Informatikai biztonság és menedzsment

A tantárgy angol neve: IT Security and Management

Adatlap utolsó módosítása: 2010. április 8.

Tantárgy lejárati dátuma: 2013. január 31.

Budapesti Műszaki és Gazdaságtudományi Egyetem
Villamosmérnöki és Informatikai Kar

Mérnök informatikus szak, MSc képzés
Rendszerintegráció mellékszakirány
Tantárgykód Szemeszter Követelmények Kredit Tantárgyfélév
VIIIM274 2 2/1/0/v 4  
3. A tantárgyfelelős személy és tanszék Dr. Kondorosi Károly,
4. A tantárgy előadója

 Név: Beosztás: Tanszék, Int.:  
 Dr. Kondorosi Károly egyetemi docens IIT
 Szigeti Szabolcs, CISA, CISSP tanársegéd IIT
 Bóka Gábor tanársegéd IIT

5. A tantárgy az alábbi témakörök ismeretére épít Számítógép architektúrák, Operációs rendszerek, Programozás technológiája, Számítógéphálózatok, Adatbiztonság, Információs rendszerek fejlesztése
7. A tantárgy célkitűzése A tárgy célja, hogy a hallgatók átfogó ismeretet, egyes területeken szakértői tudást szerezzenek informatikai biztonság kérdéskörében. A tárgy teljesítése során megismerkednek az informatikai biztonság fogalmaival azok kapcsolataival, a biztonságos informatikai termékek gyártását és ellenőrzését támogató szabványokkal, a szervezetek biztonságos informatikai infrastruktúrájának kialakítását és értékelését támogató előírásokkal. A korábban csupán pénzügyi területen használt auditor feladatok számítástechnikára való kiterjesztése és műszaki alapokra helyezése kialakított egy új szakmai irányzatot Megismerik a különböző biztonsági vizsgálatok (számítástechnikai auditok) folyamatát és követelményéit, és a vizsgálatot végző auditorokkal szemben támasztott elvárásokat.
8. A tantárgy részletes tematikája
  • Az informatikai biztonság általános fogalmai.
    • Információ biztonság - informatikai biztonság, CIA elv, védelmi intézkedések
  • Az auditálás általános fogalmai
    • A termékek informatikai biztonságával és auditálásával foglalkozó szabványok. Biztonság és bizonyosság a Common Criteria szerint.
    • A gazdasági szervezetek informatikai rendszerének és folyamatainak biztonságos, folytonos működését támogató szabványok, ajánlások, COBIT, ISO/IEC 17799, ITIL és ISO/IEC 27001.
  • Az informatikai erőforrások védelme
    • A veszélyek, sérülékenységek, kockázat, kockázatkezelés és a védelmi intézkedések.
    • Az informatikai biztonság kialakításának folyamata. Biztonsági célok meghatározása, helyzetfelmérés, kockázatelemzés, Védelmi intézkedések fajtái és kialakításuk. PreDeCo elve, fizikai, logikai és adminisztratív intézkedések.
    • Védelmi intézkedések implementálása és működtetése.
    • Adminisztratív intézkedések, tipikus dokumentumok.
    • Biztonsági irányelvek, eszközök és eljárások. Osztott rendszerek kockázata. A hálózati infrastruktúra auditálása.
  • Informatikai eszközök a védelem megvalósítására
    • Hálózatvédelem, tűzfalak, védekezés kártékony kódok ellen. Titkosítás, elektronikus aláírás. Hozzáféréskorlátozás. Védelem ellenőrzése: etikus hackelés
  • A számítástechnikai audit folyamata
    • Általános audit eljárások. Auditorok. Az audit kockázat és tárgyilagosság. Kockázat meghatározási módszerek. Audit célkitűzések. Audit eljárás követelményei
    • Teszt, mintavételezés, bizonyítás. A számítógéppel támogatott audit. Az előnyök és hátrányok értékelése. A megtalált tények hatáselemzése. Az audit eredmények bemutatása. Az audit projekt irányítása. A folyamatos audit módszere.
  • A szervezet és a vezetőség
    • Irányelvek és eljárások. Informatikai menedzsment. Szervezeti felépítés és felelősségi körök. Feladat elhatárolás. A szervezet auditja.
  • Az infrastruktúra és üzemeltetési szokások
    • A hardver beszerzés tervezése. Hardver karbantartási program. A kapacitás menedzsment. Szoftver felépítés. Szoftver beszerzési kérdések. Üzemeltetési problémák. Az infrastruktúra és az üzemeltetés auditja.
  • Esettanulmány.
    • Egy audit szituáció ismertetése, megoldandó közös és egyéni feladatok kiadása.
  • Környezeti tényezők és veszélyek
    • Kockázat csökkentő eljárások. A környezeti védelem auditálása. Számítóközpont menedzsment. Beléptető rendszerek.
  • Katasztrófa védelem és folyamatos üzemeltetés
    • Katasztrófa védelmi tervek. A folyamatos üzem feltételei. A visszaállítási lehetőségek. A kritikus erőforrások értékelése. A katasztrófa védelmi terv tesztje.
  • Üzleti alkalmazások
    • Fejlesztési módszerek és költségbecslés. Az informatikai rendszerek karbantartási szokásai. A fejlesztés és karbantartás auditálása.
  • Üzleti folyamatok vizsgálata és kockázata
    • IT Governance. Balanced Scorecard és IT Governance. Kockázat becslési modell. Adat integritás. Kockázati tényezők a döntéstámogató rendszerek auditálásánál.
  • Esettanulmány konzultációja.
  • Audit irányelvek
    • Az auditor függetlensége. Harmadik fél eredményeinek használata. Jelentéskészítés. Az audit eredményeinek értékelése.
  • Esettanulmány lezárása. Vizsga előkészítés.
9. A tantárgy oktatásának módja (előadás, gyakorlat, laboratórium) Előadás, egyéni tanulás és feladatmegoldás kiadott útmutatók alapján.
10. Követelmények

a.       A szorgalmi időszakban: aktív részvétel az előadásokon, valamint az esettanulmány megfelelő feladatainak kidolgozása és beadása az aláírás megszerzésének feltétele. Beadási határidő: a 12. oktatási héten.

b.      A vizsgaidőszakban: írásbeli vizsga

c.       Elővizsga: az utolsó oktatási héten

A félév közben megfelelő színvonalú önálló referátum megtartásával megajánlott vizsgajegyet lehet szerezni.

11. Pótlási lehetőségek A feladat a szorgalmi időszak végéig a TVSZ és a Tanulmányi ügyrend szerinti késedelmi szankciókkal beadható, a vizsgaidőszakban nem pótolható.
12. Konzultációs lehetőségek

A feladatok konzultációjára a foglalkozásokon biztosítunk lehetőséget.

13. Jegyzet, tankönyv, felhasználható irodalom
  • COBIT 4th Edition, ISACA 2005
  • Weber, Ron: Information Systems Control and Audit, 1999. 1027pp
  • Champlain, Jack: Auditing Information Systems: A Comprehensive Reference Guide, 1998. 440pp
  • Moeller, Robert and Witt, Herbert: Brink’s Modern Internal Auditing, 1998, 1200pp
  • Krause, Micki and Tipton, Harold: Handbook of Information Security Management, 2000, 784pp
  • Toigo, Jon William, Disaster Recovery Planning: Strategies for Protecting Critical Information Assets, 2000. 325pp
  • Braiotta, Louis: The Audit Committee Handbook, 1999, 446 pp
  • Stephenson, Peter: Investigating Computer Related Crime: A Handbook for Corporate Investigators, 1999. 328pp
  • Borthick, A.F. and Kiger, J. E. Auditing in paperless environments: The case of ticketless travel, 1996
  • Lacity, M. C., Willcocks, L. P., and Feeny, D. F. IT outsourcing: Maximize flexibility and control, 1995. Harvard Business Review (May-June), 84-93.
14. A tantárgy elvégzéséhez átlagosan szükséges tanulmányi munka
Kontakt óra42
Félévközi készülés órákra10
Felkészülés zárthelyire 
Házi feladat elkészítése20
Kijelölt írásos tananyag elsajátítása 
Vizsgafelkészülés48
Összesen120
15. A tantárgy tematikáját kidolgozta

 Név: Beosztás: Tanszék, Int.:  
 Dr. Kondorosi Károly egyetemi docens IIT
 Szigeti Szabolcs, CISA, CISSP tanársegéd IIT
 Bóka Gábor tanársegéd IIT