Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie
Odpowiedzialność: | Andrzej Białas. |
Hasła: | Bezpieczeństwo informacyjne Bezpieczeństwo teleinformatyczne Bezpieczeństwo systemów |
Adres wydawniczy: | Warszawa : PWN, 2017. |
Wydanie: | Wydanie II - 1 dodruk (PWN). |
Opis fizyczny: | 550 stron : ilustracje ; 24 cm. |
Uwagi: | Na okładce i stronie tytułowej oznaczenie: Wydawnictwo WNT. Indeks. |
Forma gatunek: | Książki. Publikacje naukowe. Publikacje fachowe. Publikacje dydaktyczne. |
Dziedzina: | Informatyka i technologie informacyjne Bezpieczeństwo i wojskowość |
Powstanie dzieła: | 2006 r. |
Skocz do: | Inne pozycje tego autora w zbiorach biblioteki |
Dodaj recenzje, komentarz |
- Od Autora
- 1. Wstęp
- 1.1. Bezpieczeństwo informacji i usług a bezpieczeństwo
- teleinformatyczne
- 1.2. Interdyscyplinarny charakter zagadnień i szczególna
- rola informatyki
- 1.3. Podstawowe problemy bezpieczeństwa teleinformatycznego
- 1.4. Dwa podejścia do zagadnień bezpieczeństwa
- 1.5. Potrzeba tworzenia komputerowych narzędzi wspomagających
- 2. Wprowadzenie do zarządzania bezpieczeństwem
- informacji i usług
- 2.1. Bezpieczeństwo i jego atrybuty
- 2.2. Wrażliwość informacji i krytyczność usług - istota ochrony
- 2.3. Elementy bezpieczeństwa
- 3. Normy, standardy i zalecenia
- 3.1. Działalność połączonego komitetu technicznego ISO/IEC
- 3.2. Raporty techniczne ISO/IEC TR13335
- 3.3. Rozwój i znaczenie rodziny standardów BS 7799
- 3.4. Szczególne znaczenie standardu COBIT
- 3.5. Kryteria oceny zabezpieczeń
- 3.6. Standardy dotyczące rozwiązań technicznych
- 3.7. Przygotowanie organizacji do działań audytorskich
- 3.8. Zalecenia i inne wytyczne szczegółowe
- 3.9. Aktualny stan rozwoju standardów i sposób
- ich wykorzystania
- 4. Ryzyko w sensie ogólnym i technicznym
- 4.1. Podstawy analizy ryzyka w sensie ogólnym
- 4.2. Bezpieczeństwo funkcjonalne w świetle 1EC 61508
- 4.3. Metody jakościowe oceny ryzyka
- 4.3.1. Metoda wstępnej analizy ryzyka i hazardu
- 4.3.2. Metoda HAZOP
- 4.3.3. Metody analizy defektów
- 4.4. Metody wykorzystujące struktury drzewiaste
- 4.4.1. Metoda drzewa błędów
- 4.4.2. Metoda drzewa zdarzeń
- 4.4.3. Analiza przyczynowo-skutkowa
- 4.4.4. Metoda inspekcji drzewa ryzyka
- 4.4.5. Technika przeglądu organizacji zarządzania
- bezpieczeństwem
- 4.5. Metody analizy dynamicznej
- 4.5.1. Metoda GO
- 4.5.2. Metody grafów
- 4.5.3. Zastosowanie modeli Markowa
- 4.5.4. Metoda DYLAM
- 4.5.5. Metoda DETAM
- 4.6. Podsumowanie przeglądu metod oceny ryzyka
- 5. Analiza ryzyka i strategie zarządzania nim
- w teleinformatyce
- 5.1. Podstawowe strategie zarządzania ryzykiem
- 5.2. Ogólny schemat analizy ryzyka
- 5.3. Metody kumulowania wielkości ryzyka
- 5.3.1. Macierz predefiniowanych wartości
- 5.3.2. Lista rankingowa zagrożeń
- 5.3.3. Częstość zagrożeń
- 5.3.4. Skala uproszczona wyrażająca tolerowanie ryzyka
- 5.4. Podstawowe metody redukcji ryzyka
- 5.4.1. Redukcja ryzyka przez stosowanie typowych
- zabezpieczeń - ochrona podstawowa
- 5.4.2. Redukcja ryzyka wspierana nieformalną jego analizą
- 5.4.3. Redukcja ryzyka wspierana jego szczegółową i formalną analizą
- 5.4.4. Metoda mieszana (kombinowana) redukcji ryzyka
- 6. Wybrane metody i komputerowe narzędzia
- wspomagające
- 6.1. Komputerowe wspomaganie analizy i zarządzania ryzykiem
- 6.2. Metodyka zarządzania ryzykiem opracowana
- w instytucie NIST
- 6.2.1. Analiza ryzyka
- 6.2.2. Ograniczanie ryzyka
- 6.3. Metodyka szacowania zagrożeń i ryzyka (TRA)
- opracowana w CSE
- 6.4. Metodyka CÓRA i komputerowe narzędzia wspomagające
- 6.4.1. Zasady budowy modelu ryzyka
- 6.4.2. Analiza modelu i wypracowanie optymalnej strategu
- ograniczania ryzyka
- 6.5. Metodyka i oprogramowanie CRAMM
- 6.5.1. CRAMM-Expert - faza przygotowawcza
- 6.5.2. CRAMM-Expert - etap analizy zasobów
- 6.5.3. CRAMM-Expert - etap analizy ryzyka
- 6.5.4. CRAMM-Expert - etap zarządzania ryzykiem
- 6.5.5. CRAMM-Expert - implementacja ISMS
- 6.6. Oprogramowanie COBRA
- 6.7. Metoda IRIS
- 6.8. Oprogramowanie RiskPAC
- 6.9. Oprogramowanie ASSET
- 6.10. Inne wybrane metody i narzędzia
- 6.10.1. Pakiet MAR1ON
- 6.10.2. Metoda VIR‘94
- 6.10.3. Metoda MAGERIT
- 6.10.4. Metoda MASS1A
- 6.10.5. Metoda TISM
- 6.10.6. Metoda SIM
- 6.11. Przykłady analizatorów bezpieczeństwa i innych narzędzi
- wspomagających jego utrzymywanie na bieżąco
- 6.11.1. Pakiet SARA
- 6.11.2. Security Analyzer firmy NetIQ
- 6.11.3. Security Manager firmy NetIQ
- 6.11.4. Pakiet OmniGuard ESM firmy Axent
- 6.11.5. Symantec Enterprise Security Manager
- 6.11.6. Inne narzędzia wspomagające utrzymywanie bezpieczeństwa
- 7. Trójpoziomowy model odniesienia
- 7.1. Trójpoziomowy model hierarchii celów, strategii i polityki
- 7.2. Hierarchiczna struktura dokumentacji bezpieczeństwa
- według modelu odniesienia
- 7.3. Hierarchiczna struktura zarządzająca według
- modelu odniesienia
- 7.3.1. Zaangażowanie zarządu instytucji
- 7.3.2. Struktura organizacyjna zespołÃ³w odpowiedzialnych
- 7.3.3. Skład i kompetencje rady ds. bezpieczeństwa teleinformatyki
- 7.3.4. Inspektor bezpieczeństwa teleinformatycznego
- 7.3.5. Oddziałowy inspektor bezpieczeństwa teleinformatycznego
- 7.3.6. Inspektor bezpieczeństwa teleinformatycznego systemu
- lub realizowanego projektu
- 7.4. Trójpoziomowy model odniesienia w praktyce
- 7.5. Polityka a zarządzanie bezpieczeństwem
- 8. System bezpieczeństwa instytucji
- 8.1. Wprowadzenie
- 8.2. Fazy realizacji i ogólny schemat funkcjonowania systemu
- bezpieczeństwa instytucji
- 8.3. Zapis sformalizowany modelu trójpoziomowego
- 8.4. Zapis sformalizowany procesów związanych z utrzymaniem
- bezpieczeństwa
- 9. Bezpieczeństwo w instytucji
- 9.1. Architektura systemu bezpieczeństwa instytucji
- 9.2. Analiza procesów biznesowych ze względu na stopień
- zaangażowania systemów teleinformatycznych w ich realizację
- 9.3. Ogólne potrzeby bezpieczeństwa systemów
- teleinformatycznych instytucji
- 9.4. Formułowanie dokumentu polityki bezpieczeństwa instytucji
- 9.5. Zarządzanie bezpieczeństwem na poziomie instytucji
- 10. Ogólne zasady bezpieczeństwa teleinformatycznego
- w instytucji
- 10.1. Architektura systemu bezpieczeństwa teleinformatycznego
- instytucji
- 10.2. Cele bezpieczeństwa systemów teleinformatycznych instytucji
- 10.3. Otoczenie prawne
- 10.4. Wybór strategii redukcji ryzyka
- 11. Wysokopoziomowa (ogólna) analiza ryzyka i wyznaczenie
- obszarów wymagających ochrony
- 11.1. Wymagania ochronne
- 11.2. Domeny bezpieczeństwa
- 11.3. Przebieg wysokopoziomowej analizy ryzyka
- 12. Koncepcja hierarchii zasobów
- 12.1. Wprowadzenie
- 12.2. Interpretacja praktyczna modelu
- 12.3. Przekroje modelu
- 12.4. Zbiór dostępnych typów zasobów
- 12.5. Zbiór eksploatowanych zasobów
- 12.6. Specjalne znaczenie klasy zasobów reprezentującej personel
- 12.7. Znaczenie przekrojów modelu zasobów dla zarządzania
- bezpieczeństwem
- 13. Przebieg szczegółowej analizy ryzyka w systemach
- teleinformatycznych
- 13.1. Wprowadzenie
- 13.2. Granice obszarów zajmowanych przez zasoby instytucji
- 13.3. Analiza zasobów - identyfikacja i wycena
- 13.3.1. Przygotowanie zbioru dostępnych zasobów
- 13.3.2. Przygotowanie zbioru eksploatowanych zasobów
- 13.3.3. Atrybuty przekroju zarządzania zasobami
- 13.3.4. Wycena zasobów
- 13.4. Ocena podatności
- 13.5. Środowisko zagrożeń
- 13.6. Identyfikacja istniejących lub planowanych zabezpieczeń
- 13.7. Podsumowanie wyników analizy ryzyka
- 14. Wzorce wymagań dotyczących zabezpieczeń
- 14.1. Wzorcowa lista wymagań
- według PN-ISO/IEC 17799 (PN-I-07799-2)
- 14.2. Tworzenie list wymagań na podstawie katalogu
- zabezpieczeń zapewniających ochronę podstawową
- 14.3. Rekomendacje bankowe, normy branżowe, akty prawne
- 15. Wypracowanie strategii wyboru zabezpieczeń
- 15.1. Ustalanie listy wymagań, przyjmując cele bezpieczeństwa
- jako podstawowe ich źródło
- 15.2. Ustalanie listy wymagań na podstawie listy wzorcowej
- 15.3. Ustalanie listy wymagań na podstawie wyników analizy ryzyka
- 16. Ogólne zasady tworzenia architektury
- bezpieczeństwa na poziomie II i III
- 16.1. Podstawy tworzenia odrębnych wersji polityki bezpieczeństwa
- dla oddziałÃ³w instytucji (poziom Ha)
- 16.1.1. Architektura systemu bezpieczeństwa teleinformatycznego
- na poziomie oddziałÃ³w instytucji
- 16.1.2. Zarządzanie bezpieczeństwem na poziomie oddziałÃ³w
- instytucji
- 16.2. Wpływ jednorodności wymagań na architekturę
- bezpieczeństwa
- 16.3. Architektura systemu bezpieczeństwa na poziomie
- systemów teleinformatycznych
- 17. Dobór zabezpieczeń na podstawie zdefiniowanych
- wymagań
- 17.1. Wprowadzenie
- 17.2. Identyfikacja ograniczeń
- 17.3. Ogólna koncepcja ochrony podstawowej
- 17.4. Dobór zabezpieczeń podstawowych według rodzaju systemu
- 17.5. Dobór zabezpieczeń podstawowych według potrzeb
- bezpieczeństwa i zagrożeń
- 17.6. Przykład metodyki ochrony podstawowej - IT Grundschutz
- 17.6.1. Identyfikacja składników systemów teleinformatycznych
- 17.6.2. Identyfikacja aplikacji oraz przetwarzanych informacji
- 17.6.3. Określenie wymagań ochronnych dla elementów systemu
- 17.6.4. Dobór zabezpieczeń zapewniających ochronę podstawową
- 17.7. Dobór zabezpieczeń wynikających z analizy ryzyka
- 17.7.1. System zarządzania bezpieczeństwem informacji iSMS
- i zawarte w nim podejście do redukcji ryzyka
- 17.8. Uwzględnienie architektury systemów w architekturze
- bezpieczeństwa na poziomie systemów teleinformatycznych
- 17.9. Akceptacja ryzyka
- 18. Polityka bezpieczeństwa teleinformatycznego - ogółu
- systemów teleinformatycznych w instytucji (poziom II)
- 18.1. Zasady konstruowania
- 18.2. Zawartość i przykłady
- 18.3. Zarządzanie bezpieczeństwem na poziomie systemów
- teleinformatycznych instytucji
- 19. Polityka dotycząca bezpieczeństwa poszczególnych
- systemów (poziomu III) i plany zabezpieczeń
- 19.1. Zasady konstruowania
- 19.2. Zawartość dokumentu
- 19.3. Plany zabezpieczeń poszczególnych systemów
- 19.4. Zarządzanie bezpieczeństwem na poziomie systemów
- 20. Procesy wdrożeniowe
- 20.1. Wdrożenie zabezpieczeń
- 20.1.1. Opracowanie dokumentacji wdrażanych zabezpieczeń
- 20.1.2. Realizacja planu zabezpieczeń i weryfikacja jego skuteczności
- 20.2. Działania uświadamiające i ich nadzorowanie
- 20.3. Szkolenia
- 20.4. Akredytacja systemów
- 21. Czynności powdrożeniowe
- 21.1. Wykrywanie zmian i zarządzanie zmianami
- 21.2. Monitorowanie elementów systemu bezpieczeństwa
- 21.3. Zarządzanie zabezpieczeniami i utrzymywanie
- ich skuteczności
- 21.4. Kontrola zgodności
- 21.5. Zarządzanie incydentami i doskonalenie
- systemu bezpieczeństwa
- 22. Wnioski i uwagi końcowe
- Wykaz niektórych skrótów angielskich i polskich
- oraz oznaczeń
- Literatura
- Dodatki
- I. Przykład polityki dotyczącej bezpieczeństwa
- instytucji (poziom I)
- I.1. Deklaracja o ustanowieniu Polityki Bezpieczeństwa
- Firmy e-GADGET sp. z o.o
- I.2. Cel opracowania i zawartość dokumentu
- I.3. Podstawy normatywne
- I.4. Podstawy prawne
- I.5. Zakres oddziaływania polityki
- I.6. Bezpieczeństwo w Firmie e-GADGET
- I.7. Role i odpowiedzialność
- I.8. Rozpowszechnianie i zarządzanie dokumentem polityki
- I.9. Załączniki
- I.9.1. Regulaminy, instrukcje, procedury
- I.9.2. Role dotyczące bezpieczeństwa teleinformatycznego
- I.10. Odwołanie do Polityki Bezpieczeństwa
- Teleinformatycznego Firmy e-GADGET sp. z o.o
- II. Przykład polityki dotyczącej bezpieczeństwa
- teleinformatycznego instytucji (poziom II)
- II.1. Umocowanie prawne
- II.2. Cel opracowania i zawartość dokumentu
- II.3. Podstawy normatywne i terminologia
- II.4. Podstawy prawne
- II.5. Zakres oddziaływania
- II.6. Bezpieczeństwo informacji i usług elektronicznych
- w Firmie e-GADGET
- II.6.1. Procesy biznesowe wspierane przez technologie
- teleinformatyczne
- II.6.2. Postanowienia ogólne
- II.6.3. Postępowanie wobec ryzyka
- II.6.4. Otoczenie prawne i identyfikacja zasobów
- II.6.5. Ogólne potrzeby bezpieczeństwa wynikające z procesów
- biznesowych, wspomaganych w realizacji technologiami
- teleinformatycznymi
- II.6.6. Wnioski ogólne z analizy ryzyka
- II.6.7. Metoda postępowania przy tworzeniu systemu
- bezpieczeństwa
- II.6.8. Cele zabezpieczeń i ogólne strategie
- II.6.9. Szczegółowe zasady i wymagania dotyczące zabezpieczeń
- II.6.9.1. Wymagania dotyczące dokumentu polityki
- bezpieczeństwa
- II.6.9.2. Wymagania dotyczące organizacji systemu
- bezpieczeństwa
- II.6.9.3. Klasyfikacja i nadzór nad zasobami
- II.6.9.4. Bezpieczeństwo osobowe
- II.6.9.5. Bezpieczeństwo fizyczne i środowiskowe
- II.6.9.6. Zarządzanie systemem
- II.6.9.7. Kontrola dostępu
- II.6.9.8. Rozwój i utrzymanie systemów
- II.6.9.9. Ciągłość procesów biznesowych
- II.6.9.10. Zgodność
- II.7. Role i odpowiedzialność
- II.7.1. Ogólna organizacja służb odpowiedzialnych i ich role
- II.7.2. Komitet Bezpieczeństwa Teleinformatycznego (KBTI)
- II.7.3. Zespół Bezpieczeństwa Teleinformatycznego (ZBTI)
- II.7.4. Pion Eksploatacji (PE)
- II.7.5. Użytkownicy i inni pracownicy
- II.7.6. Postanowienia dodatkowe
- II.7.7. Odpowiedzialność za naruszenia polityki
- II.8. Rozpowszechnianie i zarządzanie dokumentem polityki
- II.9. Załączniki
- II.9.1. Normy i zalecenia wykorzystywane do tworzenia polityki
- II.9.2. Definicje wykorzystywanych pojęć
- II.9.3. Tajemnice prawnie chronione, występujące w Firmie e-GADGET
- jako element otoczenia prawnego, oznaczane
- jako EG-POUFNE
- II.9.4. Tajemnice przedsiębiorstwa chronione na zasadach
- wzajemności, na podstawie wielostronnych umów zawartych
- przez Firmę e-GADGET, oznaczane EG-POUFNE
- II.9.5. Tajemnice przedsiębiorstwa określone na podstawie zarządzeń
- wewnętrznych w Firmie e-GADGET, oznaczane EG-POUFNE
- II.9.6. Działania zgodne z prawem, występujące w Firmie e-GADGET
- jako element otoczenia prawnego
- II.9.7. Regulaminy, instrukcje, procedury, wzorce dokumentów
- II.9.8. Role członków zarządu
- II.9.9. Role w Pionie Bezpieczeństwa
- II.9.10. Role dotyczące właścicieli zasobów
- II.9.11. Role w Pionie Eksploatacji
- II.9.12. Uregulowania specjalne dotyczące ról
- II.9.13. Dokumentacja projektowa i plany
- II.10. Odwołanie do polityki dotyczącej bezpieczeństwa poszczególnych
- systemów teleinformatycznych w Firmie e-GADGET sp. z o.o.
- III. Przykład polityki dotyczącej bezpieczeństwa systemów
- informacyjnych instytucji w układzie ISMS
- III.1. Wprowadzenie
- III.2. Cel opracowania
- III.3. Zakres oddziaływania
- III.4. Zasady polityki
- III.5. Zasady odpowiedzialności za bezpieczeństwo
- III.5.1. Zasady ogólne
- III.5.2. Odpowiedzialność kierownictwa firmy
- III.5.3. Odpowiedzialność Inspektora Bezpieczeństwa Informacji
- III.5.4. Odpowiedzialność Inspektora Bezpieczeństwa Technologii
- Informatycznych
- III.5.5. Odpowiedzialność ogólna
- III.6. Wskazania ogólne
- III.7. Przegląd dokumentu polityki
- III.8. Dokumenty związane
- IV. Specyfikacja zagadnień bezpieczeństwa zawartych
- w normie PN-ISO/IEC 17799
- V. Specyfikacja zagadnień bezpieczeństwa organizacyjnego
- i fizycznego zawartych w raporcie ISO/IEC TR 13335-4.
- Dobór zabezpieczeń podstawowych
- według specyficznych cech systemu
- VI. Specyfikacja zagadnień bezpieczeństwa
- teleinformatycznego zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według specyficznych cech systemu
- VII. Specyfikacja zagadnień bezpieczeństwa w układzie według
- zagrożeń zawartych w raporcie ISO/IEC TR 13335-4.
- Dobór zabezpieczeń podstawowych według zagrożeń
- Skorowidz *
Zobacz spis treści
Sprawdź dostępność, zarezerwuj (zamów):
(kliknij w nazwę placówki - więcej informacji)