Książka "Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie" stanowi kompendium wiedzy na temat zapewnienia bezpieczeństwa informacji i usług. Autor zapoznaje Czytelnika z podstawowymi pojęciami, metodami i narzędziami dotyczącymi bezpieczeństwa teleinformatycznego, ale rozpatrywanego na tle bezpieczeństwa w sensie technicznym.
Opisuje etapy tworzenia systemu bezpieczeństwa oraz jego funkcjonowanie – od ewidencjonowania zasobów, przez analizę ryzyka, dobór wymagań i zabezpieczeń, wypracowanie strategii zapewnienia bezpieczeństwa, do procesów wdrożeniowych. Podaje wiele praktycznych przykładów, wykazów, list kontrolnych, szablonów i wzorów dokumentów, opracowanych na podstawie obowiązujących norm i zaleceń. Czytelnik może łatwo wykorzystać te elementy do rozwiązania problemów swojej instytucji – niezależnie od jej wielkości i specyfiki działania.
Książka jest przeznaczona dla osób zajmujących się zagadnieniami bezpieczeństwa teleinformatycznego w firmach i instytucjach, w tym w jednostkach administracji publicznej. Chodzi tu o inspektorów bezpieczeństwa, administratorów systemów, audytorów, menedżerów, a także informatyków. Skorzystają z niej również studenci informatyki, telekomunikacji i zarządzania.
Spis treści:
1. Wstęp 1.1. Bezpieczeństwo informacji i usług a bezpieczeństwo teleinformatyczne 1.2. Interdyscyplinarny charakter zagadnień i szczególna rola informatyki 1.3. Podstawowe problemy bezpieczeństwa teleinformatycznego 1.4. Dwa podejścia do zagadnień bezpieczeństwa 1.5. Potrzeba tworzenia komputerowych narzędzi wspomagających
2. Wprowadzenie do zarządzania bezpieczeństwem informacji i usług 2.1. Bezpieczeństwo i jego atrybuty 2.2. Wrażliwość informacji i krytyczność usług - istota ochrony 2.3. Elementy bezpieczeństwa
3. Normy, standardy i zalecenia 3.1. Działalność połączonego komitetu technicznego ISO/IEC 3.2. Raporty techniczne ISO/IEC TR 13335 3.3. Rozwój i znaczenie rodziny standardów BS 7799 3.4. Szczególne znaczenie standardu COBIT 3.5. Kryteria oceny zabezpieczeń 3.6. Standardy dotyczące rozwiązań technicznych 3.7. Przygotowanie organizacji do działań audytorskich 3.8. Zalecenia i inne wytyczne szczegółowe 3.9. Aktualny stan rozwoju standardów i sposób ich wykorzystania
4. Ryzyko w sensie ogólnym i technicznym 4.1. Podstawy analizy ryzyka w sensie ogólnym 4.2. Bezpieczeństwo funkcjonalne w świetle IEC 61508 4.3. Metody jakościowe oceny ryzyka 4.4. Metody wykorzystujące struktury drzewiaste 4.5. Metody analizy dynamicznej 4.6. Podsumowanie przeglądu metod oceny ryzyka
5. Analiza ryzyka i strategie zarządzania nim w teleinformatyce 5.1. Podstawowe strategie zarządzania ryzykiem 5.2. Ogólny schemat analizy ryzyka 5.3. Metody kumulowania wielkości ryzyka 5.4. Podstawowe metody redukcji ryzyka
6. Wybrane metody i komputerowe narzędzia wspomagające 6.1. Komputerowe wspomaganie analizy i zarządzania ryzykiem 6.2. Metodyka zarządzania ryzykiem opracowana w instytucie NIST 6.3. Metodyka szacowania zagrożeń i ryzyka (TRA) opracowana w CSE 6.4. Metodyka CORA i komputerowe narzędzia wspomagające 6.5. Metodyka i oprogramowanie CRAMM 6.6. Oprogramowanie COBRA 6.7. Metoda IRIS 6.8. Oprogramowanie RiskPAC 6.9. Oprogramowanie ASSET 6.10. Inne wybrane metody i narzędzia 6.11. Przykłady analizatorów bezpieczeństwa i innych narzędzi wspomagających jego utrzymywanie na bieżąco
7. Trójpoziomowy model odniesienia 7.1. Trójpoziomowy model hierarchii celów, strategii i polityki 7.2. Hierarchiczna struktura dokumentacji bezpieczeństwa według modelu odniesienia 7.3. Hierarchiczna struktura zarządzająca według modelu odniesienia 7.4. Trójpoziomowy model odniesienia w praktyce 7.5. Polityka a zarządzanie bezpieczeństwem
8. System bezpieczeństwa instytucji 8.1. Wprowadzenie 8.2. Fazy realizacji i ogólny schemat funkcjonowania systemu bezpieczeństwa instytucji 8.3. Zapis sformalizowany modelu trójpoziomowego 8.4. Zapis sformalizowany procesów związanych z utrzymaniem bezpieczeństwa
9. Bezpieczeństwo w instytucji 9.1. Architektura systemu bezpieczeństwa instytucji 9.2. Analiza procesów biznesowych ze względu na stopień zaangażowania systemów teleinformatycznych w ich realizację 9.3. Ogólne potrzeby bezpieczeństwa systemów teleinformatycznych instytucji 9.4. Formułowanie dokumentu polityki bezpieczeństwa instytucji 9.5. Zarządzanie bezpieczeństwem na poziomie instytucji
10. Ogólne zasady bezpieczeństwa teleinformatycznego w instytucji 10.1. Architektura systemu bezpieczeństwa teleinformatycznego instytucji 10.2. Cele bezpieczeństwa systemów teleinformatycznych instytucji 10.3. Otoczenie prawne 10.4. Wybór strategii redukcji ryzyka
11. Wysokopoziomowa (ogólna) analiza ryzyka i wyznaczenie obszarów wymagających ochrony 11.1. Wymagania ochronne 11.2. Domeny bezpieczeństwa 11.3. Przebieg wysokopoziomowej analizy ryzyka
12. Koncepcja hierarchii zasobów 12.1. Wprowadzenie 12.2. Interpretacja praktyczna modelu 12.3. Przekroje modelu 12.4. Zbiór dostępnych typów zasobów 12.5. Zbiór eksploatowanych zasobów 12.6. Specjalne znaczenie klasy zasobów reprezentującej personel 12.7. Znaczenie przekrojów modelu zasobów dla zarządzania bezpieczeństwem
13. Przebieg szczegółowej analizy ryzyka w systemach teleinformatycznych 13.1. Wprowadzenie 13.2. Granice obszarów zajmowanych przez zasoby instytucji 13.3. Analiza zasobów - identyfikacja i wycena 13.4. Ocena podatności 13.5. Środowisko zagrożeń 13.6. Identyfikacja istniejących lub planowanych zabezpieczeń 13.7. Podsumowanie wyników analizy ryzyka
14. Wzorce wymagań dotyczących zabezpieczeń 14.1. Wzorcowa lista wymagań według PN-ISO/IEC 17799 (PN-I-07799-2) 14.2. Tworzenie list wymagań na podstawie katalogu zabezpieczeń zapewniających ochronę podstawową 14.3. Rekomendacje bankowe, normy branżowe, akty prawne
15. Wypracowanie strategii wyboru zabezpieczeń 15.1. Ustalanie listy wymagań, przyjmując cele bezpieczeństwa jako podstawowe ich źródło 15.2. Ustalanie listy wymagań na podstawie listy wzorcowej 15.3. Ustalanie listy wymagań na podstawie wyników analizy ryzyka
16. Ogólne zasady tworzenia architektury bezpieczeństwa na poziomie II i III 16.1. Podstawy tworzenia odrębnych wersji polityki bezpieczeństwa dla oddziałów instytucji (poziom IIa) 16.2. Wpływ jednorodności wymagań na architekturę bezpieczeństwa 16.3. Architektura systemu bezpieczeństwa na poziomie systemów teleinformatycznych
17. Dobór zabezpieczeń na podstawie zdefiniowanych wymagań 17.1. Wprowadzenie 17.2. Identyfikacja ograniczeń 17.3. Ogólna koncepcja ochrony podstawowej 17.4. Dobór zabezpieczeń podstawowych według rodzaju systemu 17.5. Dobór zabezpieczeń podstawowych według potrzeb bezpieczeństwa i zagrożeń 17.6. Przykład metodyki ochrony podstawowej - IT Grundschutz 17.7. Dobór zabezpieczeń wynikających z analizy ryzyka 17.8. Uwzględnienie architektury systemów w architekturze bezpieczeństwa na poziomie systemów teleinformatycznych 17.9. Akceptacja ryzyka
18. Polityka bezpieczeństwa teleinformatycznego – ogółu systemów teleinformatycznych w instytucji (poziom II) 18.1. Zasady konstruowania 18.2. Zawartość i przykłady 18.3. Zarządzanie bezpieczeństwem na poziomie systemów teleinformatycznych instytucji
19. Polityka dotycząca bezpieczeństwa poszczególnych systemów (poziomu III) i plany zabezpieczeń 19.1. Zasady konstruowania 19.2. Zawartość dokumentu 19.3. Plany zabezpieczeń poszczególnych systemów 19.4. Zarządzanie bezpieczeństwem na poziomie systemów
20. Procesy wdrożeniowe 20.1. Wdrożenie zabezpieczeń 20.2. Działania uświadamiające i ich nadzorowanie 20.3. Szkolenia 20.4. Akredytacja systemów
21. Czynności powdrożeniowe 21.1. Wykrywanie zmian i zarządzanie zmianami 21.2. Monitorowanie elementów systemu bezpieczeństwa 21.3. Zarządzanie zabezpieczeniami i utrzymywanie ich skuteczności 21.4. Kontrola zgodności 21.5. Zarządzanie incydentami i doskonalenie systemu bezpieczeństwa
22. Wnioski i uwagi końcowe Wykaz niektórych skrótów angielskich i polskich oraz oznaczeń
Dodatki:
I. Przykład polityki dotyczącej bezpieczeństwa instytucji (poziom I)
II. Przykład polityki dotyczącej bezpieczeństwa teleinformatycznego instytucji (poziom II)
III. Przykład polityki dotyczącej bezpieczeństwa systemów informacyjnych instytucji w układzie ISMS
IV. Specyfikacja zagadnień bezpieczeństwa zawartych w normie PN-ISO/IEC 17799
V. Specyfikacja zagadnień bezpieczeństwa organizacyjnego i fizycznego zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według specyficznych cech systemu
VI. Specyfikacja zagadnień bezpieczeństwa teleinformatycznego zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według specyficznych cech systemu
VII. Specyfikacja zagadnień bezpieczeństwa w układzie według zagrożeń zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według zagrożeń
Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie Wydanie II
|