Celem zajeć jest przegląd różnych aspektów bezpieczeństwa systemów
informatycznych głównie od strony ich tworzenia i rozwoju, ale również z
punktu widzenia ich utrzymania. Wszystkie prezentowane zagadnienia będą
podparte stroną praktyczną, czyli przeglądem produktów dostępnych na rynku
wraz, jeśli będzie to uzasadnione, przykładowymi aplikacjami.
##### **Program**
1. Bezpieczeństwo informacji
* wprowadzenie do zagadnienia
* podstawy kryptografii
2. Certyfikaty, podpisy elektroniczne, znaczniki czasu
* podstawy teoretyczne, PKI, zastosowania certyfikatów
* certyfikaty dostępne na rynku, rola Narodowego Centrum Certyfikacji, usługi kwalifikowane
* strona praktyczna, przegląd rozwiązań, tworzenie własnych centrów certyfikacji
3. Uwierzytelnianie i autoryzacja
* komponenty składowe rozwiązania i ich rola
* znaczenie w różnych warstwach sieciowych
* przegląd protokołów i rozwiązań dostępnych na rynku, w tym NTLM i Kerberos
* mechanizmy kontroli dostępu, w tym RBAC & ABAC
* procesy związane zarządzaniem tożsamościami i dostępem
4. Federacja tożsamości i delegacja autoryzacji
* protokoły OAuth2, OpenID Connect i XACML
* bezpieczeństwo w różnych typach architektury
* integracja z usługami firm trzecich: SMS, systemy płatności, Auth0, Google, Facebook
5. Bezpieczeństwo baz danych
* przykład rozwiązań proponowanych przez Microsoft SQL Server
6. Bezpieczeństwo sieci i infrastruktury
* bezpieczeństwo z punktu widzenia wartsw sieci, sieci bezprzewodowe
* przegląd komponentów jak firewalle, proxy, IDS/IPS, WAF
* znaczenie monitoringu, rola SIEM
* scenariusze użycia TPM, HSM, TEE, SGX
7. Bezpieczeństwo rozwiązań chmurowych i IoT
8. Architektura zabezpieczeń
* znaczenie dobrych wymagań
* rodzaje kontrolek i ich zastosowanie
* przegląd i znaczenie podstawowych zasad bezpieczeństwa (ang. security principles)
* przegląd warstw architektury i ich rola
* koncepcja tzw. security domains
9. Testowanie bezpieczeństwa
* testy penetracyjne i skany podatności, rodzaje, metodyki
* przegląd narzędzi do przeprowadzania testów
* wprowadzenie do hakowania
10. End-to-end protection i modelowanie zagrożeń
* metodyka STRIDE, zastosowanie narzędzi wspierających
* baza CVE/CWE, kalkulator CVSS
* zagrożenia w świecie aplikacji WWW i mobilnych (rankingi OWASP)
* przepływy informacji i ich zabezpieczenie
* kompletność bezpieczeństwa rozwiązania
11. Bezpieczeństwo w procesie wytwarzania oprogramowania
* omówienie procesu, przegląd głównych etapów
* przegląd ważniejszych aktywności, m.in. zbieranie wymagań, analiza ryzyka, modelowanie zagrożeń.
12. Zapewnienie ciągłości działania
* określenie celów i obszarów krytycznych
* utworzenie planów i scenariuszy na różnych poziomach
* testowanie, utrzymywanie i audyt
13. Znaczenie wprowadzenia i utrzymywania polityki bezpieczeństwa
14. Przegląd nowości z obszaru bezpieczeństwa
