Budapest University of Technology and Economics, Faculty of Electrical Engineering and Informatics

    Belépés
    címtáras azonosítással
    vissza a tantárgylistához   nyomtatható verzió    

    Informatikai biztonság és menedzsment

    A tantárgy angol neve: IT Security and Management

    Adatlap utolsó módosítása: 2010. április 8.

    Tantárgy lejárati dátuma: 2013. január 31.

    Budapesti Műszaki és Gazdaságtudományi Egyetem
    Villamosmérnöki és Informatikai Kar

    Mérnök informatikus szak, MSc képzés
    Rendszerintegráció mellékszakirány
    Tantárgykód Szemeszter Követelmények Kredit Tantárgyfélév
    VIIIM274 2 2/1/0/v 4  
    3. A tantárgyfelelős személy és tanszék Dr. Kondorosi Károly,
    4. A tantárgy előadója

     Név: Beosztás: Tanszék, Int.:  
     Dr. Kondorosi Károly egyetemi docens IIT
     Szigeti Szabolcs, CISA, CISSP tanársegéd IIT
     Bóka Gábor tanársegéd IIT

    5. A tantárgy az alábbi témakörök ismeretére épít Számítógép architektúrák, Operációs rendszerek, Programozás technológiája, Számítógéphálózatok, Adatbiztonság, Információs rendszerek fejlesztése
    7. A tantárgy célkitűzése A tárgy célja, hogy a hallgatók átfogó ismeretet, egyes területeken szakértői tudást szerezzenek informatikai biztonság kérdéskörében. A tárgy teljesítése során megismerkednek az informatikai biztonság fogalmaival azok kapcsolataival, a biztonságos informatikai termékek gyártását és ellenőrzését támogató szabványokkal, a szervezetek biztonságos informatikai infrastruktúrájának kialakítását és értékelését támogató előírásokkal. A korábban csupán pénzügyi területen használt auditor feladatok számítástechnikára való kiterjesztése és műszaki alapokra helyezése kialakított egy új szakmai irányzatot Megismerik a különböző biztonsági vizsgálatok (számítástechnikai auditok) folyamatát és követelményéit, és a vizsgálatot végző auditorokkal szemben támasztott elvárásokat.
    8. A tantárgy részletes tematikája
    • Az informatikai biztonság általános fogalmai.
      • Információ biztonság - informatikai biztonság, CIA elv, védelmi intézkedések
    • Az auditálás általános fogalmai
      • A termékek informatikai biztonságával és auditálásával foglalkozó szabványok. Biztonság és bizonyosság a Common Criteria szerint.
      • A gazdasági szervezetek informatikai rendszerének és folyamatainak biztonságos, folytonos működését támogató szabványok, ajánlások, COBIT, ISO/IEC 17799, ITIL és ISO/IEC 27001.
    • Az informatikai erőforrások védelme
      • A veszélyek, sérülékenységek, kockázat, kockázatkezelés és a védelmi intézkedések.
      • Az informatikai biztonság kialakításának folyamata. Biztonsági célok meghatározása, helyzetfelmérés, kockázatelemzés, Védelmi intézkedések fajtái és kialakításuk. PreDeCo elve, fizikai, logikai és adminisztratív intézkedések.
      • Védelmi intézkedések implementálása és működtetése.
      • Adminisztratív intézkedések, tipikus dokumentumok.
      • Biztonsági irányelvek, eszközök és eljárások. Osztott rendszerek kockázata. A hálózati infrastruktúra auditálása.
    • Informatikai eszközök a védelem megvalósítására
      • Hálózatvédelem, tűzfalak, védekezés kártékony kódok ellen. Titkosítás, elektronikus aláírás. Hozzáféréskorlátozás. Védelem ellenőrzése: etikus hackelés
    • A számítástechnikai audit folyamata
      • Általános audit eljárások. Auditorok. Az audit kockázat és tárgyilagosság. Kockázat meghatározási módszerek. Audit célkitűzések. Audit eljárás követelményei
      • Teszt, mintavételezés, bizonyítás. A számítógéppel támogatott audit. Az előnyök és hátrányok értékelése. A megtalált tények hatáselemzése. Az audit eredmények bemutatása. Az audit projekt irányítása. A folyamatos audit módszere.
    • A szervezet és a vezetőség
      • Irányelvek és eljárások. Informatikai menedzsment. Szervezeti felépítés és felelősségi körök. Feladat elhatárolás. A szervezet auditja.
    • Az infrastruktúra és üzemeltetési szokások
      • A hardver beszerzés tervezése. Hardver karbantartási program. A kapacitás menedzsment. Szoftver felépítés. Szoftver beszerzési kérdések. Üzemeltetési problémák. Az infrastruktúra és az üzemeltetés auditja.
    • Esettanulmány.
      • Egy audit szituáció ismertetése, megoldandó közös és egyéni feladatok kiadása.
    • Környezeti tényezők és veszélyek
      • Kockázat csökkentő eljárások. A környezeti védelem auditálása. Számítóközpont menedzsment. Beléptető rendszerek.
    • Katasztrófa védelem és folyamatos üzemeltetés
      • Katasztrófa védelmi tervek. A folyamatos üzem feltételei. A visszaállítási lehetőségek. A kritikus erőforrások értékelése. A katasztrófa védelmi terv tesztje.
    • Üzleti alkalmazások
      • Fejlesztési módszerek és költségbecslés. Az informatikai rendszerek karbantartási szokásai. A fejlesztés és karbantartás auditálása.
    • Üzleti folyamatok vizsgálata és kockázata
      • IT Governance. Balanced Scorecard és IT Governance. Kockázat becslési modell. Adat integritás. Kockázati tényezők a döntéstámogató rendszerek auditálásánál.
    • Esettanulmány konzultációja.
    • Audit irányelvek
      • Az auditor függetlensége. Harmadik fél eredményeinek használata. Jelentéskészítés. Az audit eredményeinek értékelése.
    • Esettanulmány lezárása. Vizsga előkészítés.
    9. A tantárgy oktatásának módja (előadás, gyakorlat, laboratórium) Előadás, egyéni tanulás és feladatmegoldás kiadott útmutatók alapján.
    10. Követelmények

    a.       A szorgalmi időszakban: aktív részvétel az előadásokon, valamint az esettanulmány megfelelő feladatainak kidolgozása és beadása az aláírás megszerzésének feltétele. Beadási határidő: a 12. oktatási héten.

    b.      A vizsgaidőszakban: írásbeli vizsga

    c.       Elővizsga: az utolsó oktatási héten

    A félév közben megfelelő színvonalú önálló referátum megtartásával megajánlott vizsgajegyet lehet szerezni.

    11. Pótlási lehetőségek A feladat a szorgalmi időszak végéig a TVSZ és a Tanulmányi ügyrend szerinti késedelmi szankciókkal beadható, a vizsgaidőszakban nem pótolható.
    12. Konzultációs lehetőségek

    A feladatok konzultációjára a foglalkozásokon biztosítunk lehetőséget.

    13. Jegyzet, tankönyv, felhasználható irodalom
    • COBIT 4th Edition, ISACA 2005
    • Weber, Ron: Information Systems Control and Audit, 1999. 1027pp
    • Champlain, Jack: Auditing Information Systems: A Comprehensive Reference Guide, 1998. 440pp
    • Moeller, Robert and Witt, Herbert: Brink’s Modern Internal Auditing, 1998, 1200pp
    • Krause, Micki and Tipton, Harold: Handbook of Information Security Management, 2000, 784pp
    • Toigo, Jon William, Disaster Recovery Planning: Strategies for Protecting Critical Information Assets, 2000. 325pp
    • Braiotta, Louis: The Audit Committee Handbook, 1999, 446 pp
    • Stephenson, Peter: Investigating Computer Related Crime: A Handbook for Corporate Investigators, 1999. 328pp
    • Borthick, A.F. and Kiger, J. E. Auditing in paperless environments: The case of ticketless travel, 1996
    • Lacity, M. C., Willcocks, L. P., and Feeny, D. F. IT outsourcing: Maximize flexibility and control, 1995. Harvard Business Review (May-June), 84-93.
    14. A tantárgy elvégzéséhez átlagosan szükséges tanulmányi munka
    Kontakt óra42
    Félévközi készülés órákra10
    Felkészülés zárthelyire 
    Házi feladat elkészítése20
    Kijelölt írásos tananyag elsajátítása 
    Vizsgafelkészülés48
    Összesen120
    15. A tantárgy tematikáját kidolgozta

     Név: Beosztás: Tanszék, Int.:  
     Dr. Kondorosi Károly egyetemi docens IIT
     Szigeti Szabolcs, CISA, CISSP tanársegéd IIT
     Bóka Gábor tanársegéd IIT