Analiza ryzyka i ochrona informacji w systemach komputerowych

Analiza ryzyka i ochrona informacji w systemach komputerowych

8 ocen

Format:

ibuk

WYBIERZ RODZAJ DOSTĘPU

 

Dostęp online przez myIBUK

WYBIERZ DŁUGOŚĆ DOSTĘPU

6,15

Wypożycz na 24h i opłać sms-em

9,95

cena zawiera podatek VAT

ZAPŁAĆ SMS-EM

TA KSIĄŻKA JEST W ABONAMENCIE

Już od 19,90 zł miesięcznie za 5 ebooków!

WYBIERZ SWÓJ ABONAMENT

Autor cieszącego się dużym zainteresowaniem czytelników Podręcznika administratora bezpieczeństwa teleinformatycznego przedstawia swoją nową książkę, w której zamieścił rozważania na temat związków projektowania systemów ochrony informacji z analizą ryzyka i „pomiarami bezpieczeństwa” oraz wymaganiami normy PN-ISO/IEC 27001:2007.

Praca zawiera także szczegółowy opis autorskiej metodyki L-RAC analizy i kontrolowania ryzyka w zakresie bezpieczeństwa teleinformatycznego. Cechą charakterystyczną metodyki jest standard opisu jednolity z przyjętym w metodyce audytu bezpieczeństwa teleinformatycznego LP-A oraz pokazanie związków z zapisami normy PN-ISO/IEC 27001:2007. Metodyka L-RAC może zostać zaadaptowana także w innych obszarach szeroko rozumianej analizy bezpieczeństwa w firmie: bezpieczeństwa energetycznego, bezpieczeństwa transportu cennych ładunków oraz bezpieczeństwa składowania cennych lub niebezpiecznych materiałów.

Na treść książki składają się następujące tematy:

- „bezpieczeństwo informacji” i „system ochrony informacji” – ustalenie terminologii;
- przedstawienie powiązań procesów biznesowych z procesami ochrony informacji;
- ryzyko i zarządzanie ryzykiem na potrzeby ochrony informacji: charakterystyka procesu zarządzania ryzykiem, szacowanie ryzyka, kontrolowanie ryzyka poprzez stosowanie zabezpieczeń, ryzyko akceptowalne i koszty postępowania z ryzykiem, administrowanie ryzykiem (w tym dyskusja na temat struktur organizacyjnych uwikłanych w ocenę bezpieczeństwa teleinformatycznego i zarządzanie ryzykiem);
- audyt bezpieczeństwa teleinformatycznego jako proces testowania organizacji pod kątem jej zdolności do ochrony informacji;
- normy i standardy wspomagające proces oceny stopnia ochrony informacji przez produkt (ISO/IEC 15408) oraz ocenę systemu zarządzania bezpieczeństwem informacji (PN-ISO/IEC 27001, COBIT);
- rozważania o możliwości „pomiaru” bezpieczeństwa;
- projektowanie systemu ochrony informacji jako szczególny przypadek standardowego przedsięwzięcia projektowego: zarządzanie projektem, etapy cyklu rozwojowego, koncepcja architektury, dokumentowanie systemu bezpieczeństwa, itp.;
- metodyka L-RAC analizy i kontrolowania ryzyka w zakresie bezpieczeństwa teleinformatycznego.

Książka przydatna osobom odpowiedzialnym za bezpieczeństwo (pełnomocnikom ds. bezpieczeństwa, administratorom bezpieczeństwa informacji, administratorom systemów), kadrze kierowniczej działów teleinformatyki, jak również, w pewnym zakresie, wyższej kadrze menedżerskiej chcącej wyrobić sobie pogląd na zakres niezbędnych przedsięwzięć związanych z analizą ryzyka na potrzeby bezpieczeństwa teleinformatycznego oraz z projektowaniem i wdrażaniem systemów ochrony informacji. Polecamy ją także studentom, którzy w programie studiów mają przedmioty związane z bezpieczeństwem teleinformatycznym.


Liczba stron288
WydawcaWydawnictwo Naukowe PWN
ISBN-13978-83-01-15370-0
Numer wydania1
Język publikacjipolski
Informacja o sprzedawcyRavelo Sp. z o.o.

Ciekawe propozycje

Spis treści

  Podziękowania    6
  Wstęp    7
  Rozdział 1. O informacji, bezpieczeństwie i systemie ochrony    9
    1.1. O informacji    10
    1.2. O bezpieczeństwie    11
    1.3. O systemie ochrony informacji*    14
  Rozdział 2. O procesach    25
    2.1. Procesy biznesowe w analizie ryzyka    26
  Rozdział 3. O zasobach, ich inwentaryzacji i klasyfikacji    31
    3.1. Inwentaryzacja zasobów teleinformatycznych    31
    3.2. Klasyfikacja zasobów teleinformatycznych    32
    3.3. Ocena wartości zasobów informacyjnych    35
  Rozdział 4. O zagrożeniach i podatnościach    39
    4.1. Rozważania o zagrożeniach    40
    4.2. Jak szukać zagrożeń – pytania i podpowiedzi    49
    4.3. Burza mózgów – przykład techniki identyfikacji zagrożeń    53
      4.3.1. Generowanie zagrożeń/scenariuszy    56
      4.3.2. Redukcja zbioru zagrożeń    56
      4.3.3. Nadawanie priorytetów scenariuszom    56
    4.4. Podatności    57
  Rozdział 5. O pomiarach bezpieczeństwa teleinformatycznego    59
    5.1. Pomiar    61
    5.2. Elementy formalnej teorii pomiaru*    62
    5.3. Omówienie wymagań definicji pomiaru    64
      5.3.1. Określenie przedmiotu pomiaru    64
      5.3.2. Przyporządkowanie liczb (miar)    64
      5.3.3. Obiektywność    65
      5.3.4. Empiryczność    66
    5.4. Uwagi końcowe o „mierzeniu” bezpieczeństwa    66
  Rozdział 6. O ryzyku i zarządzaniu ryzykiem    69
    6.1. Ryzyko a problemy decyzyjne*    71
    6.2. Charakterystyka procesu zarządzania ryzykiem    76
    6.3. Analiza ryzyka – identyfikacja zagrożeń, podatności i środowiska    78
    6.4. Identyfikacja wymagań dotyczących poziomu ochrony    81
    6.5. Analiza ryzyka – szacowanie ryzyka    83
      6.5.1. Oszacowanie ryzyka – metoda ilościowa (studium przypadku)    86
      6.5.2. Oszacowanie ryzyka – metoda jakościowa (wytyczne raportu technicznego ISO/IEC TR 13335-3)    91
      6.5.3. Szacowanie ryzyka – analiza bezpieczeństwa systemów sterowania    99
    6.6. Reakcja na ryzyko    102
      6.6.1. Kontrolowanie ryzyka poprzez stosowanie zabezpieczeń    104
      6.6.2. Akceptacja ryzyka szczątkowego    109
      6.6.3. Ryzyko akceptowalne i koszty postępowania z ryzykiem    111
    6.7. Administrowanie ryzykiem    115
      6.7.1. Zadania, czynności i zakresy kompetencji – organizacja procesu zarządzania ryzykiem    117
    6.8. Podsumowanie rozważań o analizie ryzyka    122
  Rozdział 7. O testowaniu i audycie    125
    7.1. Przegląd rodzajów badań    125
    7.2. Ocena bezpieczeństwa teleinformatycznego    127
    7.3. Audyt    129
    7.4. Audyt i certyfikowanie SZBI    143
  Rozdział 8. O standardach    149
    8.1. Common Criteria i norma ISO/IEC 15408    151
    8.2. COBITTM– standard ładu informatycznego    161
    8.3. BS 7799 i norma PN-ISO/IEC 27001:2007: Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji –Wymagania    164
      8.3.1. Zawartość normy PN-ISO/IEC 27001:2007: Technika informatyczna –Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania    166
      8.3.2. System zarządzania bezpieczeństwem informacji (SZBI)    169
      8.3.3. Normatywny zbiór zabezpieczeń – załącznik A normy PN-ISO/IEC 27001    173
  Rozdział 9. O projektowaniu    177
    9.1. Cykl życia systemu bezpieczeństwa teleinformatycznego    178
    9.2. Zarządzanie projektowaniem i budową systemu bezpieczeństwa teleinformatycznego    181
    9.3. System bezpieczeństwa teleinformatycznego – koncepcja    183
      9.3.1. Kompleksowość i dekompozycja    184
      9.3.2. Przesłanki budowy „w głąb” systemu ochrony    188
    9.4. Architektura systemu bezpieczeństwa teleinformatycznego    188
    9.5. Analiza i projektowanie systemu bezpieczeństwa teleinformatycznego    192
      9.5.1. Etap analizy    192
      9.5.2. Etap projektowania    193
      9.5.3. Wzorce projektowe    196
    9.6. Ograniczenia procesu projektowania    197
    9.7. Dokumentowanie prac projektowych    197
  Załącznik. Metodyka L-RAC analizy i kontrolowania ryzyka w zakresie bezpieczeństwa teleinformatycznego    204
    Wykaz używanych terminów i symboli graficznych    204
      Terminy    204
      Symbole graficzne na diagramach DFD (ang. data flow diagram)    208
    Wstęp    209
    Rozdział Z1 Komentarze do procesów    213
      Z1.1. Proces identyfikacji środowiska (proces 1.3 i 1.4)    214
        Z1.1.1. Identyfikacja procesów i ich właścicieli (proces 1.3)    214
        Z1.1.2. Identyfikacja zasobów teleinformatycznych (proces 1.4)    216
      Z1.2. Proces identyfikacji zagrożeń i podatności (proces 2.1)    216
        Z1.2.1. Zagrożenia (proces 2.1.1)    216
        Z1.2.2. Podatności (proces 2.1.2)    218
        Z1.2.3. Udziałowcy    219
      Z1.3. Proces określania możliwości realizacji zagrożenia (proces 2.2)    220
      Z1.4. Proces redukowania ryzyka (proces 2.4)    222
    Rozdział Z2 Wskazówki do realizacji procesów i sporządzania dokumentów    225
      Z2.1. Skład zespołu analizy i kontroli ryzyka    225
      Z2.2. Wyposażenie narzędziowe zespołu    225
      Z2.3. Etap przygotowawczy analizy i kontrolowania ryzyka    226
      Z2.4. Burza mózgów (proces 2.1.1. i proces 2.1.2.)    228
      Z2.5. Dobór zabezpieczeń a zalecenia normy PN-ISO/IEC 27001:2007 (proces 2.4.2 i proces 2.4.3)    229
      Z2.6. Analiza koszty/korzyści (proces 2.4.3) i optymalizacja kosztów zabezpieczeń (proces 2.4.4)    231
    Rozdział Z3 Specyfikacja dokumentów analizy ryzyka    236
      Z3.1. Tabele IPO    236
      Z3.2. Specyfikacja zbiorcza dokumentów    247
    Rozdział Z4 Diagramy przepływu danych    252
    Rozdział Z5 Wzorce-przykłady dokumentów    262
      Z5.1. Dokumenty tabelaryczne    262
      Z5.2. Dokumenty – arkusze z sesji burzy mózgów    266
    Rozdział Z6. Mapowanie procesów metodyki L-ARC na odnoszące się do ryzyka wymagania normy PN-ISO/IEC 27001:2007    268
      Z6.1. Wyciąg z normy PN-ISO/IEC 27001:2007    268
      Z6.2. Mapowanie    272
    Zakończenie    277
  Literatura    279
  Skorowidz    285
RozwińZwiń
W celu zapewnienia wysokiej jakości świadczonych przez nas usług, nasz portal internetowy wykorzystuje informacje przechowywane w przeglądarce internetowej w formie tzw. „cookies”. Poruszając się po naszej stronie internetowej wyrażasz zgodę na wykorzystywanie przez nas „cookies”. Informacje o przechowywaniu „cookies”, warunkach ich przechowywania i uzyskiwania dostępu do nich znajdują się w Regulaminie.

Nie pokazuj więcej tego powiadomienia