 |
Ksiazki - Informatyczne .pl » informatyka » informatyka Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie
Opis Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie: Książka stanowi kompendium wiedzy na temat zapewnienia bezpieczeństwa informacji i usług. Autor zapoznaje czytelnika z podstawowymi pojęciami, metodami i narzędziami dotyczącymi bezpieczeństwa teleinformatycznego, ale rozpatrywanego na tle bezpieczeństwa w sensie technicznym. Opisuje etapy tworzenia systemu bezpieczeństwa oraz jego funkcjonowanie - od ewidencjonowania zasobów, przez analizę ryzyka, dobór wymagań i zabezpieczeń, wypracowanie strategii zapewnienia bezpieczeństwa, do procesów wdrożeniowych. Podaje wiele praktycznych przykładów, wykazów, list kontrolnych, szablonów i wzorów dokumentów, opracowanych na podstawie obowiązujących norm i zaleceń. Czytelnik może łatwo wykorzystać te elementy do rozwiązania problemów swojej instytucji - niezależnie od jej wielkości i specyfiki działania. Spis treści Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie: 1. Wstęp 1.1. Bezpieczeństwo informacji i usług a bezpieczeństwo teleinformatyczne 1.2. Interdyscyplinarny charakter zagadnień i szczególna rola informatyki 1.3. Podstawowe problemy bezpieczeństwa teleinformatycznego 1.4. Dwa podejścia do zagadnień bezpieczeństwa 1.5. Potrzeba tworzenia komputerowych narzędzi wspomagających 2. Wprowadzenie do zarządzania bezpieczeństwem informacji i usług 2.1. Bezpieczeństwo i jego atrybuty 2.2. Wrażliwość informacji i krytyczność usług - istota ochrony 2.3. Elementy bezpieczeństwa 3. Normy, standardy i zalecenia 3.1. Działalność połączonego komitetu technicznego ISO/IEC 3.2. Raporty techniczne ISO/IEC TR 13335 3.3. Rozwój i znaczenie rodziny standardów BS 7799 3.4. Szczególne znaczenie standardu COBIT 3.5. Kryteria oceny zabezpieczeń 3.6. Standardy dotyczące rozwiązań technicznych 3.7. Przygotowanie organizacji do działań audytorskich 3.8. Zalecenia i inne wytyczne szczegółowe 3.9. Aktualny stan rozwoju standardów i sposób ich wykorzystania 4. Ryzyko w sensie ogólnym i technicznym 4.1. Podstawy analizy ryzyka w sensie ogólnym 4.2. Bezpieczeństwo funkcjonalne w świetle IEC 61508 4.3. Metody jakościowe oceny ryzyka 4.3.1. Metoda wstępnej analizy ryzyka i hazardu 4.3.2. Metoda HAZOP 4.3.3. Metody analizy defektów 4.4. Metody wykorzystujące struktury drzewiaste 4.4.1. Metoda drzewa błędów 4.4.2. Metoda drzewa zdarzeń 4.4.3. Analiza przyczynowo-skutkowa 4.4.4. Metoda inspekcji drzewa ryzyka 4.4.5. Technika przeglądu organizacji zarządzania bezpieczeństwem 4.5. Metody analizy dynamicznej 4.5.1. Metoda GO 4.5.2. Metody grafów 4.5.3. Zastosowanie modeli Markowa 4.5.4. Metoda DYLAM 4.5.5. Metoda DETAM 4.6. Podsumowanie przeglądu metod oceny ryzyka 5. Analiza ryzyka i strategie zarządzania nim w teleinformatyce 5.1. Podstawowe strategie zarządzania ryzykiem 5.2. Ogólny schemat analizy ryzyka 5.3. Metody kumulowania wielkości ryzyka 5.3.1. Macierz predefiniowanych wartości 5.3.2. Lista rankingowa zagrożeń 5.3.3. Częstość zagrożeń 5.3.4. Skala uproszczona wyrażająca tolerowanie ryzyka 5.4. Podstawowe metody redukcji ryzyka 5.4.1. Redukcja ryzyka przez stosowanie typowych zabezpieczeń - ochrona podstawowa 5.4.2. Redukcja ryzyka wspierana nieformalną jego analizą 5.4.3. Redukcja ryzyka wspierana jego szczegółową i formalną analizą 5.4.4. Metoda mieszana (kombinowana) redukcji ryzyka 6. Wybrane metody i komputerowe narzędzia wspomagające 6.1. Komputerowe wspomaganie analizy i zarządzania ryzykiem 6.2. Metodyka zarządzania ryzykiem opracowana w instytucie NIST 6.2.1. Analiza ryzyka 6.2.2. Ograniczanie ryzyka 6.3. Metodyka szacowania zagrożeń i ryzyka (TRA) opracowana w CSE 6.4. Metodyka CORA i komputerowe narzędzia wspomagające 6.4.1. Zasady budowy modelu ryzyka 6.4.2. Analiza modelu i wypracowanie optymalnej strategii ograniczania ryzyka 6.5. Metodyka i oprogramowanie CRAMM 6.5.1. CRAMM-Expert - faza przygotowawcza 6.5.2. CRAMM-Expert - etap analizy zasobów 6.5.3. CRAMM-Expert - etap analizy ryzyka 6.5.4. CRAMM-Expert - etap zarządzania ryzykiem 6.5.5. CRAMM-Expert - implementacja ISMS 6.6. Oprogramowanie COBRA 6.7. Metoda IRIS 6.8. Oprogramowanie RiskPAC 6.9. Oprogramowanie ASSET 6.10. Inne wybrane metody i narzędzia 6.10.1. Pakiet MARION 6.10.2. Metoda VIR?94 6.10.3. Metoda MAGERIT 6.10.4. Metoda MASSIA 6.10.5. Metoda TISM 6.10.6. Metoda SIM 6.11. Przykłady analizatorów bezpieczeństwa i innych narzędzi wspomagających jego utrzymywanie na bieżąco 6.11.1. Pakiet SARA 6.11.2. Security Analyzer firmy NetIQ 6.11.3. Security Manager firmy NetIQ 6.11.4. Pakiet OmniGuard ESM firmy Axent 6.11.5. Symantec Enterprise Security Manager 6.11.6. Inne narzędzia wspomagające utrzymywanie bezpieczeństwa 7. Trójpoziomowy model odniesienia 7.1. Trójpoziomowy model hierarchii celów, strategii i polityki 7.2. Hierarchiczna struktura dokumentacji bezpieczeństwa według modelu odniesienia 7.3. Hierarchiczna struktura zarządzająca według modelu odniesienia 7.3.1. Zaangażowanie zarządu instytucji 7.3.2. Struktura organizacyjna zespołów odpowiedzialnych 7.3.3. Skład i kompetencje rady ds. bezpieczeństwa teleinformatyki 7.3.4. Inspektor bezpieczeństwa teleinformatycznego 7.3.5. Oddziałowy inspektor bezpieczeństwa teleinformatycznego 7.3.6. Inspektor bezpieczeństwa teleinformatycznego systemu lub realizowanego projektu 7.4. Trójpoziomowy model odniesienia w praktyce 7.5. Polityka a zarządzanie bezpieczeństwem 8. System bezpieczeństwa instytucji 8.1. Wprowadzenie 8.2. Fazy realizacji i ogólny schemat funkcjonowania systemu bezpieczeństwa instytucji 8.3. Zapis sformalizowany modelu trójpoziomowego 8.4. Zapis sformalizowany procesów związanych z utrzymaniem bezpieczeństwa 9. Bezpieczeństwo w instytucji 9.1. Architektura systemu bezpieczeństwa instytucji 9.2. Analiza procesów biznesowych ze względu na stopień zaangażowania systemów teleinformatycznych w ich realizację 9.3. Ogólne potrzeby bezpieczeństwa systemów teleinformatycznych instytucji 9.4. Formułowanie dokumentu polityki bezpieczeństwa instytucji 9.5. Zarządzanie bezpieczeństwem na poziomie instytucji 10. Ogólne zasady bezpieczeństwa teleinformatycznego w instytucji 10.1. Architektura systemu bezpieczeństwa teleinformatycznego instytucji 10.2. Cele bezpieczeństwa systemów teleinformatycznych instytucji 10.3. Otoczenie prawne 10.4. Wybór strategii redukcji ryzyka 11. Wysokopoziomowa (ogólna) analiza ryzyka i wyznaczenie obszarów wymagających ochrony 11.1. Wymagania ochronne 11.2. Domeny bezpieczeństwa 11.3. Przebieg wysokopoziomowej analizy ryzyka 12. Koncepcja hierarchii zasobów 12.1. Wprowadzenie 12.2. Interpretacja praktyczna modelu 12.3. Przekroje modelu 12.4. Zbiór dostępnych typów zasobów 12.5. Zbiór eksploatowanych zasobów 12.6. Specjalne znaczenie klasy zasobów reprezentującej personel 12.7. Znaczenie przekrojów modelu zasobów dla zarządzania bezpieczeństwem 13. Przebieg szczegółowej analizy ryzyka w systemach teleinformatycznych 13.1. Wprowadzenie 13.2. Granice obszarów zajmowanych przez zasoby instytucji 13.3. Analiza zasobów - identyfikacja i wycena 13.3.1. Przygotowanie zbioru dostępnych zasobów 13.3.2. Przygotowanie zbioru eksploatowanych zasobów 13.3.3. Atrybuty przekroju zarządzania zasobami 13.3.4. Wycena zasobów 13.4. Ocena podatności 13.5. Środowisko zagrożeń 13.6. Identyfikacja istniejących lub planowanych zabezpieczeń 13.7. Podsumowanie wyników analizy ryzyka 14. Wzorce wymagań dotyczących zabezpieczeń 14.1. Wzorcowa lista wymagań według PN-ISO/IEC 17799 (PN-I-07799-2) 14.2. Tworzenie list wymagań na podstawie katalogu zabezpieczeń zapewniających ochronę podstawową 14.3. Rekomendacje bankowe, normy branżowe, akty prawne 15. Wypracowanie strategii wyboru zabezpieczeń 15.1. Ustalanie listy wymagań, przyjmując cele bezpieczeństwa jako podstawowe ich źródło 15.2. Ustalanie listy wymagań na podstawie listy wzorcowej 15.3. Ustalanie listy wymagań na podstawie wyników analizy ryzyka 16. Ogólne zasady tworzenia architektury bezpieczeństwa na poziomie II i III 16.1. Podstawy tworzenia odrębnych wersji polityki bezpieczeństwa dla oddziałów instytucji (poziom IIa) 16.1.1. Architektura systemu bezpieczeństwa teleinformatycznego na poziomie oddziałów instytucji 16.1.2. Zarządzanie bezpieczeństwem na poziomie oddziałów instytucji 16.2. Wpływ jednorodności wymagań na architekturę bezpieczeństwa 16.3. Architektura systemu bezpieczeństwa na poziomie systemów teleinformatycznych 17. Dobór zabezpieczeń na podstawie zdefiniowanych wymagań 17.1. Wprowadzenie 17.2. Identyfikacja ograniczeń 17.3. Ogólna koncepcja ochrony podstawowej 17.4. Dobór zabezpieczeń podstawowych według rodzaju systemu 17.5. Dobór zabezpieczeń podstawowych według potrzeb bezpieczeństwa i zagrożeń 17.6. Przykład metodyki ochrony podstawowej - IT Grundschutz 17.6.1. Identyfikacja składników systemów teleinformatycznych 17.6.2. Identyfikacja aplikacji oraz przetwarzanych informacji 17.6.3. Określenie wymagań ochronnych dla elementów systemu 17.6.4. Dobór zabezpieczeń zapewniających ochronę podstawową 17.7. Dobór zabezpieczeń wynikających z analizy ryzyka 17.7.1. System zarządzania bezpieczeństwem informacji ISMS i zawarte w nim podejście do redukcji ryzyka 17.8. Uwzględnienie architektury systemów w architekturze bezpieczeństwa na poziomie systemów teleinformatycznych 17.9. Akceptacja ryzyka 18. Polityka bezpieczeństwa teleinformatycznego – ogółu systemów teleinformatycznych w instytucji (poziom II) 18.1. Zasady konstruowania 18.2. Zawartość i przykłady 18.3. Zarządzanie bezpieczeństwem na poziomie systemów teleinformatycznych instytucji 19. Polityka dotycząca bezpieczeństwa poszczególnych systemów (poziomu III) i plany zabezpieczeń 19.1. Zasady konstruowania 19.2. Zawartość dokumentu 19.3. Plany zabezpieczeń poszczególnych systemów 19.4. Zarządzanie bezpieczeństwem na poziomie systemów 20. Procesy wdrożeniowe 20.1. Wdrożenie zabezpieczeń 20.1.1. Opracowanie dokumentacji wdrażanych zabezpieczeń 20.1.2. Realizacja planu zabezpieczeń i weryfikacja jego skuteczności 20.2. Działania uświadamiające i ich nadzorowanie 20.3. Szkolenia 20.4. Akredytacja systemów 21. Czynności powdrożeniowe 21.1. Wykrywanie zmian i zarządzanie zmianami 21.2. Monitorowanie elementów systemu bezpieczeństwa 21.3. Zarządzanie zabezpieczeniami i utrzymywanie ich skuteczności 21.4. Kontrola zgodności 21.5. Zarządzanie incydentami i doskonalenie systemu bezpieczeństwa 22. Wnioski i uwagi końcowe Wykaz niektórych skrótów angielskich i polskich oraz oznaczeń Literatura Dodatki I. Przykład polityki dotyczącej bezpieczeństwa instytucji (poziom I) I.1. Deklaracja o ustanowieniu Polityki Bezpieczeństwa Firmy e-GADGET sp. z o.o I.2. Cel opracowania i zawartość dokumentu I.3. Podstawy normatywne I.4. Podstawy prawne I.5. Zakres oddziaływania polityki I.6. Bezpieczeństwo w Firmie e-GADGET I.7. Role i odpowiedzialność I.8. Rozpowszechnianie i zarządzanie dokumentem polityki I.9. Załączniki I.9.1. Regulaminy, instrukcje, procedury I.9.2. Role dotyczące bezpieczeństwa teleinformatycznego I.10. Odwołanie do Polityki Bezpieczeństwa Teleinformatycznego Firmy e-GADGET sp. z o.o. II. Przykład polityki dotyczącej bezpieczeństwa teleinformatycznego instytucji (poziom II) II.1. Umocowanie prawne II.2. Cel opracowania i zawartość dokumentu II.3. Podstawy normatywne i terminologia II.4. Podstawy prawne II.5. Zakres oddziaływania II.6. Bezpieczeństwo informacji i usług elektronicznych w Firmie e-GADGET II.6.1. Procesy biznesowe wspierane przez technologie teleinformatyczne II.6.2. Postanowienia ogólne II.6.3. Postępowanie wobec ryzyka II.6.4. Otoczenie prawne i identyfikacja zasobów II.6.5. Ogólne potrzeby bezpieczeństwa wynikające z procesów biznesowych, wspomaganych w realizacji technologiami teleinformatycznymi II.6.6. Wnioski ogólne z analizy ryzyka II.6.7. Metoda postępowania przy tworzeniu systemu bezpieczeństwa II.6.8. Cele zabezpieczeń i ogólne strategie II.6.9. Szczegółowe zasady i wymagania dotyczące zabezpieczeń II.6.9.1. Wymagania dotyczące dokumentu polityki bezpieczeństwa II.6.9.2. Wymagania dotyczące organizacji systemu bezpieczeństwa II.6.9.3. Klasyfikacja ł nadzór nad zasobami II.6.9.4. Bezpieczeństwo osobowe II.6.9.5. Bezpieczeństwo fizyczne i środowiskowe II.6.9.6. Zarządzanie systemem II.6.9.7. Kontrola dostępu II.6.9.8. Rozwój i utrzymanie systemów II.6.9.9. Ciągłość procesów biznesowych II.6.9.10. Zgodność II.7. Role i odpowiedzialność II.7.1. Ogólna organizacja służb odpowiedzialnych i ich role II.7.2. Komitet Bezpieczeństwa Teleinformatycznego (KBTI) II.7.3. Zespół Bezpieczeństwa Teleinformatycznego (ZBTI) II.7.4. Pion Eksploatacji (PE) II.7.5. Użytkownicy i inni pracownicy II.7.6. Postanowienia dodatkowe II.7.7. Odpowiedzialność za naruszenia polityki II.8. Rozpowszechnianie i zarządzanie dokumentem polityki II.9. Załączniki II.9.1. Normy i zalecenia wykorzystywane do tworzenia polityki II.9.2. Definicje wykorzystywanych pojęć II.9.3. Tajemnice prawnie chronione, występujące w Firmie e-GADGET jako element otoczenia prawnego, oznaczane jako EG-POUFNE II.9.4. Tajemnice przedsiębiorstwa chronione na zasadach wzajemności, na podstawie wielostronnych umów zawartych przez Firmę e-GADGET, oznaczane EG-POUFNE II.9.5. Tajemnice przedsiębiorstwa określone na podstawie zarządzeń wewnętrznych w Firmie e-GADGET, oznaczane EG-POUFNE II.9.6. Działania zgodne z prawem, występujące w Firmie e-GADGET jako element otoczenia prawnego II.9.7. Regulaminy, instrukcje, procedury, wzorce dokumentów II.9.8. Role członków zarządu II.9.9. Role w Pionie Bezpieczeństwa II.9.10. Role dotyczące właścicieli zasobów II.9.11. Role w Pionie Eksploatacji II.9.12. Uregulowania specjalne dotyczące ról II.9.13. Dokumentacja projektowa i plany II.10. Odwołanie do polityki dotyczącej bezpieczeństwa poszczególnych systemów teleinformatycznych w Firmie e-GADGET sp. z o.o. III. Przykład polityki dotyczącej bezpieczeństwa systemów informacyjnych instytucji w układzie ISMS III.1. Wprowadzenie III.2. Cel opracowania III.3. Zakres oddziaływania III.4. Zasady polityki III.5. Zasady odpowiedzialności za bezpieczeństwo III.5.1. Zasady ogólne III.5.2. Odpowiedzialność kierownictwa firmy III.5.3. Odpowiedzialność Inspektora Bezpieczeństwa Informacji III.5.4. Odpowiedzialność Inspektora Bezpieczeństwa Technologii Informatycznych III.5.5. Odpowiedzialność ogólna III.6. Wskazania ogólne III.7. Przegląd dokumentu polityki III.8. Dokumenty związane IV. Specyfikacja zagadnień bezpieczeństwa zawartych w normie PN-ISO/IEC 17799 V. Specyfikacja zagadnień bezpieczeństwa organizacyjnego i fizycznego zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według specyficznych cech systemu VI. Specyfikacja zagadnień bezpieczeństwa teleinformatycznego zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według specyficznych cech systemu VII. Specyfikacja zagadnień bezpieczeństwa w układzie według zagrożeń zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według zagrożeń |
|
Księgarnia informatyczna © ksiazki-informatyczne.pl
- WNT (Wydawnictwa Naukowo-Techniczne) , książka informatyczna - Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie
|