INNE EBOOKI AUTORA
Koszyk
Analiza ryzyka i ochrona informacji w systemach komputerowych
Autor:
Wydawca:
Format:
ibuk
Autor cieszącego się dużym zainteresowaniem czytelników Podręcznika administratora bezpieczeństwa teleinformatycznego przedstawia swoją nową książkę, w której zamieścił rozważania na temat związków projektowania systemów ochrony informacji z analizą ryzyka i „pomiarami bezpieczeństwa” oraz wymaganiami normy PN-ISO/IEC 27001:2007.
Praca zawiera także szczegółowy opis autorskiej metodyki L-RAC analizy i kontrolowania ryzyka w zakresie bezpieczeństwa teleinformatycznego. Cechą charakterystyczną metodyki jest standard opisu jednolity z przyjętym w metodyce audytu bezpieczeństwa teleinformatycznego LP-A oraz pokazanie związków z zapisami normy PN-ISO/IEC 27001:2007. Metodyka L-RAC może zostać zaadaptowana także w innych obszarach szeroko rozumianej analizy bezpieczeństwa w firmie: bezpieczeństwa energetycznego, bezpieczeństwa transportu cennych ładunków oraz bezpieczeństwa składowania cennych lub niebezpiecznych materiałów.
Na treść książki składają się następujące tematy:
- „bezpieczeństwo informacji” i „system ochrony informacji” – ustalenie terminologii;
- przedstawienie powiązań procesów biznesowych z procesami ochrony informacji;
- ryzyko i zarządzanie ryzykiem na potrzeby ochrony informacji: charakterystyka procesu zarządzania ryzykiem, szacowanie ryzyka, kontrolowanie ryzyka poprzez stosowanie zabezpieczeń, ryzyko akceptowalne i koszty postępowania z ryzykiem, administrowanie ryzykiem (w tym dyskusja na temat struktur organizacyjnych uwikłanych w ocenę bezpieczeństwa teleinformatycznego i zarządzanie ryzykiem);
- audyt bezpieczeństwa teleinformatycznego jako proces testowania organizacji pod kątem jej zdolności do ochrony informacji;
- normy i standardy wspomagające proces oceny stopnia ochrony informacji przez produkt (ISO/IEC 15408) oraz ocenę systemu zarządzania bezpieczeństwem informacji (PN-ISO/IEC 27001, COBIT);
- rozważania o możliwości „pomiaru” bezpieczeństwa;
- projektowanie systemu ochrony informacji jako szczególny przypadek standardowego przedsięwzięcia projektowego: zarządzanie projektem, etapy cyklu rozwojowego, koncepcja architektury, dokumentowanie systemu bezpieczeństwa, itp.;
- metodyka L-RAC analizy i kontrolowania ryzyka w zakresie bezpieczeństwa teleinformatycznego.
Książka przydatna osobom odpowiedzialnym za bezpieczeństwo (pełnomocnikom ds. bezpieczeństwa, administratorom bezpieczeństwa informacji, administratorom systemów), kadrze kierowniczej działów teleinformatyki, jak również, w pewnym zakresie, wyższej kadrze menedżerskiej chcącej wyrobić sobie pogląd na zakres niezbędnych przedsięwzięć związanych z analizą ryzyka na potrzeby bezpieczeństwa teleinformatycznego oraz z projektowaniem i wdrażaniem systemów ochrony informacji. Polecamy ją także studentom, którzy w programie studiów mają przedmioty związane z bezpieczeństwem teleinformatycznym.
| Rok wydania | 2008 |
|---|---|
| Liczba stron | 288 |
| Kategoria | Bezpieczeństwo |
| Wydawca | Wydawnictwo Naukowe PWN |
| ISBN-13 | 978-83-01-15370-0 |
| Numer wydania | 1 |
| Język publikacji | polski |
| Informacja o sprzedawcy | ePWN sp. z o.o. |
POLECAMY
Ciekawe propozycje
Spis treści
| Podziękowania | 6 |
| Wstęp | 7 |
| Rozdział 1. O informacji, bezpieczeństwie i systemie ochrony | 9 |
| 1.1. O informacji | 10 |
| 1.2. O bezpieczeństwie | 11 |
| 1.3. O systemie ochrony informacji* | 14 |
| Rozdział 2. O procesach | 25 |
| 2.1. Procesy biznesowe w analizie ryzyka | 26 |
| Rozdział 3. O zasobach, ich inwentaryzacji i klasyfikacji | 31 |
| 3.1. Inwentaryzacja zasobów teleinformatycznych | 31 |
| 3.2. Klasyfikacja zasobów teleinformatycznych | 32 |
| 3.3. Ocena wartości zasobów informacyjnych | 35 |
| Rozdział 4. O zagrożeniach i podatnościach | 39 |
| 4.1. Rozważania o zagrożeniach | 40 |
| 4.2. Jak szukać zagrożeń – pytania i podpowiedzi | 49 |
| 4.3. Burza mózgów – przykład techniki identyfikacji zagrożeń | 53 |
| 4.3.1. Generowanie zagrożeń/scenariuszy | 56 |
| 4.3.2. Redukcja zbioru zagrożeń | 56 |
| 4.3.3. Nadawanie priorytetów scenariuszom | 56 |
| 4.4. Podatności | 57 |
| Rozdział 5. O pomiarach bezpieczeństwa teleinformatycznego | 59 |
| 5.1. Pomiar | 61 |
| 5.2. Elementy formalnej teorii pomiaru* | 62 |
| 5.3. Omówienie wymagań definicji pomiaru | 64 |
| 5.3.1. Określenie przedmiotu pomiaru | 64 |
| 5.3.2. Przyporządkowanie liczb (miar) | 64 |
| 5.3.3. Obiektywność | 65 |
| 5.3.4. Empiryczność | 66 |
| 5.4. Uwagi końcowe o „mierzeniu” bezpieczeństwa | 66 |
| Rozdział 6. O ryzyku i zarządzaniu ryzykiem | 69 |
| 6.1. Ryzyko a problemy decyzyjne* | 71 |
| 6.2. Charakterystyka procesu zarządzania ryzykiem | 76 |
| 6.3. Analiza ryzyka – identyfikacja zagrożeń, podatności i środowiska | 78 |
| 6.4. Identyfikacja wymagań dotyczących poziomu ochrony | 81 |
| 6.5. Analiza ryzyka – szacowanie ryzyka | 83 |
| 6.5.1. Oszacowanie ryzyka – metoda ilościowa (studium przypadku) | 86 |
| 6.5.2. Oszacowanie ryzyka – metoda jakościowa (wytyczne raportu technicznego ISO/IEC TR 13335-3) | 91 |
| 6.5.3. Szacowanie ryzyka – analiza bezpieczeństwa systemów sterowania | 99 |
| 6.6. Reakcja na ryzyko | 102 |
| 6.6.1. Kontrolowanie ryzyka poprzez stosowanie zabezpieczeń | 104 |
| 6.6.2. Akceptacja ryzyka szczątkowego | 109 |
| 6.6.3. Ryzyko akceptowalne i koszty postępowania z ryzykiem | 111 |
| 6.7. Administrowanie ryzykiem | 115 |
| 6.7.1. Zadania, czynności i zakresy kompetencji – organizacja procesu zarządzania ryzykiem | 117 |
| 6.8. Podsumowanie rozważań o analizie ryzyka | 122 |
| Rozdział 7. O testowaniu i audycie | 125 |
| 7.1. Przegląd rodzajów badań | 125 |
| 7.2. Ocena bezpieczeństwa teleinformatycznego | 127 |
| 7.3. Audyt | 129 |
| 7.4. Audyt i certyfikowanie SZBI | 143 |
| Rozdział 8. O standardach | 149 |
| 8.1. Common Criteria i norma ISO/IEC 15408 | 151 |
| 8.2. COBITTM– standard ładu informatycznego | 161 |
| 8.3. BS 7799 i norma PN-ISO/IEC 27001:2007: Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji –Wymagania | 164 |
| 8.3.1. Zawartość normy PN-ISO/IEC 27001:2007: Technika informatyczna –Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania | 166 |
| 8.3.2. System zarządzania bezpieczeństwem informacji (SZBI) | 169 |
| 8.3.3. Normatywny zbiór zabezpieczeń – załącznik A normy PN-ISO/IEC 27001 | 173 |
| Rozdział 9. O projektowaniu | 177 |
| 9.1. Cykl życia systemu bezpieczeństwa teleinformatycznego | 178 |
| 9.2. Zarządzanie projektowaniem i budową systemu bezpieczeństwa teleinformatycznego | 181 |
| 9.3. System bezpieczeństwa teleinformatycznego – koncepcja | 183 |
| 9.3.1. Kompleksowość i dekompozycja | 184 |
| 9.3.2. Przesłanki budowy „w głąb” systemu ochrony | 188 |
| 9.4. Architektura systemu bezpieczeństwa teleinformatycznego | 188 |
| 9.5. Analiza i projektowanie systemu bezpieczeństwa teleinformatycznego | 192 |
| 9.5.1. Etap analizy | 192 |
| 9.5.2. Etap projektowania | 193 |
| 9.5.3. Wzorce projektowe | 196 |
| 9.6. Ograniczenia procesu projektowania | 197 |
| 9.7. Dokumentowanie prac projektowych | 197 |
| Załącznik. Metodyka L-RAC analizy i kontrolowania ryzyka w zakresie bezpieczeństwa teleinformatycznego | 204 |
| Wykaz używanych terminów i symboli graficznych | 204 |
| Terminy | 204 |
| Symbole graficzne na diagramach DFD (ang. data flow diagram) | 208 |
| Wstęp | 209 |
| Rozdział Z1 Komentarze do procesów | 213 |
| Z1.1. Proces identyfikacji środowiska (proces 1.3 i 1.4) | 214 |
| Z1.1.1. Identyfikacja procesów i ich właścicieli (proces 1.3) | 214 |
| Z1.1.2. Identyfikacja zasobów teleinformatycznych (proces 1.4) | 216 |
| Z1.2. Proces identyfikacji zagrożeń i podatności (proces 2.1) | 216 |
| Z1.2.1. Zagrożenia (proces 2.1.1) | 216 |
| Z1.2.2. Podatności (proces 2.1.2) | 218 |
| Z1.2.3. Udziałowcy | 219 |
| Z1.3. Proces określania możliwości realizacji zagrożenia (proces 2.2) | 220 |
| Z1.4. Proces redukowania ryzyka (proces 2.4) | 222 |
| Rozdział Z2 Wskazówki do realizacji procesów i sporządzania dokumentów | 225 |
| Z2.1. Skład zespołu analizy i kontroli ryzyka | 225 |
| Z2.2. Wyposażenie narzędziowe zespołu | 225 |
| Z2.3. Etap przygotowawczy analizy i kontrolowania ryzyka | 226 |
| Z2.4. Burza mózgów (proces 2.1.1. i proces 2.1.2.) | 228 |
| Z2.5. Dobór zabezpieczeń a zalecenia normy PN-ISO/IEC 27001:2007 (proces 2.4.2 i proces 2.4.3) | 229 |
| Z2.6. Analiza koszty/korzyści (proces 2.4.3) i optymalizacja kosztów zabezpieczeń (proces 2.4.4) | 231 |
| Rozdział Z3 Specyfikacja dokumentów analizy ryzyka | 236 |
| Z3.1. Tabele IPO | 236 |
| Z3.2. Specyfikacja zbiorcza dokumentów | 247 |
| Rozdział Z4 Diagramy przepływu danych | 252 |
| Rozdział Z5 Wzorce-przykłady dokumentów | 262 |
| Z5.1. Dokumenty tabelaryczne | 262 |
| Z5.2. Dokumenty – arkusze z sesji burzy mózgów | 266 |
| Rozdział Z6. Mapowanie procesów metodyki L-ARC na odnoszące się do ryzyka wymagania normy PN-ISO/IEC 27001:2007 | 268 |
| Z6.1. Wyciąg z normy PN-ISO/IEC 27001:2007 | 268 |
| Z6.2. Mapowanie | 272 |
| Zakończenie | 277 |
| Literatura | 279 |
| Skorowidz | 285 |
Wypożyczaj w abonamencie!
Już od 2,66 zł za ebooka
