Karta Przedmiotu
| Politechnika Białostocka | Wydział Informatyki | ||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Kierunek studiów | Cyberbezpieczeństwo |
Poziom i forma studiów |
pierwszego stopnia stacjonarne |
||||||||||||||||||||||||
| Grupa przedmiotów / specjalność |
Profil kształcenia | ogólnoakademicki | |||||||||||||||||||||||||
| Nazwa przedmiotu | Audyt systemów teleinformatycznych | Kod przedmiotu | CYB1AST | ||||||||||||||||||||||||
| Rodzaj zajęć | obowiązkowy | ||||||||||||||||||||||||||
| Formy zajęć i liczba godzin | W | Ć | L | P | Ps | T | S | Semestr | 5 | ||||||||||||||||||
| 10 | 10 | Punkty ECTS | 2 | ||||||||||||||||||||||||
| Program obowiązuje od | 2026/2027 | ||||||||||||||||||||||||||
| Przedmioty wprowadzające | Ciągłość działania i odtwarzanie po awarii (CYB1ZCD), Podstawy cyberbezpieczeństwa (CYB1PCY), Prawne aspekty cyberbezpieczeństwa (CYB1PAC), Wymagania prawne i compliance w cyberbezpieczeństwie (CYB1ZBI), | ||||||||||||||||||||||||||
| Cele przedmiotu |
Przekazanie wiedzy z zakresu metodyk, standardów i zasad prowadzenia audytu bezpieczeństwa systemów teleinformatycznych, obejmującego zarówno aspekty techniczne, jak i organizacyjno-regulacyjne. Rozwinięcie umiejętności planowania, realizacji i dokumentowania audytu bezpieczeństwa ICT, ze szczególnym uwzględnieniem wymagań norm ISO/IEC 27001 i regulacji NIS2. Odniesienia do frameworka edukacyjnego mikrokompetencji SFIA: Zapewnienie informacji INAS - poziom 3 Zarządzanie audytem AUDT - poziom 3 |
||||||||||||||||||||||||||
| Ramowe treści programowe | Rola audytu w systemie zarządzania bezpieczeństwem informacji i jego relacja z zarządzaniem ryzykiem. Metodologie i standardy audytu bezpieczeństwa ICT: ISO/IEC 27001/27002, ISACA COBIT, NIST CSF. Etapy cyklu audytu: planowanie, realizacja, raportowanie i follow-up. Dowody audytowe i techniki ich zbierania: przegląd dokumentacji, wywiad, obserwacja, testy techniczne. Kwalifikacje i niezależność audytora; etyczne aspekty prowadzenia audytu. Specyfika audytu w kontekście regulacji NIS2, RODO i sektorowych wymagań compliance. | ||||||||||||||||||||||||||
| Inne informacje o przedmiocie | przedmiot ma związek z prowadzoną na Uczelni działalnością naukową | ||||||||||||||||||||||||||
| przedmiot kształtuje umiejętności praktyczne | |||||||||||||||||||||||||||
| Wyliczenie: | Nakład pracy studenta związany z: | Godzin ogółem |
W tym kontaktowych |
W tym praktycznych |
|||||||||||||||||||||||
| udziałem w wykładach | 10 | 10 | |||||||||||||||||||||||||
| udziałem w innych formach zajęć | 10 | 10 | 10 | ||||||||||||||||||||||||
| realizacją projektu | 20 | 20 | |||||||||||||||||||||||||
| przygotowaniem do zaliczenia wykładu | 10 | ||||||||||||||||||||||||||
| Razem godzin: | 50 | 20 | 30 | ||||||||||||||||||||||||
| Razem punktów ECTS: | 2 | 0.8 | 1.2 | ||||||||||||||||||||||||
| Zakładane kierunkowe efekty uczenia się | Wiedza | Umiejętności | Kompetencje społeczne |
||||||||||||||||||||||||
| CYB1_W12 | CYB1_U11 | CYB1_K02 | |||||||||||||||||||||||||
| CYB1_W13 | CYB1_U19 | CYB1_K04 | |||||||||||||||||||||||||
| Cele i treści ramowe sformułował(a) | dr inż. Paweł Tadejko | Data: | 08/04/2026 | ||||||||||||||||||||||||
| Realizacja w roku akademickim | 2028/2029 | ||||||||||||||||||||||||||
| Treści programowe | |||||||||||||||||||||||||||
| Wykład | |||||||||||||||||||||||||||
| 1. | Audyt bezpieczeństwa ICT - definicje, cele, rodzaje audytu (wewnętrzny, zewnętrzny, certyfikacyjny); relacja z assessment i pen-testem | ||||||||||||||||||||||||||
| 2. | Standardy i frameworki audytu bezpieczeństwa - ISO/IEC 27001/27002, ISACA COBIT 2019, NIST CSF; porównanie podejść | ||||||||||||||||||||||||||
| 3. | Wymagania regulacyjne dotyczące audytu - NIS2, DORA, RODO; obowiązki operatorów usług kluczowych | ||||||||||||||||||||||||||
| 4. | Planowanie audytu - zakres, cele, kryteria audytu; plan audytu, zasoby, harmonogram; ryzyko audytu | ||||||||||||||||||||||||||
| 5. | Techniki zbierania dowodów - przegląd dokumentacji, wywiad z interesariuszami, obserwacja procesów, testy techniczne | ||||||||||||||||||||||||||
| 6. | Ocena kontroli bezpieczeństwa - kategorie kontroli (prewencyjne, detekcyjne, korygujące); matryca kontroli vs wymagania | ||||||||||||||||||||||||||
| 7. | Audyt zarządzania dostępem - przegląd polityk IAM, uprawnień kont uprzywilejowanych, zarządzania cyklem życia konta; Audyt zarządzania incydentami - przegląd procedur, rejestry incydentów, czas reakcji, komunikacja | ||||||||||||||||||||||||||
| 8. | Audyt zarządzania ciągłością działania - polityki BCP/DR, plany i testy odtwarzania, RPO/RTO; Raportowanie wyników audytu - struktura raportu: executive summary, ustalenia, rekomendacje, rating; komunikacja z kierownictwem | ||||||||||||||||||||||||||
| 9. | Audyt wewnętrzny a program zarządzania zgodnością - continuous auditing, monitoring, metryki bezpieczeństwa | ||||||||||||||||||||||||||
| 10. | Zaliczenie wykładu | ||||||||||||||||||||||||||
| Projekt | |||||||||||||||||||||||||||
| 1. | Planowanie audytu - przygotowanie zakresu i planu audytu dla fikcyjnej organizacji na podstawie dostarczonej dokumentacji | ||||||||||||||||||||||||||
| 2. | Wykonanie wybranych technik audytu - wywiad ustrukturyzowany, przegląd polityk, ocena listy kontrolnej ISO/IEC 27001 | ||||||||||||||||||||||||||
| 3. | Analiza dowodów i formułowanie ustaleń - praca z dokumentacją i wynikami testów; ocena: zgodny / niezgodny / do poprawy | ||||||||||||||||||||||||||
| 4. | Opracowanie raportu z audytu - grupowe przygotowanie raportu z fikcyjnego audytu: ustalenia, ocena ryzyka, rekomendacje | ||||||||||||||||||||||||||
| 5. | Prezentacja i dyskusja raportów - ocena jakości raportów, dyskusja nad trudnymi ustaleniami, komunikacja z „zarządem" | ||||||||||||||||||||||||||
| Metody dydaktyczne (realizacja stacjonarna) |
|||||||||||||||||||||||||||
| W | wykład informacyjny, wykład problemowy, wykład z prezentacją multimedialną | ||||||||||||||||||||||||||
| P | programowanie z użyciem komputera | ||||||||||||||||||||||||||
| Metody dydaktyczne (realizacja zdalna) |
|||||||||||||||||||||||||||
| W | wykład informacyjny, wykład problemowy, wykład z prezentacją multimedialną | ||||||||||||||||||||||||||
| - | |||||||||||||||||||||||||||
| Forma zaliczenia | |||||||||||||||||||||||||||
| W | zaliczenie pisemne | ||||||||||||||||||||||||||
| P | ocena projektu | ||||||||||||||||||||||||||
| Warunki zaliczenia | |||||||||||||||||||||||||||
| W | Uzyskanie min. 30% punktów z każdego efektu uczenia się z zakresu wiedzy, a po spełnieniu tego warunku ostateczna ocena wynika z sumy uzyskanych punktów. Kryteria oceny: [ 0 – 50]% punktów – 2.0 (50 – 60]% punktów – 3.0 (60 – 70]% punktów – 3.5 (70 – 80]% punktów – 4.0 (80 – 90]% punktów – 4.5 (90 – 100]% punktów – 5.0 |
||||||||||||||||||||||||||
| P | Kryteria oceny: [ 0 – 50]% punktów – 2.0 (50 – 60]% punktów – 3.0 (60 – 70]% punktów – 3.5 (70 – 80]% punktów – 4.0 (80 – 90]% punktów – 4.5 (90 – 100]% punktów – 5.0 |
||||||||||||||||||||||||||
| Symbol efektu | Zakładane efekty uczenia się | Odniesienie do efektów uczenia się zdefiniowanych dla kierunku studiów | |||||||||||||||||||||||||
| Wiedza | Umiejętności | Kompetencje społeczne |
|||||||||||||||||||||||||
| Wiedza: student zna i rozumie | |||||||||||||||||||||||||||
| E1 | metodykę i standardy audytu bezpieczeństwa systemów teleinformatycznych (ISO/IEC 27001, COBIT, NIST CSF) oraz wymagania regulacyjne wynikające z NIS2 i RODO | ||||||||||||||||||||||||||
| E2 | etapy cyklu audytu, kategorie kontroli bezpieczeństwa i techniki zbierania dowodów audytowych | ||||||||||||||||||||||||||
| E3 | zasady etyki zawodowej audytora, wymagania dotyczące niezależności oraz znaczenie certyfikacji (CISA, ISO 27001) | ||||||||||||||||||||||||||
| Umiejętności: student potrafi | |||||||||||||||||||||||||||
| E4 | zaplanować i zrealizować podstawowy audyt bezpieczeństwa ICT wybranego obszaru, zebrać dowody i udokumentować ustalenia w formie raportu | ||||||||||||||||||||||||||
| E5 | ocenić skuteczność wybranych kontroli bezpieczeństwa w odniesieniu do wymagań norm ISO/IEC 27001 i regulacji NIS2 | ||||||||||||||||||||||||||
| Kompetencje społeczne: student jest gotów do | |||||||||||||||||||||||||||
| E6 | profesjonalnego i etycznego prowadzenia działań audytowych oraz odpowiedzialnej komunikacji wyników z różnymi interesariuszami | ||||||||||||||||||||||||||
| Symbol efektu | Sposób weryfikacji efektu uczenia się | Forma zajęć na której zachodzi weryfikacja | |||||||||||||||||||||||||
| E1 | zaliczenie pisemne | W | |||||||||||||||||||||||||
| E2 | zaliczenie pisemne | W | |||||||||||||||||||||||||
| E3 | zaliczenie pisemne | W | |||||||||||||||||||||||||
| E4 | ocena projektu | P | |||||||||||||||||||||||||
| E5 | ocena projektu | P | |||||||||||||||||||||||||
| E6 | ocena projektu | P | |||||||||||||||||||||||||
| Literatura podstawowa | |||||||||||||||||||||||||||
| 1. | A. Cieślik, Narzędzia wspomagające audyt bezpieczeństwa systemów IT, Presscom, 2021 | ||||||||||||||||||||||||||
| 2. | X. Konarski (red.), Prawo cyberbezpieczeństwa. Komentarz do ustawy o krajowym systemie cyberbezpieczeństwa, Wolters Kluwer, Warszawa, 2019 | ||||||||||||||||||||||||||
| 3. | A. Laszuk (red.), Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz, C.H. Beck, Warszawa, 2019 | ||||||||||||||||||||||||||
| 4. | A. Calder, S. Watkins, IT Governance: An International Guide to Data Security and ISO 27001/27002, wyd. 7, Kogan Page, London, 2019 | ||||||||||||||||||||||||||
| 5. | National Institute of Standards and Technology, NIST Cybersecurity Framework 2.0, NIST, Gaithersburg, 2024, https://www.nist.gov/cyberframework | ||||||||||||||||||||||||||
| 6. | PKN, PN-EN ISO/IEC 27001:2023-08 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności, Systemy zarządzania bezpieczeństwem informacji - Wymagania, Polski Komitet Normalizacyjny, Warszawa, 2023 | ||||||||||||||||||||||||||
| Literatura uzupełniająca | |||||||||||||||||||||||||||
| 1. | A. Rot, Audyt informatyczny w organizacji. Metody, techniki i narzędzia, Wydawnictwo Uniwersytetu Ekonomicznego we Wrocławiu, Wrocław, 2016 | ||||||||||||||||||||||||||
| 2. | M. Kuliński, Cyberbezpieczeństwo. Regulacje prawne i standardy techniczne, Wolters Kluwer, Warszawa, 2021 | ||||||||||||||||||||||||||
| 3. | Parlament Europejski i Rada UE, Dyrektywa NIS2 (EU) 2022/2555, Dziennik Urzędowy UE, Bruksela, 2022 | ||||||||||||||||||||||||||
| 4. | ISACA, CISA Review Manual, wyd. 27, ISACA, Schaumburg, 2023, https://www.isaca.org/credentialing/cisa | ||||||||||||||||||||||||||
| 5. | Center for Internet Security, CIS Controls v8, CIS, East Greenbush, 2021, https://www.cisecurity.org/controls/v8 | ||||||||||||||||||||||||||
| Koordynator przedmiotu: | dr inż. Paweł Tadejko | Data: | 08/04/2026 | ||||||||||||||||||||||||