POLECAMY
Koszyk
Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie
Autor:
Wydawca:
Format:
ibuk
Publikacja Wydawnictwa WNT, dodruk Wydawnictwo Naukowe PWN
Książka stanowi kompendium wiedzy na temat zapewnienia bezpieczeństwa informacji i usług. Autor zapoznaje Czytelnika z podstawowymi pojęciami, metodami i narzędziami dotyczącymi bezpieczeństwa teleinformatycznego, ale rozpatrywanego na tle bezpieczeństwa w sensie technicznym. Opisuje etapy tworzenia systemu bezpieczeństwa oraz jego funkcjonowanie – od ewidencjonowania zasobów, przez analizę ryzyka, dobór wymagań i zabezpieczeń, wypracowanie strategii zapewnienia bezpieczeństwa, do procesów wdrożeniowych. Podaje wiele praktycznych przykładów, wykazów, list kontrolnych, szablonów i wzorów dokumentów, opracowanych na podstawie obowiązujących norm i zaleceń. Czytelnik może łatwo wykorzystać te elementy do rozwiązania problemów swojej instytucji – niezależnie od jej wielkości i specyfiki działania.
Książka jest przeznaczona dla osób zajmujących się zagadnieniami bezpieczeństwa teleinformatycznego w firmach i instytucjach, w tym w jednostkach administracji publicznej. Chodzi tu o inspektorów bezpieczeństwa, administratorów systemów, audytorów, menedżerów, a także informatyków. Skorzystają z niej również studenci informatyki, telekomunikacji i zarządzania.
| Rok wydania | 2017 |
|---|---|
| Liczba stron | 550 |
| Kategoria | Bezpieczeństwo |
| Wydawca | Wydawnictwo Naukowe PWN |
| ISBN-13 | 978-83-01-19416-1 |
| Numer wydania | 2 |
| Język publikacji | polski |
| Informacja o sprzedawcy | ePWN sp. z o.o. |
Ciekawe propozycje
Spis treści
| Od Autora | 15 |
| 1. Wstęp | 27 |
| 1.1. Bezpieczeństwo informacji i usług a bezpieczeństwo teleinformatyczne | 27 |
| 1.2. Interdyscyplinarny charakter zagadnień i szczególna rola informatyki | 29 |
| 1.3. Podstawowe problemy bezpieczeństwa teleinformatycznego | 30 |
| 1.4. Dwa podejścia do zagadnień bezpieczeństwa | 30 |
| 1.5. Potrzeba tworzenia komputerowych narzędzi wspomagających | 31 |
| 2. Wprowadzenie do zarządzania bezpieczeństwem informacji i usług | 33 |
| 2.1. Bezpieczeństwo i jego atrybuty | 33 |
| 2.2. Wrażliwość informacji i krytyczność usług – istota ochrony | 35 |
| 2.3. Elementy bezpieczeństwa | 36 |
| 3. Normy, standardy i zalecenia | 45 |
| 3.1. Działalność połączonego komitetu technicznego ISO/IEC | 47 |
| 3.2. Raporty techniczne ISO/IEC TR 13335 | 48 |
| 3.3. Rozwój i znaczenie rodziny standardów BS 7799 | 51 |
| 3.4. Szczególne znaczenie standardu COBIT | 56 |
| 3.5. Kryteria oceny zabezpieczeń | 67 |
| 3.6. Standardy dotyczące rozwiązań technicznych | 68 |
| 3.7. Przygotowanie organizacji do działań audytorskich | 68 |
| 3.8. Zalecenia i inne wytyczne szczegółowe | 69 |
| 3.9. Aktualny stan rozwoju standardów i sposób ich wykorzystania | 70 |
| 4. Ryzyko w sensie ogólnym i technicznym | 74 |
| 4.1. Podstawy analizy ryzyka w sensie ogólnym | 75 |
| 4.2. Bezpieczeństwo funkcjonalne w świetle IEC 61508 | 79 |
| 4.3. Metody jakościowe oceny ryzyka | 82 |
| 4.3.1. Metoda wstępnej analizy ryzyka i hazardu | 82 |
| 4.3.2. Metoda HAZOP | 82 |
| 4.3.3. Metody analizy defektów | 83 |
| 4.4. Metody wykorzystujące struktury drzewiaste | 84 |
| 4.4.1. Metoda drzewa błędów | 84 |
| 4.4.2. Metoda drzewa zdarzeń | 85 |
| 4.4.3. Analiza przyczynowo-skutkowa | 87 |
| 4.4.4. Metoda inspekcji drzewa ryzyka | 87 |
| 4.4.5. Technika przeglądu organizacji zarządzania bezpieczeństwem | 88 |
| 4.5. Metody analizy dynamicznej | 89 |
| 4.5.1. Metoda GO | 89 |
| 4.5.2. Metody grafów | 89 |
| 4.5.3. Zastosowanie modeli Markowa | 90 |
| 4.5.4. Metoda DYLAM | 91 |
| 4.5.5. Metoda DETAM | 92 |
| 4.6. Podsumowanie przeglądu metod oceny ryzyka | 92 |
| 5. Analiza ryzyka i strategie zarządzania nim w teleinformatyce | 94 |
| 5.1. Podstawowe strategie zarządzania ryzykiem | 94 |
| 5.2. Ogólny schemat analizy ryzyka | 96 |
| 5.3. Metody kumulowania wielkości ryzyka | 97 |
| 5.3.1. Macierz predefiniowanych wartości | 97 |
| 5.3.2. Lista rankingowa zagrożeń | 97 |
| 5.3.3. Częstość zagrożeń | 98 |
| 5.3.4. Skala uproszczona wyrażająca tolerowanie ryzyka | 99 |
| 5.4. Podstawowe metody redukcji ryzyka | 100 |
| 5.4.1. Redukcja ryzyka przez stosowanie typowych zabezpieczeń – ochrona podstawowa | 101 |
| 5.4.2. Redukcja ryzyka wspierana nieformalną jego analizą | 102 |
| 5.4.3. Redukcja ryzyka wspierana jego szczegółową i formalną analizą | 104 |
| 5.4.4. Metoda mieszana (kombinowana) redukcji ryzyka | 104 |
| 6. Wybrane metody i komputerowe narzędzia wspomagające | 106 |
| 6.1. Komputerowe wspomaganie analizy i zarządzania ryzykiem | 106 |
| 6.2. Metodyka zarządzania ryzykiem opracowana w instytucie NIST | 108 |
| 6.2.1. Analiza ryzyka | 110 |
| 6.2.2. Ograniczanie ryzyka | 117 |
| 6.3. Metodyka szacowania zagrożeń i ryzyka (TRA) opracowana w CSE | 126 |
| 6.4. Metodyka CORA i komputerowe narzędzia wspomagające | 130 |
| 6.4.1. Zasady budowy modelu ryzyka | 134 |
| 6.4.2. Analiza modelu i wypracowanie optymalnej strategii ograniczania ryzyka | 136 |
| 6.5. Metodyka i oprogramowanie CRAMM | 142 |
| 6.5.1. CRAMM-Expert – faza przygotowawcza | 144 |
| 6.5.2. CRAMM-Expert – etap analizy zasobów | 144 |
| 6.5.3. CRAMM-Expert – etap analizy ryzyka | 146 |
| 6.5.4. CRAMM-Expert – etap zarządzania ryzykiem | 147 |
| 6.5.5. CRAMM-Expert – implementacja ISMS | 148 |
| 6.6. Oprogramowanie COBRA | 151 |
| 6.7. Metoda IRIS | 152 |
| 6.8. Oprogramowanie RiskPAC | 154 |
| 6.9. Oprogramowanie ASSET | 156 |
| 6.10. Inne wybrane metody i narzędzia | 158 |
| 6.10.1. Pakiet MARION | 158 |
| 6.10.2. Metoda VIR’94 | 158 |
| 6.10.3. Metoda MAGERIT | 159 |
| 6.10.4. Metoda MASSIA | 159 |
| 6.10.5. Metoda TISM | 159 |
| 6.10.6. Metoda SIM | 160 |
| 6.11. Przykłady analizatorów bezpieczeństwa i innych narzędzi wspomagających jego utrzymywanie na bieżąco | 161 |
| 6.11.1. Pakiet SARA | 161 |
| 6.11.2. Security Analyzer firmy NetIQ | 162 |
| 6.11.3. Security Manager firmy NetIQ | 162 |
| 6.11.4. Pakiet OmniGuard ESM firmy Axent | 163 |
| 6.11.5. Symantec Enterprise Security Manager | 163 |
| 6.11.6. Inne narzędzia wspomagające utrzymywanie bezpieczeństwa | 164 |
| 7. Trójpoziomowy model odniesienia | 165 |
| 7.1. Trójpoziomowy model hierarchii celów, strategii i polityki | 165 |
| 7.2. Hierarchiczna struktura dokumentacji bezpieczeństwa według modelu odniesienia | 169 |
| 7.3. Hierarchiczna struktura zarządzająca według modelu odniesienia | 171 |
| 7.3.1. Zaangażowanie zarządu instytucji | 173 |
| 7.3.2. Struktura organizacyjna zespołów odpowiedzialnych | 174 |
| 7.3.3. Skład i kompetencje rady ds. bezpieczeństwa teleinformatyki | 176 |
| 7.3.4. Inspektor bezpieczeństwa teleinformatycznego | 178 |
| 7.3.5. Oddziałowy inspektor bezpieczeństwa teleinformatycznego | 178 |
| 7.3.6. Inspektor bezpieczeństwa teleinformatycznego systemu lub realizowanego projektu | 179 |
| 7.4. Trójpoziomowy model odniesienia w praktyce | 179 |
| 7.5. Polityka a zarządzanie bezpieczeństwem | 181 |
| 8. System bezpieczeństwa instytucji | 182 |
| 8.1. Wprowadzenie | 182 |
| 8.2. Fazy realizacji i ogólny schemat funkcjonowania systemu bezpieczeństwa instytucji | 185 |
| 8.3. Zapis sformalizowany modelu trójpoziomowego | 191 |
| 8.4. Zapis sformalizowany procesów związanych z utrzymaniem bezpieczeństwa | 194 |
| 9. Bezpieczeństwo w instytucji | 199 |
| 9.1. Architektura systemu bezpieczeństwa instytucji | 200 |
| 9.2. Analiza procesów biznesowych ze względu na stopień zaangażowania systemów teleinformatycznych w ich realizację | 201 |
| 9.3. Ogólne potrzeby bezpieczeństwa systemów teleinformatycznych instytucji | 211 |
| 9.4. Formułowanie dokumentu polityki bezpieczeństwa instytucji | 214 |
| 9.5. Zarządzanie bezpieczeństwem na poziomie instytucji | 217 |
| 10. Ogólne zasady bezpieczeństwa teleinformatycznego w instytucji | 218 |
| 10.1. Architektura systemu bezpieczeństwa teleinformatycznego instytucji | 218 |
| 10.2. Cele bezpieczeństwa systemów teleinformatycznych instytucji | 221 |
| 10.3. Otoczenie prawne | 224 |
| 10.4. Wybór strategii redukcji ryzyka | 226 |
| 11. Wysokopoziomowa (ogólna) analiza ryzyka i wyznaczenie obszarów wymagających ochrony | 228 |
| 11.1. Wymagania ochronne | 229 |
| 11.2. Domeny bezpieczeństwa | 232 |
| 11.3. Przebieg wysokopoziomowej analizy ryzyka | 233 |
| 12. Koncepcja hierarchii zasobów | 236 |
| 12.1. Wprowadzenie | 236 |
| 12.2. Interpretacja praktyczna modelu | 238 |
| 12.3. Przekroje modelu | 241 |
| 12.4. Zbiór dostępnych typów zasobów | 241 |
| 12.5. Zbiór eksploatowanych zasobów | 244 |
| 12.6. Specjalne znaczenie klasy zasobów reprezentującej personel | 247 |
| 12.7. Znaczenie przekrojów modelu zasobów dla zarządzania bezpieczeństwem | 248 |
| 13. Przebieg szczegółowej analizy ryzyka w systemach teleinformatycznych | 249 |
| 13.1. Wprowadzenie | 249 |
| 13.2. Granice obszarów zajmowanych przez zasoby instytucji | 252 |
| 13.3. Analiza zasobów – identyfikacja i wycena | 252 |
| 13.3.1. Przygotowanie zbioru dostępnych zasobów | 253 |
| 13.3.2. Przygotowanie zbioru eksploatowanych zasobów | 253 |
| 13.3.3. Atrybuty przekroju zarządzania zasobami | 254 |
| 13.3.4. Wycena zasobów | 254 |
| 13.4. Ocena podatności | 259 |
| 13.5. Środowisko zagrożeń | 264 |
| 13.6. Identyfikacja istniejących lub planowanych zabezpieczeń | 267 |
| 13.7. Podsumowanie wyników analizy ryzyka | 269 |
| 14. Wzorce wymagań dotyczących zabezpieczeń | 276 |
| 14.1. Wzorcowa lista wymagań według PN-ISO/IEC 17799 (PN-I-07799-2) | 276 |
| 14.2. Tworzenie list wymagań na podstawie katalogu zabezpieczeń zapewniających ochronę podstawową | 282 |
| 14.3. Rekomendacje bankowe, normy branżowe, akty prawne | 284 |
| 15. Wypracowanie strategii wyboru zabezpieczeń | 287 |
| 15.1. Ustalanie listy wymagań, przyjmując cele bezpieczeństwa jako podstawowe ich źródło | 289 |
| 15.2. Ustalanie listy wymagań na podstawie listy wzorcowej | 291 |
| 15.3. Ustalanie listy wymagań na podstawie wyników analizy ryzyka | 292 |
| 16. Ogólne zasady tworzenia architektury bezpieczeństwa na poziomie II i III | 293 |
| 16.1. Podstawy tworzenia odrębnych wersji polityki bezpieczeństwa dla oddziałów instytucji (poziom IIa) | 293 |
| 16.1.1. Architektura systemu bezpieczeństwa teleinformatycznego na poziomie oddziałów instytucji | 294 |
| 16.1.2. Zarządzanie bezpieczeństwem na poziomie oddziałów instytucji | 295 |
| 16.2. Wpływ jednorodności wymagań na architekturę bezpieczeństwa | 296 |
| 16.3. Architektura systemu bezpieczeństwa na poziomie systemów teleinformatycznych | 297 |
| 17. Dobór zabezpieczeń na podstawie zdefiniowanych wymagań | 300 |
| 17.1. Wprowadzenie | 300 |
| 17.2. Identyfikacja ograniczeń | 303 |
| 17.3. Ogólna koncepcja ochrony podstawowej | 307 |
| 17.4. Dobór zabezpieczeń podstawowych według rodzaju systemu | 307 |
| 17.5. Dobór zabezpieczeń podstawowych według potrzeb bezpieczeństwa i zagrożeń | 312 |
| 17.6. Przykład metodyki ochrony podstawowej – IT Grundschutz | 316 |
| 17.6.1. Identyfikacja składników systemów teleinformatycznych | 319 |
| 17.6.2. Identyfikacja aplikacji oraz przetwarzanych informacji | 325 |
| 17.6.3. Określenie wymagań ochronnych dla elementów systemu | 327 |
| 17.6.4. Dobór zabezpieczeń zapewniających ochronę podstawową | 330 |
| 17.7. Dobór zabezpieczeń wynikających z analizy ryzyka | 339 |
| 17.7.1. System zarządzania bezpieczeństwem informacji ISMS i zawarte w nim podejście do redukcji ryzyka | 343 |
| 17.8. Uwzględnienie architektury systemów w architekturze bezpieczeństwa na poziomie systemów teleinformatycznych | 356 |
| 17.9. Akceptacja ryzyka | 357 |
| 18. Polityka bezpieczeństwa teleinformatycznego – ogółu systemów teleinformatycznych w instytucji (poziom II) | 360 |
| 18.1. Zasady konstruowania | 360 |
| 18.2. Zawartość i przykłady | 362 |
| 18.3. Zarządzanie bezpieczeństwem na poziomie systemów teleinformatycznych instytucji | 366 |
| 19. Polityka dotycząca bezpieczeństwa poszczególnych systemów (poziomu III) i plany zabezpieczeń | 368 |
| 19.1. Zasady konstruowania | 368 |
| 19.2. Zawartość dokumentu | 369 |
| 19.3. Plany zabezpieczeń poszczególnych systemów | 371 |
| 19.4. Zarządzanie bezpieczeństwem na poziomie systemów | 373 |
| 20. Procesy wdrożeniowe | 374 |
| 20.1. Wdrożenie zabezpieczeń | 375 |
| 20.1.1. Opracowanie dokumentacji wdrażanych zabezpieczeń | 376 |
| 20.1.2. Realizacja planu zabezpieczeń i weryfikacja jego skuteczności | 378 |
| 20.2. Działania uświadamiające i ich nadzorowanie | 380 |
| 20.3. Szkolenia | 384 |
| 20.4. Akredytacja systemów | 387 |
| 21. Czynności powdrożeniowe | 391 |
| 21.1. Wykrywanie zmian i zarządzanie zmianami | 392 |
| 21.2. Monitorowanie elementów systemu bezpieczeństwa | 394 |
| 21.3. Zarządzanie zabezpieczeniami i utrzymywanie ich skuteczności | 398 |
| 21.4. Kontrola zgodności | 399 |
| 21.5. Zarządzanie incydentami i doskonalenie systemu bezpieczeństwa | 404 |
| 22. Wnioski i uwagi końcowe | 412 |
| Wykaz niektórych skrótów angielskich i polskich oraz oznaczeń | 416 |
| Literatura | 424 |
| Dodatki | 435 |
| I. Przykład polityki dotyczącej bezpieczeństwa instytucji (poziom I) | 437 |
| I.1. Deklaracja o ustanowieniu Polityki Bezpieczeństwa Firmy e-GADGET sp. z o.o. | 437 |
| I.2. Cel opracowania i zawartość dokumentu | 438 |
| I.3. Podstawy normatywne | 439 |
| I.4. Podstawy prawne | 439 |
| I.5. Zakres oddziaływania polityki | 439 |
| I.6. Bezpieczeństwo w Firmie e-GADGET | 440 |
| I.7. Role i odpowiedzialność | 441 |
| I.8. Rozpowszechnianie i zarządzanie dokumentem polityki | 442 |
| I.9. Załączniki | 442 |
| I.9.1. Regulaminy, instrukcje, procedury | 442 |
| I.9.2. Role dotyczące bezpieczeństwa teleinformatycznego | 442 |
| I.10. Odwołanie do Polityki Bezpieczeństwa Teleinformatycznego Firmy e-GADGET sp. z o.o. | 442 |
| II. Przykład polityki dotyczącej bezpieczeństwa teleinformatycznego instytucji (poziom II) | 444 |
| II.1. Umocowanie prawne | 444 |
| II.2. Cel opracowania i zawartość dokumentu | 444 |
| II.3. Podstawy normatywne i terminologia | 445 |
| II.4. Podstawy prawne | 445 |
| II.5. Zakres oddziaływania | 446 |
| II.6. Bezpieczeństwo informacji i usług elektronicznych w Firmie e-GADGET | 446 |
| II.6.1. Procesy biznesowe wspierane przez technologie teleinformatyczne | 446 |
| II.6.2. Postanowienia ogólne | 449 |
| II.6.3. Postępowanie wobec ryzyka | 451 |
| II.6.4. Otoczenie prawne i identyfikacja zasobów | 452 |
| II.6.5. Ogólne potrzeby bezpieczeństwa wynikające z procesów biznesowych, wspomaganych w realizacji technologiami teleinformatycznymi | 460 |
| II.6.6. Wnioski ogólne z analizy ryzyka | 460 |
| II.6.7. Metoda postępowania przy tworzeniu systemu bezpieczeństwa | 461 |
| II.6.8. Cele zabezpieczeń i ogólne strategie | 462 |
| II.6.9. Szczegółowe zasady i wymagania dotyczące zabezpieczeń | 465 |
| II.6.9.1. Wymagania dotyczące dokumentu polityki bezpieczeństwa | 465 |
| II.6.9.2. Wymagania dotyczące organizacji systemu bezpieczeństwa | 465 |
| II.6.9.3. Klasyfikacja i nadzór nad zasobami | 467 |
| II.6.9.4. Bezpieczeństwo osobowe | 467 |
| II.6.9.5. Bezpieczeństwo fizyczne i środowiskowe | 468 |
| II.6.9.6. Zarządzanie systemem | 469 |
| II.6.9.7. Kontrola dostępu | 471 |
| II.6.9.8. Rozwój i utrzymanie systemów | 472 |
| II.6.9.9. Ciągłość procesów biznesowych | 474 |
| II.6.9.10. Zgodność | 474 |
| II.7. Role i odpowiedzialność | 475 |
| II.7.1. Ogólna organizacja służb odpowiedzialnych i ich role | 475 |
| II.7.2. Komitet Bezpieczeństwa Teleinformatycznego (KBTI) | 476 |
| II.7.3. Zespół Bezpieczeństwa Teleinformatycznego (ZBTI) | 477 |
| II.7.4. Pion Eksploatacji (PE) | 478 |
| II.7.5. Użytkownicy i inni pracownicy | 478 |
| II.7.6. Postanowienia dodatkowe | 480 |
| II.7.7. Odpowiedzialność za naruszenia polityki | 480 |
| II.8. Rozpowszechnianie i zarządzanie dokumentem polityki | 481 |
| II.9. Załączniki | 481 |
| II.9.1. Normy i zalecenia wykorzystywane do tworzenia polityki | 481 |
| II.9.2. Definicje wykorzystywanych pojęć | 482 |
| II.9.3. Tajemnice prawnie chronione, występujące w Firmie e-GADGET jako element otoczenia prawnego, oznaczane jako EG-POUFNE | 485 |
| II.9.4. Tajemnice przedsiębiorstwa chronione na zasadach wzajemności, na podstawie wielostronnych umów zawartych przez Firmę e-GADGET, oznaczane EG-POUFNE | 486 |
| II.9.5. Tajemnice przedsiębiorstwa określone na podstawie zarządzeń wewnętrznych w Firmie e-GADGET, oznaczane EG-POUFNE | 486 |
| II.9.6. Działania zgodne z prawem, występujące w Firmie e-GADGET jako element otoczenia prawnego | 487 |
| II.9.7. Regulaminy, instrukcje, procedury, wzorce dokumentów | 487 |
| II.9.8. Role członków zarządu | 488 |
| II.9.9. Role w Pionie Bezpieczeństwa | 488 |
| II.9.10. Role dotyczące właścicieli zasobów | 488 |
| II.9.11. Role w Pionie Eksploatacji | 489 |
| II.9.12. Uregulowania specjalne dotyczące ról | 489 |
| II.9.13. Dokumentacja projektowa i plany | 489 |
| II.10. Odwołanie do polityki dotyczącej bezpieczeństwa poszczególnych systemów teleinformatycznych w Firmie e-GADGET sp. z o.o. | 490 |
| III. Przykład polityki dotyczącej bezpieczeństwa systemów informacyjnych instytucji w układzie ISMS | 491 |
| III.1. Wprowadzenie | 491 |
| III.2. Cel opracowania | 491 |
| III.3. Zakres oddziaływania | 492 |
| III.4. Zasady polityki | 492 |
| III.5. Zasady odpowiedzialności za bezpieczeństwo | 494 |
| III.5.1. Zasady ogólne | 494 |
| III.5.2. Odpowiedzialność kierownictwa firmy | 494 |
| III.5.3. Odpowiedzialność Inspektora Bezpieczeństwa Informacji | 494 |
| III.5.4. Odpowiedzialność Inspektora Bezpieczeństwa Technologii Informatycznych | 495 |
| III.5.5. Odpowiedzialność ogólna | 496 |
| III.6. Wskazania ogólne | 496 |
| III.7. Przegląd dokumentu polityki | 496 |
| III.8. Dokumenty związane | 496 |
| IV. Specyfikacja zagadnień bezpieczeństwa zawartych w normie PN-ISO/IEC 17799 | 497 |
| V. Specyfikacja zagadnień bezpieczeństwa organizacyjnego i fizycznego zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według specyficznych cech systemu | 506 |
| VI. Specyfikacja zagadnień bezpieczeństwa teleinformatycznego zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według specyficznych cech systemu | 515 |
| VII. Specyfikacja zagadnień bezpieczeństwa w układzie według zagrożeń zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według zagrożeń | 521 |
| Skorowidz | 541 |
Wypożyczaj w abonamencie!
Już od 2,66 zł za ebooka
