INNE EBOOKI AUTORA
Autor:
Wydawca:
Format:
ibuk
Autor cieszącego się dużym zainteresowaniem czytelników Podręcznika administratora bezpieczeństwa teleinformatycznego przedstawia swoją nową książkę, w której zamieścił rozważania na temat związków projektowania systemów ochrony informacji z analizą ryzyka i „pomiarami bezpieczeństwa” oraz wymaganiami normy PN-ISO/IEC 27001:2007.
Praca zawiera także szczegółowy opis autorskiej metodyki L-RAC analizy i kontrolowania ryzyka w zakresie bezpieczeństwa teleinformatycznego. Cechą charakterystyczną metodyki jest standard opisu jednolity z przyjętym w metodyce audytu bezpieczeństwa teleinformatycznego LP-A oraz pokazanie związków z zapisami normy PN-ISO/IEC 27001:2007. Metodyka L-RAC może zostać zaadaptowana także w innych obszarach szeroko rozumianej analizy bezpieczeństwa w firmie: bezpieczeństwa energetycznego, bezpieczeństwa transportu cennych ładunków oraz bezpieczeństwa składowania cennych lub niebezpiecznych materiałów.
Na treść książki składają się następujące tematy:
- „bezpieczeństwo informacji” i „system ochrony informacji” – ustalenie terminologii;
- przedstawienie powiązań procesów biznesowych z procesami ochrony informacji;
- ryzyko i zarządzanie ryzykiem na potrzeby ochrony informacji: charakterystyka procesu zarządzania ryzykiem, szacowanie ryzyka, kontrolowanie ryzyka poprzez stosowanie zabezpieczeń, ryzyko akceptowalne i koszty postępowania z ryzykiem, administrowanie ryzykiem (w tym dyskusja na temat struktur organizacyjnych uwikłanych w ocenę bezpieczeństwa teleinformatycznego i zarządzanie ryzykiem);
- audyt bezpieczeństwa teleinformatycznego jako proces testowania organizacji pod kątem jej zdolności do ochrony informacji;
- normy i standardy wspomagające proces oceny stopnia ochrony informacji przez produkt (ISO/IEC 15408) oraz ocenę systemu zarządzania bezpieczeństwem informacji (PN-ISO/IEC 27001, COBIT);
- rozważania o możliwości „pomiaru” bezpieczeństwa;
- projektowanie systemu ochrony informacji jako szczególny przypadek standardowego przedsięwzięcia projektowego: zarządzanie projektem, etapy cyklu rozwojowego, koncepcja architektury, dokumentowanie systemu bezpieczeństwa, itp.;
- metodyka L-RAC analizy i kontrolowania ryzyka w zakresie bezpieczeństwa teleinformatycznego.
Książka przydatna osobom odpowiedzialnym za bezpieczeństwo (pełnomocnikom ds. bezpieczeństwa, administratorom bezpieczeństwa informacji, administratorom systemów), kadrze kierowniczej działów teleinformatyki, jak również, w pewnym zakresie, wyższej kadrze menedżerskiej chcącej wyrobić sobie pogląd na zakres niezbędnych przedsięwzięć związanych z analizą ryzyka na potrzeby bezpieczeństwa teleinformatycznego oraz z projektowaniem i wdrażaniem systemów ochrony informacji. Polecamy ją także studentom, którzy w programie studiów mają przedmioty związane z bezpieczeństwem teleinformatycznym.
Rok wydania | 2008 |
---|---|
Liczba stron | 288 |
Kategoria | Bezpieczeństwo |
Wydawca | Wydawnictwo Naukowe PWN |
ISBN-13 | 978-83-01-15370-0 |
Numer wydania | 1 |
Język publikacji | polski |
Informacja o sprzedawcy | ePWN sp. z o.o. |
INNE EBOOKI AUTORA
POLECAMY
Ciekawe propozycje
Analiza tekstu w dyskursie medialnym
do koszyka
Analiza matematyczna
do koszyka
Analiza, cz. 1
do koszyka
Analiza i interpretacja wyników badań...
do koszyka
Analiza matematyczna. Podręcznik dla...
do koszyka
Spis treści
Podziękowania | 6 |
Wstęp | 7 |
Rozdział 1. O informacji, bezpieczeństwie i systemie ochrony | 9 |
1.1. O informacji | 10 |
1.2. O bezpieczeństwie | 11 |
1.3. O systemie ochrony informacji* | 14 |
Rozdział 2. O procesach | 25 |
2.1. Procesy biznesowe w analizie ryzyka | 26 |
Rozdział 3. O zasobach, ich inwentaryzacji i klasyfikacji | 31 |
3.1. Inwentaryzacja zasobów teleinformatycznych | 31 |
3.2. Klasyfikacja zasobów teleinformatycznych | 32 |
3.3. Ocena wartości zasobów informacyjnych | 35 |
Rozdział 4. O zagrożeniach i podatnościach | 39 |
4.1. Rozważania o zagrożeniach | 40 |
4.2. Jak szukać zagrożeń – pytania i podpowiedzi | 49 |
4.3. Burza mózgów – przykład techniki identyfikacji zagrożeń | 53 |
4.3.1. Generowanie zagrożeń/scenariuszy | 56 |
4.3.2. Redukcja zbioru zagrożeń | 56 |
4.3.3. Nadawanie priorytetów scenariuszom | 56 |
4.4. Podatności | 57 |
Rozdział 5. O pomiarach bezpieczeństwa teleinformatycznego | 59 |
5.1. Pomiar | 61 |
5.2. Elementy formalnej teorii pomiaru* | 62 |
5.3. Omówienie wymagań definicji pomiaru | 64 |
5.3.1. Określenie przedmiotu pomiaru | 64 |
5.3.2. Przyporządkowanie liczb (miar) | 64 |
5.3.3. Obiektywność | 65 |
5.3.4. Empiryczność | 66 |
5.4. Uwagi końcowe o „mierzeniu” bezpieczeństwa | 66 |
Rozdział 6. O ryzyku i zarządzaniu ryzykiem | 69 |
6.1. Ryzyko a problemy decyzyjne* | 71 |
6.2. Charakterystyka procesu zarządzania ryzykiem | 76 |
6.3. Analiza ryzyka – identyfikacja zagrożeń, podatności i środowiska | 78 |
6.4. Identyfikacja wymagań dotyczących poziomu ochrony | 81 |
6.5. Analiza ryzyka – szacowanie ryzyka | 83 |
6.5.1. Oszacowanie ryzyka – metoda ilościowa (studium przypadku) | 86 |
6.5.2. Oszacowanie ryzyka – metoda jakościowa (wytyczne raportu technicznego ISO/IEC TR 13335-3) | 91 |
6.5.3. Szacowanie ryzyka – analiza bezpieczeństwa systemów sterowania | 99 |
6.6. Reakcja na ryzyko | 102 |
6.6.1. Kontrolowanie ryzyka poprzez stosowanie zabezpieczeń | 104 |
6.6.2. Akceptacja ryzyka szczątkowego | 109 |
6.6.3. Ryzyko akceptowalne i koszty postępowania z ryzykiem | 111 |
6.7. Administrowanie ryzykiem | 115 |
6.7.1. Zadania, czynności i zakresy kompetencji – organizacja procesu zarządzania ryzykiem | 117 |
6.8. Podsumowanie rozważań o analizie ryzyka | 122 |
Rozdział 7. O testowaniu i audycie | 125 |
7.1. Przegląd rodzajów badań | 125 |
7.2. Ocena bezpieczeństwa teleinformatycznego | 127 |
7.3. Audyt | 129 |
7.4. Audyt i certyfikowanie SZBI | 143 |
Rozdział 8. O standardach | 149 |
8.1. Common Criteria i norma ISO/IEC 15408 | 151 |
8.2. COBITTM– standard ładu informatycznego | 161 |
8.3. BS 7799 i norma PN-ISO/IEC 27001:2007: Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji –Wymagania | 164 |
8.3.1. Zawartość normy PN-ISO/IEC 27001:2007: Technika informatyczna –Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania | 166 |
8.3.2. System zarządzania bezpieczeństwem informacji (SZBI) | 169 |
8.3.3. Normatywny zbiór zabezpieczeń – załącznik A normy PN-ISO/IEC 27001 | 173 |
Rozdział 9. O projektowaniu | 177 |
9.1. Cykl życia systemu bezpieczeństwa teleinformatycznego | 178 |
9.2. Zarządzanie projektowaniem i budową systemu bezpieczeństwa teleinformatycznego | 181 |
9.3. System bezpieczeństwa teleinformatycznego – koncepcja | 183 |
9.3.1. Kompleksowość i dekompozycja | 184 |
9.3.2. Przesłanki budowy „w głąb” systemu ochrony | 188 |
9.4. Architektura systemu bezpieczeństwa teleinformatycznego | 188 |
9.5. Analiza i projektowanie systemu bezpieczeństwa teleinformatycznego | 192 |
9.5.1. Etap analizy | 192 |
9.5.2. Etap projektowania | 193 |
9.5.3. Wzorce projektowe | 196 |
9.6. Ograniczenia procesu projektowania | 197 |
9.7. Dokumentowanie prac projektowych | 197 |
Załącznik. Metodyka L-RAC analizy i kontrolowania ryzyka w zakresie bezpieczeństwa teleinformatycznego | 204 |
Wykaz używanych terminów i symboli graficznych | 204 |
Terminy | 204 |
Symbole graficzne na diagramach DFD (ang. data flow diagram) | 208 |
Wstęp | 209 |
Rozdział Z1 Komentarze do procesów | 213 |
Z1.1. Proces identyfikacji środowiska (proces 1.3 i 1.4) | 214 |
Z1.1.1. Identyfikacja procesów i ich właścicieli (proces 1.3) | 214 |
Z1.1.2. Identyfikacja zasobów teleinformatycznych (proces 1.4) | 216 |
Z1.2. Proces identyfikacji zagrożeń i podatności (proces 2.1) | 216 |
Z1.2.1. Zagrożenia (proces 2.1.1) | 216 |
Z1.2.2. Podatności (proces 2.1.2) | 218 |
Z1.2.3. Udziałowcy | 219 |
Z1.3. Proces określania możliwości realizacji zagrożenia (proces 2.2) | 220 |
Z1.4. Proces redukowania ryzyka (proces 2.4) | 222 |
Rozdział Z2 Wskazówki do realizacji procesów i sporządzania dokumentów | 225 |
Z2.1. Skład zespołu analizy i kontroli ryzyka | 225 |
Z2.2. Wyposażenie narzędziowe zespołu | 225 |
Z2.3. Etap przygotowawczy analizy i kontrolowania ryzyka | 226 |
Z2.4. Burza mózgów (proces 2.1.1. i proces 2.1.2.) | 228 |
Z2.5. Dobór zabezpieczeń a zalecenia normy PN-ISO/IEC 27001:2007 (proces 2.4.2 i proces 2.4.3) | 229 |
Z2.6. Analiza koszty/korzyści (proces 2.4.3) i optymalizacja kosztów zabezpieczeń (proces 2.4.4) | 231 |
Rozdział Z3 Specyfikacja dokumentów analizy ryzyka | 236 |
Z3.1. Tabele IPO | 236 |
Z3.2. Specyfikacja zbiorcza dokumentów | 247 |
Rozdział Z4 Diagramy przepływu danych | 252 |
Rozdział Z5 Wzorce-przykłady dokumentów | 262 |
Z5.1. Dokumenty tabelaryczne | 262 |
Z5.2. Dokumenty – arkusze z sesji burzy mózgów | 266 |
Rozdział Z6. Mapowanie procesów metodyki L-ARC na odnoszące się do ryzyka wymagania normy PN-ISO/IEC 27001:2007 | 268 |
Z6.1. Wyciąg z normy PN-ISO/IEC 27001:2007 | 268 |
Z6.2. Mapowanie | 272 |
Zakończenie | 277 |
Literatura | 279 |
Skorowidz | 285 |