web Application Security, Elsevier / Syngress, 011.
3. Različiti materijali i podaci dostupni na Internetu

Semestar:

2

Izvođenje na engleskom:

Da

Način praćenja kvalitete:

Praćenje kvalitete i uspješnosti izvedbe predmeta sukladno sustavu upravljanja kvalitetom Sveučilišta u Zagrebu. Samovrednovanje nastave i anketiranje polaznika.

Nositelji:

prof. dr. sc. Krešimir Fertalj

Izvođači:

mr.sc. Mario Sajko

Opis:

Predmet razmatra pitanja informacijske sigurnosti kao upravljačkog procesa kojemu je cilj osigurati poslovne procese i njihov kontinuitet te informacijsku imovinu poslovnog subjekta. Nekoliko je tema koje se u sklopu kolegija analiziraju: pitanje potrebnih investicija u sigurnost, način postizanja željene razine sigurnosti te konkretna ugradnja sigurnosne strategije. Sadržaj se odnosi na usporednu analizu komercijalno raspoloživih alata za upravljanje rizikom, te kriterija koji se tiču izbora metodološke podrške problemu procjene rizika. Dodatno se pojašnjava i način njihove primjene u kontekstu gospodarstva i javnog sektora. Pri analiziranju pitanja potrebnih ulaganja u sigurnost razmatraju se svi čimbenici koji utječu na veličinu investicija kao što je veličina rizika, potrebe za unaprjeđenjem sigurnosti koje proizlaze iz propisa i zahtjeva poslovnih partnera, potreba diferencijacije na tržištu i drugo. Kao instrument utvrđivanja potrebnih investicija u sigurnost posebno se pojašnjava analiza i procjena rizika te veličine za procjenu rizika. Naglasak je na nematerijalnoj informacijskoj imovini, njenoj važnosti i ulozi u poslovnom procesu te načinu njene zaštite. Kao dio problema utvrđivanja rizika pojašnjava se i rizik eksternalizacije i njegov utjecaj na poslovanje. Kao način postizanja sigurnosti studentima će biti razjašnjene aktualne norme i koncepti sigurnosti te njihova primjena. Posebna se pažnja posvećuje organizacijskoj razini sigurnosti odnosno sigurnosnim politikama te njihovoj strukturi i formi. Studenti će biti upućeni na probleme oblikovanja, donošenja i ugradnje sigurnosnih politika u kontekstu specifičnih zahtjeva sredine u kojoj se primjenjuju. Studenti će biti upoznati i sa zakonima iz područja informacijske sigurnosti kao jednim od izvora zahtjeva na informacijsku sigurnost. Preduvjet su znanja stečena na diplomskom studiju.

ECTS:

6

Sati nastave:

30

Kompetencije:

Studenti će naučiti kako primjenom različitih tehnika i analitičkih alata utvrditi veličinu informacijskih rizika te odrediti strategiju sigurnosti. Po završetku ovog kolegija studenti će dobiti znanja o:

• načinu pristupa procjeni rizika za različite kategorije informacijske imovine,
• načinu uspostave procesa upravljanja informacijskim rizikom,
• utvrđivanju i praktičnom provođenju procesa upravljanja rizikom,
• aktualnim normama i konceptima upravljanja rizikom.

Na kraju kolegija od studenata se očekuje da su upoznati s ključnim problemima iz područja upravljanja rizicima i informacijskom sigurnošću te da poznaju način provedbe politika sigurnosti u poslovnoj sredini.

Oblici provođenja nastave:

Predavanja, vježbe i seminarski radovi.

Nastavne cjeline:

Naziv

Sati

Pojam sigurnosnog rizika i razlozi nastanka

2

Analiza i procjena rizika. Materijalna i nematerijalna imovina.Prijetnje sigurnosti i vjerojatnost njihova nastanka. Ranjivost IS-a.

2

Metrika rizika. Kvalitativna i kvantitativna metrika.

2

Metode za procjenu rizika. Cjelovite metode. Pomoćne metode i tehnike.

2

Programska podrška procjeni rizika.

3

Upravljanje rizikom kao instrument unapređivanja sigurnosti. ISO/BS norme.

2

Ostali koncepti unapređenja sigurnosti. Zakoni i zahtjevi struke.

2

Rezultati upravljanja rizikom. Registar imovine. Izvješće o procijenjenom riziku.

3

Analiza utjecaja na poslovanje. Plan obrade rizika.

3

Uspostava procesa upravljanja rizikom. PDCA ciklus

3

Planiranje ISMS-a i priprema dokumentacije. Implementacija sigurnosnih kontrola.

3

Primjeri iz prakse.

3

Način polaganja:

Seminarski rad, usmeni ispit

Literatura:

1. Information Security Policies and Procedures: A Practitioner's Reference, Second Edition, Thomas R. Peltier, 2004.
2. BS 7799-3:2006 - Risk Management Guidelines (Hardcopy)
3. Information Security Risk Analysis, Second Edition, Thomas R. Peltier, 2005.

Semestar:

2

Izvođenje na engleskom:

Da

Način praćenja kvalitete:

Praćenje kvalitete i uspješnosti izvedbe predmeta sukladno sustavu upravljanja kvalitetom Sveučilišta u Zagrebu. Samovrednovanje nastave i anketiranje polaznika.

Nositelji:

izv. prof. dr. sc. Tihomir Katulić

Opis:

Zaštita osobnih podataka jedan je od najrazvijenijih aspekata prava informacijskih tehnologija na području Europske unije. Države članice su kroz odredbe Povelje o temeljnim pravima Europske unije prepoznale pravo na zaštitu privatnosti i pravo na zaštitu osobnih podataka kao dva ekvivalentna temeljna prava pojedinaca na području Unije.
U okviru predmeta prikazat će se regulatorni, institucionalni i procesni okvir zaštite osobnih podataka na području Europske unije uz osvrt na specifične odredbe nacionalnog provedbenog zakona te ustrojstvo i praksu nadzornog tijela u Republici Hrvatskoj.
Prikazat će se provedbeni propisi i preporuke nadzornih tijela, relevantna europska i domaća sudska praksa te preporuke i metodologije strukovnih udruga i industrijskih standarda iz područja zaštite privatnosti i osobnih podataka.

ECTS:

6

Sati nastave:

30

Kompetencije:

Studenti će steći razumijevanje novog pravnog okvira zaštite osobnih podataka, osobito Opće uredbe o zaštiti podataka, Zakona o provedbi Opće uredbe o zaštiti podataka i drugih primjenjivih propisa.
Steći će praktična iskustva i vještine u odabiru metodologije procesa procjene sukladnosti poslovnih procesa Uredbi u poslovanju voditelja obrade, izradi i dokumentaciji postupaka obrade, regulaciji odnosa s izvršiteljima obrade i trećim stranama, ulozi, poziciji i potrebnim vještinama službenika za zaštitu osobnih podataka, uspostavljanju adekvatnih postupaka prijave i obrade incidenata povrede osobnih podataka i odabira metode procjene učinka.
Studenti će se upoznati i s aktualnom praksom zaštite podataka, vodičima i uputama domaćeg i stranih nadzornih tijela i europskih organizacija.

Oblici provođenja nastave:

Predavanja, vježbe i seminarski radovi.

Nastavne cjeline:

Naziv

Uvod u Opću uredbu o zaštiti podataka

Polje primjene Uredbe i načela obrade osobnih podataka

Prava ispitanika

Mehanizmi osiguranja sukladnosti

Voditelj i izvršitelj obrade, evidencija obrade

Službenik za zaštitu podataka

Sigurnost osobnih podataka i obavještavanje o povredi

Procjena učinka na zaštitu podataka

Prijenosi podataka u treće zemlje

Uloga i ovlasti nadzornog tijela, Europski odbor za zaštitu podataka

Odgovornosti, sankcije i uvjeti za izricanje upravnih novčanih kazni

Planiranje projekta usklađivanja s Općom uredbom o zaštiti podataka

Odabir metodologija za snimku stanja i procjenu učinka na zaštitu podataka

Izrada politika zaštite i upotrebe osobnih podataka

Uređenje odnosa s izvršiteljima obrade i trećim stranama

Odnos zaštite osobnih podataka i drugih prava u digitalnom okruženju

Način polaganja:

Seminarski rad, usmeni ispit

Literatura:

1. Dražen Dragičević: Pravna informatika i pravo informacijskih tehnologija, Narodne Novine, Zagreb, 2015
2. Paul Voigt, Axel von dem Bussche: The EU General Data Protection Regulation, Springer, 2017
3. Različiti materijali i podaci dostupni na Internetu

Semestar:

1,2

Izvođenje na engleskom:

Da

Način praćenja kvalitete:

Praćenje kvalitete i uspješnosti izvedbe predmeta sukladno sustavu upravljanja kvalitetom Sveučilišta u Zagrebu. Samovrednovanje nastave i anketiranje polaznika.