Bezpieczeństwo systemów informacyjnych

Franciszek Wołowski, Janusz Zawiła-Niedźwiecki

Uzyskaj dostęp

Zakup książkę

ISBN/ISSN:

978-83-63804-01-5

DOI:

Wydawnictwo:

edu-Libri

Rok wydania:

2012

Liczba stron:

570

XML:ISBN/ISSN:

ONIX MARC21

Bibliografia:

Wołowski, Franciszek; Zawiła-Niedźwiecki, Janusz. Bezpieczeństwo systemów informacyjnych. Red. edu-Libri, . Kraków - Warszawa: edu-Libri, 2012, 570 s. ISBN 978-83-63804-01-5

Bibliografia refWorks:

RT Book, Whole

SR Electronic(1)

A1 Wołowski, F.

A1 Zawiła-Niedźwiecki, J.

A2 edu-Libri, .

T1 Bezpieczeństwo systemów informacyjnych

PB edu-Libri

PP Kraków - Warszawa

YR 2012

SN 978-83-63804-01-5

Bibliografia BibTex:

@Book{ 42383, author = "Wołowski, Franciszek and Zawiła-Niedźwiecki, Janusz", editor = "edu-Libri, ", title = "Bezpieczeństwo systemów informacyjnych", publisher = "edu-Libri", year = "2012", address = "Kraków - Warszawa", isbn = "978-83-63804-01-5" }

Bibliografia endNote:

TY - BOOK

AU - Wołowski, Franciszek

AU - Zawiła-Niedźwiecki, Janusz

ED - edu-Libri,

TI - Bezpieczeństwo systemów informacyjnych

PB - edu-Libri

CY - Kraków - Warszawa

PY - 2012

SN - 978-83-63804-01-5

ER -

Netografia (standard APA):

Wołowski, Franciszek; Zawiła-Niedźwiecki, Janusz. Red. edu-Libri, . Bezpieczeństwo systemów informacyjnych [baza danych online] Kraków - Warszawa: edu-Libri, 2012 [dostęp: 06 05 2024]. Dostęp w Ibuk Libra: https://libra.ibuk.pl/reader/bezpieczenstwo-systemow-informacyjnych-franciszek-wolowski-janusz-42383.

bezpieczeństwo,ryzyko informacji,systemów informat

Przewodnik pokazuje, jak interpretować kwestie bezpieczeństwa systemów informacyjnych, od ryzyka począwszy, jakimi standardami (normami) i metodami się posługiwać, do jakich wzorców dobrych praktyk sięgać, jakie ośrodki doskonalące te praktyki obs...

Więcej

ISBN/ISSN:

978-83-63804-01-5

DOI:

Wydawnictwo:

edu-Libri

Rok wydania:

2012

Liczba stron:

570

XML:ISBN/ISSN:

ONIX MARC21

Okładka1
Spis treści3
Wstęp10
1. Wprowadzenie12
1.1. Co to jest bezpieczeństwo informacji?14
1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?16
1.3. Cele, strategie i polityki w zakresie bezpieczeństwa informacji18
1.4. Czynniki decydujące o bezpieczeństwie systemów informacyjnych19
1.5. Jak określać wymagania bezpieczeństwa?24
1.6. Zarządzanie bezpieczeństwem informacji25
1.7. Standardy związane z zarządzaniem bezpieczeństwem systemów informacyjnych33
1.8. Zarządzanie ryzykiem a zarządzanie bezpieczeństwem informacji42
1.9. Punkt wyjścia zapewniania bezpieczeństwa informacji44
1.10. Krytyczne czynniki sukcesu46
2. Zarządzanie ryzykiem systemów informacyjnych48
2.1. Nazewnictwo związane z zarządzaniem ryzykiem50
2.1.1. Pojęcia podstawowe50
2.2. Struktura ryzyka53
2.1.2. Nazewnictwo modelu zarządzania ryzykiem53
2.2.1. Ryzyko polityczne54
2.2.2. Ryzyko organizacyjne55
2.2.3. Ryzyko operacyjne55
2.3. Czynniki ryzyka systemów informacyjnych66
2.3.1. Ludzie66
2.3.2. Procesy i systemy68
2.3.2.1. Systemy teleinformatyczne69
2.3.2.2. Dokumentacja wewnętrzna i zewnętrzna69
2.3.2.3. Lokalizacja70
2.3.3. Zdarzenia zewnętrzne71
2.3.3.1. Zdarzenia przewidywalne i nieprzewidywalne72
2.3.3.2. Zlecanie czynności na zewnątrz (outsourcing)73
2.4. Procesy zarządzania ryzykiem systemów informacyjnych74
2.5. Ustalenie oczekiwań wobec zarządzania ryzykiem81
2.5.1. Podstawowe kryteria oceny ryzyka systemów informacyjnych81
2.5.2. Zakres i granice procesu zarządzania ryzykiem systemów informacyjnych83
2.5.3. Organizacja zarządzania ryzykiem systemów informacyjnych84
2.6. Zarządzanie zasobami i aktywami systemów informacyjnych85
2.6.1. Zapewnianie zasobów i aktywów oraz odpowiedzialność za nie88
2.6.1.1. Inwentaryzacja zasobów i aktywów90
2.6.1.2. Własność zasobów92
2.6.2. Klasyfikacja informacji94
2.6.1.3. Akceptowalne użycie zasobów94
2.6.2.1. Zalecenia do klasyfikacji94
2.6.2.2. Oznaczanie informacji i postępowanie z informacjami96
2.6.3. Wartość biznesowa aktywów, zwłaszcza informacji98
2.7. Szacowanie ryzyka systemów informacyjnych102
2.7.1. Analiza ryzyka systemów informacyjnych104
2.7.1.1. Identyfikacja ryzyka104
2.7.1.2. Oszacowanie (wycena) ryzyka121
2.7.2. Ocena ryzyka systemów informacyjnych129
2.8. Postępowanie z ryzykiem systemów informacyjnych131
2.8.1. Unikanie ryzyka138
2.8.2. Przeniesienie ryzyka139
2.8.3. Utrzymanie/akceptowanie ryzyka140
2.8.4. Redukcja ryzyka141
2.8.5. Środki sterowania bezpieczeństwem143
2.8.6. Środki łagodzenia ryzyka (przeciwdziałanie)146
2.8.7. Strategia łagodzenia ryzyka155
2.9. Akceptacja ryzyka przez kierownictwo157
2.10. Informowanie o ryzyku158
2.11. Monitorowanie i przegląd ryzyka160
2.12. Kluczowe role w procesie zarządzania ryzykiem164
3. Zarządzanie ryzykiem w projektach systemów informacyjnych170
3.1. Wprowadzenie170
3.2. Kryteria sukcesu projektu171
3.3. Procesy zarządzania ryzykiem projektowym172
3.4. Planowanie zarządzania ryzykiem projektowym176
3.5. Identyfikacja zagrożeń179
3.6. Analiza ryzyka180
3.7. Szacowanie prawdopodobieństwa i skutku ryzyka181
3.8. Planowanie reakcji na ryzyko185
3.9. Sterowanie ryzykiem187
3.10. Monitorowanie ryzyka188
4. Zarządzanie reakcją na incydenty związane z naruszaniem bezpieczeństwa informacji190
4.1. Podstawowe zagadnienia i korzyści związane z zarządzaniem incydentami192
4.2. Przykłady incydentów związanych z naruszaniem bezpieczeństwa informacji195
4.3. Procedury w zarządzaniu incydentami198
4.3.1. Planowanie i przygotowanie198
4.3.2. „Stosowanie” − wdrożenie i eksploatacja216
4.3.3. Przegląd244
4.3.4. Doskonalenie247
5. System Zarządzania Bezpieczeństwem Informacji (SZBI)249
5.1. Ustanowienie SZBI251
5.1.1. Zakres i granice SZBI253
5.1.2. Polityka bezpieczeństwa i jej akceptacja przez kierownictwo253
5.1.3. Polityka bezpieczeństwa informacji255
5.1.4. Dokument polityki bezpieczeństwa informacji256
5.1.5. Przegląd polityki bezpieczeństwa informacji258
5.1.6. Strategia zarządzania ryzykiem260
5.2. Wdrożenie i eksploatacja SZBI261
5.3. Monitorowanie i przegląd SZBI262
5.4. Utrzymanie i doskonalenie SZBI262
5.5. Organizacja zapewniania bezpieczeństwa informacji263
5.5.1. Organizacja wewnętrzna263
5.5.1.1. Zaangażowanie kierownictwa w zapewnianie bezpieczeństwa informacji264
5.5.1.2. Koordynacja zarządzania zapewnianiem bezpieczeństwa informacji265
5.5.1.3. Przypisanie odpowiedzialności w zakresie zapewniania bezpieczeństwa informacji266
5.5.1.4. Proces autoryzacji środków przetwarzania informacji267
5.5.1.5. Umowy o zachowaniu poufności268
5.5.1.6. Kontakty z organami władzy270
5.5.1.7. Kontakty z grupami zaangażowanymi w zapewnianie bezpieczeństwa270
5.5.2. Strony zewnętrzne271
5.5.1.8. Niezależne przeglądy bezpieczeństwa informacji271
5.5.2.1. Ryzyko związane ze stronami zewnętrznymi272
5.5.2.2. Bezpieczeństwo w kontaktach z klientami275
5.5.2.3. Bezpieczeństwo w umowach ze stroną trzecią276
5.6. Bezpieczeństwo zasobów ludzkich282
5.6.1. Przed zatrudnieniem284
5.6.1.1. Role i zakresy odpowiedzialności284
5.6.1.2. Postępowanie sprawdzające285
5.6.1.3. Zasady zatrudnienia287
5.6.2. Podczas zatrudnienia288
5.6.2.1. Odpowiedzialność kierownictwa290
5.6.2.2. Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji291
5.6.3. Zakończenie lub zmiana zatrudnienia292
5.6.2.3. Postępowanie dyscyplinarne292
5.6.3.1. Odpowiedzialność związana z zakończeniem zatrudnienia293
5.6.3.2. Zwrot zasobów294
5.6.3.3. Odebranie praw dostępu294
5.7. Bezpieczeństwo fizyczne i środowiskowe296
5.7.1. Obszary bezpieczne298
5.7.1.1. Fizyczna granica obszaru bezpiecznego299
5.7.1.2. Środki ochrony fizycznego wejścia301
5.7.1.3. Zabezpieczanie biur, pomieszczeń i urządzeń302
5.7.1.4. Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi303
5.7.1.5. Praca w obszarach bezpiecznych304
5.7.1.6. Obszary publicznie dostępne dla dostaw i załadunku304
5.7.2. Bezpieczeństwo wyposażenia305
5.7.2.1. Rozmieszczenie i ochrona wyposażenia306
5.7.2.2. Systemy wspomagające przetwarzanie informacji307
5.7.2.3. Bezpieczeństwo okablowania308
5.7.2.4. Bezpieczna konserwacja sprzętu309
5.7.2.5. Bezpieczeństwo wyposażenia znajdującego się poza siedzibą organizacji310
5.7.2.6. Bezpieczne usuwanie lub ponowne wykorzystanie wyposażenia311
5.7.2.7. Wynoszenie mienia311
5.8. Zarządzanie eksploatacją i komunikacją SZBI313
5.8.1. Procedury eksploatacyjne i odpowiedzialność313
5.8.1.1. Dokumentowanie procedur eksploatacyjnych314
5.8.1.2. Zarządzanie zmianami315
5.8.1.3. Rozdzielanie obowiązków316
5.8.1.4. Oddzielanie środowisk rozwojowych, testowych i eksploatacyjnych317
5.8.2. Zarządzanie usługami dostarczanymi przez strony trzecie319
5.8.2.1. Bezpieczne dostarczanie usług319
5.8.2.2. Monitorowanie i przegląd usług strony trzeciej319
5.8.2.3. Bezpieczne zarządzanie zmianami usług strony trzeciej321
5.8.3. Planowanie i odbiór systemów322
5.8.3.1. Zarządzanie pojemnością systemów322
5.8.3.2. Akceptacja systemu323
5.8.4. Ochrona przed kodem złośliwym i nadzór nad kodem mobilnym325
5.8.4.1. Środki ochrony przed kodem złośliwym326
5.8.4.2. Środki nadzoru nad kodem mobilnym328
5.8.5. Kopie zapasowe329
5.8.6. Zarządzanie bezpieczeństwem sieci332
5.8.6.1. Systemy ochrony sieci333
5.8.6.2. Bezpieczeństwo usług sieciowych334
5.8.7. Obsługa nośników danych i dokumentacji335
5.8.7.1. Zarządzanie nośnikami wymiennymi336
5.8.7.2. Usuwanie nośników337
5.8.7.3. Procedury postępowania z informacjami337
5.8.7.4. Bezpieczeństwo dokumentacji systemowej338
5.8.8. Wymiana informacji339
5.8.8.1. Polityka i procedury wymiany informacji339
5.8.8.2. Umowy o wymianie informacji342
5.8.8.3. Transportowanie fizycznych nośników informacji343
5.8.8.4. Wiadomości elektroniczne345
5.8.8.5. Systemy informacyjne organizacji346
5.8.9. Usługi handlu elektronicznego347
5.8.9.1. Handel elektroniczny347
5.8.9.2. Transakcje on-line350
5.8.9.3. Informacje dostępne publicznie351
5.9. Kontrola dostępu353
5.9.1. Wymagania biznesowe i polityka kontroli dostępu356
5.9.2. Zarządzanie dostępem użytkowników360
5.9.2.1. Rejestracja użytkowników360
5.9.2.2. Zarządzanie przywilejami362
5.9.2.3. Zarządzanie hasłami użytkowników363
5.9.2.4. Przeglądy praw dostępu użytkowników364
5.9.3. Odpowiedzialność użytkowników365
5.9.3.1. Używanie haseł365
5.9.3.2. Pozostawianie sprzętu użytkownika bez opieki372
5.9.3.3. Polityka czystego biurka i czystego ekranu373
5.9.4. Kontrola dostępu do sieci374
5.9.4.1. Zasady korzystania z usług sieciowych374
5.9.4.2. Uwierzytelnianie użytkowników przy połączeniach zewnętrznych375
5.9.4.3. Identyfikacja urządzeń w sieciach376
5.9.4.4. Ochrona zdalnych portów diagnostycznych i konfiguracyjnych377
5.9.4.5. Rozdzielanie sieci378
5.9.4.6. Kontrola połączeń sieciowych379
5.9.5. Kontrola dostępu do systemów operacyjnych380
5.9.4.7. Kontrola rutingu w sieciach380
5.9.5.1. Procedury bezpiecznego logowania się381
5.9.5.2. Identyfikacja i uwierzytelnianie użytkowników383
5.9.5.3. System zarządzania hasłami384
5.9.5.4. Użycie systemowych programów narzędziowych385
5.9.5.5. Zamykanie sesji po określonym czasie386
5.9.5.6. Ograniczanie czasu trwania połączenia386
5.9.6. Kontrola dostępu do informacji i aplikacji387
5.9.6.1. Ograniczanie dostępu do informacji388
5.9.6.2. Izolowanie systemów wrażliwych388
5.9.7. Przetwarzanie mobilne i praca na odległość389
5.9.7.1. Przetwarzanie i komunikacja mobilna389
5.9.7.2. Praca zdalna391
5.10. Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych395
5.10.1. Wymagania bezpieczeństwa systemów informacyjnych395
5.10.2. Poprawne przetwarzanie w aplikacjach396
5.10.2.1. Potwierdzanie poprawności danych wejściowych397
5.10.2.2. Kontrola przetwarzania wewnętrznego398
5.10.2.3. Integralność wiadomości400
5.10.2.4. Potwierdzanie poprawności danych wyjściowych400
5.10.3. Zabezpieczenia kryptograﬁczne401
5.10.3.1. Zasady korzystania z zabezpieczeń kryptograﬁcznych401
5.10.3.2. Zarządzanie kluczami403
5.10.4. Bezpieczeństwo plików systemowych405
5.10.4.1. Zabezpieczanie eksploatowanego oprogramowania406
5.10.4.2. Ochrona systemowych danych testowych408
5.10.4.3. Kontrola dostępu do kodów źródłowych programów408
5.10.5. Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej410
5.10.5.1. Procedury kontroli zmian410
5.10.5.2. Techniczny przegląd aplikacji po zmianach w systemie operacyjnym412
5.10.5.3. Ograniczenia dotyczące zmian w pakietach oprogramowania412
5.10.5.4. Wyciek informacji413
5.10.5.5. Prace rozwojowe nad oprogramowaniem powierzone firmie zewnętrznej414
5.11. Wymagania dotyczące dokumentacji415
5.11.1. Nadzór nad dokumentami416
5.11.2. Nadzór nad zapisami417
6. Zarządzanie zapewnianiem ciągłości działania419
6.1. Osadzenie zapewniania ciągłości działania w kulturze organizacji419
6.2. Zrozumienie istoty działania organizacji435
6.2.1. Wprowadzenie procesu systematycznego zarządzania zapewnianiem ciągłości działania435
6.2.2. Generalna analiza wpływu zakłóceń na działalność442
6.2.3. Identyfikacja, analiza i ocena ryzyka ogólnego446
6.2.4. Bezpieczeństwo informacji i ciągłość działania systemów informatycznych a zapewnianie ciągłości działania organizacji450
6.3. Określanie strategii zarządzania zapewnianiem ciągłości działania452
6.4. Opracowywanie i wdrażanie rozwiązań zapewniania ciągłości działania455
6.4.1. Analiza ryzyka operacyjnego i mapa zakłóceń455
6.4.2. Opracowywanie regulaminów, procedur, instrukcji459
6.4.3. Projektowanie scenariuszy awaryjnych461
6.4.4. Wdrażanie przyjętego postępowania z zakłóceniami463
6.5. Testowanie, utrzymywanie i audyt rozwiązań zapewniania ciągłości działania466
6.5.1. Testowanie466
6.5.2. Utrzymywanie467
6.5.3. Audyt469
7. Odpowiedzialność kierownictwa organizacji472
7.1. Zaangażowanie kierownictwa472
7.2. Szkolenie, uświadamianie i kompetencje pracowników476
8. Monitorowanie bezpieczeństwa477
8.1. Monitorowanie i przeglądy SZBI478
8.1.1. Niezależne przeglądy bezpieczeństwa informacji480
8.1.2. Dzienniki zdarzeń481
8.1.3. Monitorowanie wykorzystywania systemu482
8.1.4. Ochrona informacji zawartych w dziennikach zdarzeń484
8.1.5. Dzienniki zdarzeń administratora i operatora484
8.1.6. Rejestrowanie błędów485
8.1.7. Synchronizacja zegarów486
8.1.8. Monitorowanie i przegląd usług strony trzeciej486
8.1.9. Zgodność przeglądów z politykami bezpieczeństwa i standardami oraz zgodność techniczna488
8.2. Przeglądy realizowane przez kierownictwo489
8.2.1. Dane wejściowe do przeglądu489
8.2.2. Wyniki przeglądu490
9. Audyty SZBI492
9.1. Audyty systemów informacyjnych493
9.1.1. Bezpieczne prowadzenie audytu493
9.1.2. Ochrona narzędzi audytu494
9.2. Audyty wewnętrzne SZBI495
9.3. Procesy audytowe495
9.3.1. Etap przygotowawczy audytu496
9.3.1.1. Spotkanie wstępne496
9.3.2. Etap wykonawczy audytu497
9.3.1.2. Seminarium dla gremiów kierowniczych organizacji497
9.3.2.1. Ścieżka formalna audytu497
9.3.2.2. Ścieżka techniczna audytu499
9.3.3. Etap sprawozdawczy audytu501
9.3.3.1. Opracowanie dokumentu końcowego501
9.3.3.2. Przekazanie zleceniodawcy zbioru dokumentów audytowych501
10. Doskonalenie SZBI502
10.1. Ciągłe doskonalenie502
10.2. Działania korygujące502
10.3. Działania zapobiegawcze502
11. Zgodność z przepisami prawa504
11.1. Ustalenie odpowiednich przepisów prawa504
11.2. Prawo do własności intelektualnej504
11.3. Ochrona zapisów w organizacji506
11.4. Ochrona danych osobowych i prywatność informacji dotyczących osób ﬁzycznych508
11.5. Zapobieganie nadużywaniu środków przetwarzania informacji509
11.6. Regulacje dotyczące zabezpieczeń kryptograﬁcznych510
11.7. Sprawdzanie zgodności technicznej511
12. Terminologia513
12.1. Pojęcia i definicje513
Wykorzystane żródła (powołania w ostatniej kolumnie)541
12.2. Akronimy542
Bibliografia558

2.Zarządzanieryzykiemsystemów

informacyjnych

Wykorzystującniniejszyporadnik,personelinformatyczny

będziewstaniezidentyfikowaćrozmaiterodzajeryzyka

(takżesubiektywne),wyznaczyćmożliwyrozmiar

naruszeniaochronyiwskazaćmożliwościłagodzenia

ryzyka(ograniczaniawpływuzagrożeń).Przedstawione

dalejpodejściepozwalazarównoidentyfikowaćrodzaje

ryzykanapodstawiepotencjalnychzagrożeń,jakrównież

technikiichłagodzenia.Ponadtodostarczainformacje

ułatwiającewybórelementówsterowania

bezpieczeństwem,wzależnościodtego,wjakimstopniu

ryzykopowinnobyćograniczoneijakibędzietegokoszt.

Wiedzątąmusidysponowaćkierownictwo,

bypodejmowaćwłaściwedecyzjewramachzarządzania

ryzykiemipotrafićuzasadnićwydatkinazapewnianie

bezpieczeństwainformacji.

Ryzykojesttomierniknarażenia1określający

możliwośćzaistnienianegatywnegozdarzenia

wynikającegozpodatnościzasobu−zuwzględnieniem

prawdopodobieństwazaistnieniategozdarzeniaijego

skutku.Azwięźle:

ryzyko

szansazaistnienia

czyli

prawdopodobieństwo

)×

×(

skutek

lub

konsekwencje

czyli

strata

Wynikaztego,żeryzykomożebyćwyliczone

imakonkretnąwartość,którąorganizacjamusi

uwzględnićwswojejdziałalności.Oznaczato,

żeorganizacjapowinnaporównaćwartośćryzyka

zeswoimimożliwościamipokryciaewentualnychstrat

wprzypadkuurzeczywistnieniasiętegoryzyka

iwzależnościodwynikuporównaniapowinnaokreślić

strategięipolitykęwzakresiezarządzaniaryzykiem.

Możliwościpokryciaewentualnychstratsąwyrażone

przezMaksymalneDopuszczalneRyzyko(

MDR

).Jest

towielkośćwydatkównadzwyczajnych,jakieorganizacja

jestwstanieponieśćwprzypadkuwystąpienia

Brak wyników

Bezpieczeństwo systemów informacyjnych

Treść książki

Znajdź bibliotekę blisko siebie, i uzyskaj dostęp do ebooka w systemie IBUK Libra