Tytuł: | Analiza ryzyka i ochrona informacji w systemach komputerowych | | Autor: | Krzysztof Liderman | | ISBN: | 978-83-01-15370-0 | | Ilość stron: | 288 | | Data wydania: | 2008 | | Format: | 16.5x23.5cm | | Wydawnictwo: | PWN | |
| Cena: | 29.00zł | |
Autor cieszącego się dużym zainteresowaniem czytelników Podręcznika administratora bezpieczeństwa teleinformatycznego przedstawia swoją nową książkę, w której zamieścił rozważania na temat związków projektowania systemów ochrony informacji z analizą ryzyka i „pomiarami bezpieczeństwa” oraz wymaganiami normy PN-ISO/IEC 27001:2007.
Praca zawiera także szczegółowy opis autorskiej metodyki L-RAC analizy i kontrolowania ryzyka w zakresie bezpieczeństwa teleinformatycznego. Cechą charakterystyczną metodyki jest standard opisu jednolity z przyjętym w metodyce audytu bezpieczeństwa teleinformatycznego LP-A oraz pokazanie związków z zapisami normy PN-ISO/IEC 27001:2007. Metodyka L-RAC może zostać zaadaptowana także w innych obszarach szeroko rozumianej analizy bezpieczeństwa w firmie: bezpieczeństwa energetycznego, bezpieczeństwa transportu cennych ładunków oraz bezpieczeństwa składowania cennych lub niebezpiecznych materiałów.
Na treść książki składają się następujące tematy:
• "bezpieczeństwo informacji" i „system ochrony informacji” – ustalenie terminologii; • przedstawienie powiązań procesów biznesowych z procesami ochrony informacji; • ryzyko i zarządzanie ryzykiem na potrzeby ochrony informacji: charakterystyka procesu zarządzania ryzykiem, szacowanie ryzyka, kontrolowanie ryzyka poprzez stosowanie zabezpieczeń, ryzyko akceptowalne i koszty postępowania z ryzykiem, administrowanie ryzykiem (w tym dyskusja na temat struktur organizacyjnych uwikłanych w ocenę bezpieczeństwa teleinformatycznego i zarządzanie ryzykiem); • audyt bezpieczeństwa teleinformatycznego jako proces testowania organizacji pod kątem jej zdolności do ochrony informacji; • normy i standardy wspomagające proces oceny stopnia ochrony informacji przez produkt (ISO/IEC 15408) oraz ocenę systemu zarządzania bezpieczeństwem informacji (PN-ISO/IEC 27001, COBIT); • rozważania o możliwości „pomiaru” bezpieczeństwa; • projektowanie systemu ochrony informacji jako szczególny przypadek standardowego przedsięwzięcia projektowego: zarządzanie projektem, etapy cyklu rozwojowego, koncepcja architektury, dokumentowanie systemu bezpieczeństwa, itp.; • metodyka L-RAC analizy i kontrolowania ryzyka w zakresie bezpieczeństwa teleinformatycznego.
Książka przydatna osobom odpowiedzialnym za bezpieczeństwo (pełnomocnikom ds. bezpieczeństwa, administratorom bezpieczeństwa informacji, administratorom systemów), kadrze kierowniczej działów teleinformatyki, jak również, w pewnym zakresie, wyższej kadrze menedżerskiej chcącej wyrobić sobie pogląd na zakres niezbędnych przedsięwzięć związanych z analizą ryzyka na potrzeby bezpieczeństwa teleinformatycznego oraz z projektowaniem i wdrażaniem systemów ochrony informacji. Polecamy ją także studentom, którzy w programie studiów mają przedmioty związane z bezpieczeństwem teleinformatycznym.
Rozdziały:
Rozdział 1. O informacji, bezpieczeństwie i systemie ochrony 9 1.1. O informacji 1.2. O bezpieczeństwie 11 1.3. O systemie ochrony informacji* 14
Rozdział 2. O procesach 2.1. Procesy biznesowe w analizie ryzyka 26
Rozdział 3. O zasobach, ich inwentaryzacji i klasyfikacji 31 3.1. Inwentaryzacja zasobów teleinformatycznych 31 3.2. Klasyfikacja zasobów teleinformatycznych 32 3.3. Ocena wartości zasobów informacyjnych 35
Rozdział 4. O zagrożeniach i podatnościach 39 4.1. Rozważania o zagrożeniach 40 4.2. Jak szukać zagrożeń – pytania i podpowiedzi 49 4.3. Burza mózgów – przykład techniki identyfikacji zagrożeń 53 4.3.1. Generowanie zagrożeń/scenariuszy 56 4.3.2. Redukcja zbioru zagrożeń 56 4.3.3. Nadawanie priorytetów scenariuszom 56 4.4. Podatności Rozdział 5. O pomiarach bezpieczeństwa teleinformatycznego 59 5.1. Pomiar 5.2. Elementy formalnej teorii pomiaru* 62 5.3. Omówienie wymagań definicji pomiaru 64 5.3.1. Określenie przedmiotu pomiaru 64 5.3.2. Przyporządkowanie liczb (miar) 64 5.3.3. Obiektywność 65 5.3.4. Empiryczność 66 5.4. Uwagi końcowe o „mierzeniu” bezpieczeństwa 66 4 Analiza ryzyka i ochrona informacji w systemach komputerowych
Rozdział 6. O ryzyku i zarządzaniu ryzykiem 69 6.1. Ryzyko a problemy decyzyjne* 71 6.2. Charakterystyka procesu zarządzania ryzykiem 76 6.3. Analiza ryzyka – identyfikacja zagrożeń, podatności i środowiska 78 6.4. Identyfikacja wymagań dotyczących poziomu ochrony 81 6.5. Analiza ryzyka – szacowanie ryzyka 83 6.5.1. Oszacowanie ryzyka – metoda ilościowa (studium przypadku) 86 6.5.2. Oszacowanie ryzyka – metoda jakościowa (wytyczne raportu technicznego ISO/IEC TR 13335−3) 6.5.3. Szacowanie ryzyka – analiza bezpieczeństwa systemów sterowania 99 6.6. Reakcja na ryzyko 102 6.6.1. Kontrolowanie ryzyka poprzez stosowanie zabezpieczeń 104 6.6.2. Akceptacja ryzyka szczątkowego 109 6.6.3. Ryzyko akceptowalne i koszty postępowania z ryzykiem 111 6.7. Administrowanie ryzykiem 115 6.7.1. Zadania, czynności i zakresy kompetencji – organizacja procesu zarządzania ryzykiem 6.8. Podsumowanie rozważań o analizie ryzyka 122
Rozdział 7. O testowaniu i audycie 125 7.1. Przegląd rodzajów badań 125 7.2. Ocena bezpieczeństwa teleinformatycznego 127 7.3. Audyt 129 7.4. Audyt i certyfikowanie SZBI 142
Rozdział 8. O standardach 149 8.1. Common Criteria i norma ISO/IEC 15408 151 8.2. COBIT – standard ładu informatycznego 161 8.3. BS 7799 i norma PN−ISO/IEC 27001:2007: Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania 8.3.1. Zawartość normy PN−ISO/IEC 27001:2007: Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania 8.3.2. System zarządzania bezpieczeństwem informacji (SZBI) 169 8.3.3. Normatywny zbiór zabezpieczeń – załącznik A normy PN−ISO/IEC 27001173
Rozdział 9. O projektowaniu 177 9.1. Cykl życia systemu bezpieczeństwa teleinformatycznego 178 9.2. Zarządzanie projektowaniem i budową systemu bezpieczeństwa teleinformatycznego 9.3. System bezpieczeństwa teleinformatycznego – koncepcja 183 9.3.1. Kompleksowość i dekompozycja 184 9.3.2. Przesłanki budowy „w głąb” systemu ochrony 188 9.4. Architektura systemu bezpieczeństwa teleinformatycznego 188 9.5. Analiza i projektowanie systemu bezpieczeństwa teleinformatycznego 192 9.5.1. Etap analizy 192 9.5.2. Etap projektowania 193 9.5.3. Wzorce projektowe 196 9.6. Ograniczenia procesu projektowania 197 9.7. Dokumentowanie prac projektowych 197
|