"Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie"
Identyfikator Librowy: 195530
Spis treści
Od Autora 16
1.1. Bezpieczeństwo informacji i usług a bezpieczeństwo teleinformatyczne 28
1. Wstęp 28
1.2. Interdyscyplinarny charakter zagadnień i szczególna rola informatyki 30
1.3. Podstawowe problemy bezpieczeństwa teleinformatycznego 31
1.4. Dwa podejścia do zagadnień bezpieczeństwa 31
1.5. Potrzeba tworzenia komputerowych narzędzi wspomagających 32
2.1. Bezpieczeństwo i jego atrybuty 34
2. Wprowadzenie do zarządzania bezpieczeństwem informacji i usług 34
2.2. Wrażliwość informacji i krytyczność usług – istota ochrony 36
2.3. Elementy bezpieczeństwa 37
3. Normy, standardy i zalecenia 46
3.1. Działalność połączonego komitetu technicznego ISO/IEC 48
3.2. Raporty techniczne ISO/IEC TR 13335 49
3.3. Rozwój i znaczenie rodziny standardów BS 7799 52
3.4. Szczególne znaczenie standardu COBIT 57
3.5. Kryteria oceny zabezpieczeń 68
3.6. Standardy dotyczące rozwiązań technicznych 69
3.7. Przygotowanie organizacji do działań audytorskich 69
3.8. Zalecenia i inne wytyczne szczegółowe 70
3.9. Aktualny stan rozwoju standardów i sposób ich wykorzystania 71
4. Ryzyko w sensie ogólnym i technicznym 75
4.1. Podstawy analizy ryzyka w sensie ogólnym 76
4.2. Bezpieczeństwo funkcjonalne w świetle IEC 61508 80
4.3. Metody jakościowe oceny ryzyka 83
4.3.1. Metoda wstępnej analizy ryzyka i hazardu 83
4.3.2. Metoda HAZOP 83
4.3.3. Metody analizy defektów 84
4.4. Metody wykorzystujące struktury drzewiaste 85
4.4.1. Metoda drzewa błędów 85
4.4.2. Metoda drzewa zdarzeń 86
4.4.3. Analiza przyczynowo-skutkowa 88
4.4.4. Metoda inspekcji drzewa ryzyka 88
4.4.5. Technika przeglądu organizacji zarządzania bezpieczeństwem 89
4.5. Metody analizy dynamicznej 90
4.5.1. Metoda GO 90
4.5.2. Metody grafów 90
4.5.3. Zastosowanie modeli Markowa 91
4.5.4. Metoda DYLAM 92
4.6. Podsumowanie przeglądu metod oceny ryzyka 93
4.5.5. Metoda DETAM 93
5.1. Podstawowe strategie zarządzania ryzykiem 95
5. Analiza ryzyka i strategie zarządzania nim w teleinformatyce 95
5.2. Ogólny schemat analizy ryzyka 97
5.3. Metody kumulowania wielkości ryzyka 98
5.3.1. Macierz predefiniowanych wartości 98
5.3.2. Lista rankingowa zagrożeń 98
5.3.3. Częstość zagrożeń 99
5.3.4. Skala uproszczona wyrażająca tolerowanie ryzyka 100
5.4. Podstawowe metody redukcji ryzyka 101
5.4.1. Redukcja ryzyka przez stosowanie typowych zabezpieczeń – ochrona podstawowa 102
5.4.2. Redukcja ryzyka wspierana nieformalną jego analizą 103
5.4.3. Redukcja ryzyka wspierana jego szczegółową i formalną analizą 105
5.4.4. Metoda mieszana (kombinowana) redukcji ryzyka 105
6.1. Komputerowe wspomaganie analizy i zarządzania ryzykiem 107
6. Wybrane metody i komputerowe narzędzia wspomagające 107
6.2. Metodyka zarządzania ryzykiem opracowana w instytucie NIST 109
6.2.1. Analiza ryzyka 111
6.2.2. Ograniczanie ryzyka 118
6.3. Metodyka szacowania zagrożeń i ryzyka (TRA) opracowana w CSE 127
6.4. Metodyka CORA i komputerowe narzędzia wspomagające 131
6.4.1. Zasady budowy modelu ryzyka 135
6.4.2. Analiza modelu i wypracowanie optymalnej strategii ograniczania ryzyka 137
6.5. Metodyka i oprogramowanie CRAMM 143
6.5.1. CRAMM-Expert – faza przygotowawcza 145
6.5.2. CRAMM-Expert – etap analizy zasobów 145
6.5.3. CRAMM-Expert – etap analizy ryzyka 147
6.5.4. CRAMM-Expert – etap zarządzania ryzykiem 148
6.5.5. CRAMM-Expert – implementacja ISMS 149
6.6. Oprogramowanie COBRA 152
6.7. Metoda IRIS 153
6.8. Oprogramowanie RiskPAC 155
6.9. Oprogramowanie ASSET 157
6.10. Inne wybrane metody i narzędzia 159
6.10.1. Pakiet MARION 159
6.10.2. Metoda VIR’94 159
6.10.3. Metoda MAGERIT 160
6.10.4. Metoda MASSIA 160
6.10.5. Metoda TISM 160
6.10.6. Metoda SIM 161
6.11. Przykłady analizatorów bezpieczeństwa i innych narzędzi wspomagających jego utrzymywanie na bieżąco 162
6.11.1. Pakiet SARA 162
6.11.2. Security Analyzer firmy NetIQ 163
6.11.3. Security Manager firmy NetIQ 163
6.11.4. Pakiet OmniGuard ESM firmy Axent 164
6.11.5. Symantec Enterprise Security Manager 164
6.11.6. Inne narzędzia wspomagające utrzymywanie bezpieczeństwa 165
7.1. Trójpoziomowy model hierarchii celów, strategii i polityki 166
7. Trójpoziomowy model odniesienia 166
7.2. Hierarchiczna struktura dokumentacji bezpieczeństwa według modelu odniesienia 170
7.3. Hierarchiczna struktura zarządzająca według modelu odniesienia 172
7.3.1. Zaangażowanie zarządu instytucji 174
7.3.2. Struktura organizacyjna zespołów odpowiedzialnych 175
7.3.3. Skład i kompetencje rady ds. bezpieczeństwa teleinformatyki 177
7.3.4. Inspektor bezpieczeństwa teleinformatycznego 179
7.3.5. Oddziałowy inspektor bezpieczeństwa teleinformatycznego 179
7.4. Trójpoziomowy model odniesienia w praktyce 180
7.3.6. Inspektor bezpieczeństwa teleinformatycznego systemu lub realizowanego projektu 180
7.5. Polityka a zarządzanie bezpieczeństwem 182
8.1. Wprowadzenie 183
8. System bezpieczeństwa instytucji 183
8.2. Fazy realizacji i ogólny schemat funkcjonowania systemu bezpieczeństwa instytucji 186
8.3. Zapis sformalizowany modelu trójpoziomowego 192
8.4. Zapis sformalizowany procesów związanych z utrzymaniem bezpieczeństwa 195
9. Bezpieczeństwo w instytucji 200
9.1. Architektura systemu bezpieczeństwa instytucji 201
9.2. Analiza procesów biznesowych ze względu na stopień zaangażowania systemów teleinformatycznych w ich realizację 202
9.3. Ogólne potrzeby bezpieczeństwa systemów teleinformatycznych instytucji 212
9.4. Formułowanie dokumentu polityki bezpieczeństwa instytucji 215
9.5. Zarządzanie bezpieczeństwem na poziomie instytucji 218
10.1. Architektura systemu bezpieczeństwa teleinformatycznego instytucji 219
10. Ogólne zasady bezpieczeństwa teleinformatycznego w instytucji 219
10.2. Cele bezpieczeństwa systemów teleinformatycznych instytucji 222
10.3. Otoczenie prawne 225
10.4. Wybór strategii redukcji ryzyka 227
11. Wysokopoziomowa (ogólna) analiza ryzyka i wyznaczenie obszarów wymagających ochrony 229
11.1. Wymagania ochronne 230
11.2. Domeny bezpieczeństwa 233
11.3. Przebieg wysokopoziomowej analizy ryzyka 234
12.1. Wprowadzenie 237
12. Koncepcja hierarchii zasobów 237
12.2. Interpretacja praktyczna modelu 239
12.3. Przekroje modelu 242
12.4. Zbiór dostępnych typów zasobów 242
12.5. Zbiór eksploatowanych zasobów 245
12.6. Specjalne znaczenie klasy zasobów reprezentującej personel 248
12.7. Znaczenie przekrojów modelu zasobów dla zarządzania bezpieczeństwem 249
13.1. Wprowadzenie 250
13. Przebieg szczegółowej analizy ryzyka w systemach teleinformatycznych 250
13.2. Granice obszarów zajmowanych przez zasoby instytucji 253
13.3. Analiza zasobów – identyfikacja i wycena 253
13.3.1. Przygotowanie zbioru dostępnych zasobów 254
13.3.2. Przygotowanie zbioru eksploatowanych zasobów 254
13.3.3. Atrybuty przekroju zarządzania zasobami 255
13.3.4. Wycena zasobów 255
13.4. Ocena podatności 260
13.5. Środowisko zagrożeń 265
13.6. Identyfikacja istniejących lub planowanych zabezpieczeń 268
13.7. Podsumowanie wyników analizy ryzyka 270
14.1. Wzorcowa lista wymagań według PN-ISO/IEC 17799 (PN-I-07799-2) 277
14. Wzorce wymagań dotyczących zabezpieczeń 277
14.2. Tworzenie list wymagań na podstawie katalogu zabezpieczeń zapewniających ochronę podstawową 283
14.3. Rekomendacje bankowe, normy branżowe, akty prawne 285
15. Wypracowanie strategii wyboru zabezpieczeń 288
15.1. Ustalanie listy wymagań, przyjmując cele bezpieczeństwa jako podstawowe ich źródło 290
15.2. Ustalanie listy wymagań na podstawie listy wzorcowej 292
15.3. Ustalanie listy wymagań na podstawie wyników analizy ryzyka 293
16.1. Podstawy tworzenia odrębnych wersji polityki bezpieczeństwa dla oddziałów instytucji (poziom IIa) 294
16. Ogólne zasady tworzenia architektury bezpieczeństwa na poziomie II i III 294
16.1.1. Architektura systemu bezpieczeństwa teleinformatycznego na poziomie oddziałów instytucji 295
16.1.2. Zarządzanie bezpieczeństwem na poziomie oddziałów instytucji 296
16.2. Wpływ jednorodności wymagań na architekturę bezpieczeństwa 297
16.3. Architektura systemu bezpieczeństwa na poziomie systemów teleinformatycznych 298
17.1. Wprowadzenie 301
17. Dobór zabezpieczeń na podstawie zdefiniowanych wymagań 301
17.2. Identyfikacja ograniczeń 304
17.3. Ogólna koncepcja ochrony podstawowej 308
17.4. Dobór zabezpieczeń podstawowych według rodzaju systemu 308
17.5. Dobór zabezpieczeń podstawowych według potrzeb bezpieczeństwa i zagrożeń 313
17.6. Przykład metodyki ochrony podstawowej – IT Grundschutz 317
17.6.1. Identyfikacja składników systemów teleinformatycznych 320
17.6.2. Identyfikacja aplikacji oraz przetwarzanych informacji 326
17.6.3. Określenie wymagań ochronnych dla elementów systemu 328
17.6.4. Dobór zabezpieczeń zapewniających ochronę podstawową 331
17.7. Dobór zabezpieczeń wynikających z analizy ryzyka 340
17.7.1. System zarządzania bezpieczeństwem informacji ISMS i zawarte w nim podejście do redukcji ryzyka 344
17.8. Uwzględnienie architektury systemów w architekturze bezpieczeństwa na poziomie systemów teleinformatycznych 357
17.9. Akceptacja ryzyka 358
18.1. Zasady konstruowania 361
18. Polityka bezpieczeństwa teleinformatycznego – ogółu systemów teleinformatycznych w instytucji (poziom II) 361
18.2. Zawartość i przykłady 363
18.3. Zarządzanie bezpieczeństwem na poziomie systemów teleinformatycznych instytucji 367
19.1. Zasady konstruowania 369
19. Polityka dotycząca bezpieczeństwa poszczególnych systemów (poziomu III) i plany zabezpieczeń 369
19.2. Zawartość dokumentu 370
19.3. Plany zabezpieczeń poszczególnych systemów 372
19.4. Zarządzanie bezpieczeństwem na poziomie systemów 374
20. Procesy wdrożeniowe 375
20.1. Wdrożenie zabezpieczeń 376
20.1.1. Opracowanie dokumentacji wdrażanych zabezpieczeń 377
20.1.2. Realizacja planu zabezpieczeń i weryfikacja jego skuteczności 379
20.2. Działania uświadamiające i ich nadzorowanie 381
20.3. Szkolenia 385
20.4. Akredytacja systemów 388
21. Czynności powdrożeniowe 392
21.1. Wykrywanie zmian i zarządzanie zmianami 393
21.2. Monitorowanie elementów systemu bezpieczeństwa 395
21.3. Zarządzanie zabezpieczeniami i utrzymywanie ich skuteczności 399
21.4. Kontrola zgodności 400
21.5. Zarządzanie incydentami i doskonalenie systemu bezpieczeństwa 405
22. Wnioski i uwagi końcowe 413
Wykaz niektórych skrótów angielskich i polskich oraz oznaczeń 417
Literatura 425
Dodatki 436
I. Przykład polityki dotyczącej bezpieczeństwa instytucji (poziom I) 438
I.1. Deklaracja o ustanowieniu Polityki Bezpieczeństwa Firmy e-GADGET sp. z o.o 438
I.2. Cel opracowania i zawartość dokumentu 439
I.3. Podstawy normatywne 440
I.4. Podstawy prawne 440
I.5. Zakres oddziaływania polityki 440
I.6. Bezpieczeństwo w Firmie e-GADGET 441
I.7. Role i odpowiedzialność 442
I.10. Odwołanie do Polityki Bezpieczeństwa Teleinformatycznego Firmy e-GADGET sp. z o.o 443
I.8. Rozpowszechnianie i zarządzanie dokumentem polityki 443
I.9. Załączniki 443
I.9.1. Regulaminy, instrukcje, procedury 443
I.9.2. Role dotyczące bezpieczeństwa teleinformatycznego 443
II. Przykład polityki dotyczącej bezpieczeństwa teleinformatycznego instytucji (poziom II) 445
II.1. Umocowanie prawne 445
II.2. Cel opracowania i zawartość dokumentu 445
II.3. Podstawy normatywne i terminologia 446
II.4. Podstawy prawne 446
II.5. Zakres oddziaływania 447
II.6. Bezpieczeństwo informacji i usług elektronicznych w Firmie e-GADGET 447
II.6.1. Procesy biznesowe wspierane przez technologie teleinformatyczne 447
II.6.2. Postanowienia ogólne 450
II.6.3. Postępowanie wobec ryzyka 452
II.6.4. Otoczenie prawne i identyfikacja zasobów 453
II.6.5. Ogólne potrzeby bezpieczeństwa wynikające z procesów biznesowych, wspomaganych w realizacji technologiami teleinformatycznymi 461
II.6.6. Wnioski ogólne z analizy ryzyka 461
II.6.7. Metoda postępowania przy tworzeniu systemu bezpieczeństwa 462
II.6.8. Cele zabezpieczeń i ogólne strategie 463
II.6.9. Szczegółowe zasady i wymagania dotyczące zabezpieczeń 466
II.6.9.1. Wymagania dotyczące dokumentu polityki bezpieczeństwa 466
II.6.9.2. Wymagania dotyczące organizacji systemu bezpieczeństwa 466
II.6.9.3. Klasyfikacja i nadzór nad zasobami 468
II.6.9.4. Bezpieczeństwo osobowe 468
II.6.9.5. Bezpieczeństwo fizyczne i środowiskowe 469
II.6.9.6. Zarządzanie systemem 470
II.6.9.7. Kontrola dostępu 472
II.6.9.8. Rozwój i utrzymanie systemów 473
II.6.9.10. Zgodność 475
II.6.9.9. Ciągłość procesów biznesowych 475
II.7. Role i odpowiedzialność 476
II.7.1. Ogólna organizacja służb odpowiedzialnych i ich role 476
II.7.2. Komitet Bezpieczeństwa Teleinformatycznego (KBTI) 477
II.7.3. Zespół Bezpieczeństwa Teleinformatycznego (ZBTI) 478
II.7.4. Pion Eksploatacji (PE) 479
II.7.5. Użytkownicy i inni pracownicy 479
II.7.6. Postanowienia dodatkowe 481
II.7.7. Odpowiedzialność za naruszenia polityki 481
II.8. Rozpowszechnianie i zarządzanie dokumentem polityki 482
II.9. Załączniki 482
II.9.1. Normy i zalecenia wykorzystywane do tworzenia polityki 482
II.9.2. Definicje wykorzystywanych pojęć 483
II.9.3. Tajemnice prawnie chronione, występujące w Firmie e-GADGET jako element otoczenia prawnego, oznaczane jako EG-POUFNE 486
II.9.4. Tajemnice przedsiębiorstwa chronione na zasadach wzajemności, na podstawie wielostronnych umów zawartych przez Firmę e-GADGET, oznaczane EG-POUFNE 487
II.9.5. Tajemnice przedsiębiorstwa określone na podstawie zarządzeń wewnętrznych w Firmie e-GADGET, oznaczane EG-POUFNE 487
II.9.6. Działania zgodne z prawem, występujące w Firmie e-GADGET jako element otoczenia prawnego 488
II.9.7. Regulaminy, instrukcje, procedury, wzorce dokumentów 488
II.9.10. Role dotyczące właścicieli zasobów 489
II.9.8. Role członków zarządu 489
II.9.9. Role w Pionie Bezpieczeństwa 489
II.9.11. Role w Pionie Eksploatacji 490
II.9.12. Uregulowania specjalne dotyczące ról 490
II.9.13. Dokumentacja projektowa i plany 490
II.10. Odwołanie do polityki dotyczącej bezpieczeństwa poszczególnych systemów teleinformatycznych w Firmie e-GADGET sp. z o.o 491
III. Przykład polityki dotyczącej bezpieczeństwa systemów informacyjnych instytucji w układzie ISMS 492
III.1. Wprowadzenie 492
III.2. Cel opracowania 492
III.3. Zakres oddziaływania 493
III.4. Zasady polityki 493
III.5. Zasady odpowiedzialności za bezpieczeństwo 495
III.5.1. Zasady ogólne 495
III.5.2. Odpowiedzialność kierownictwa firmy 495
III.5.3. Odpowiedzialność Inspektora Bezpieczeństwa Informacji 495
III.5.4. Odpowiedzialność Inspektora Bezpieczeństwa Technologii Informatycznych 496
III.5.5. Odpowiedzialność ogólna 497
III.6. Wskazania ogólne 497
III.7. Przegląd dokumentu polityki 497
III.8. Dokumenty związane 497
IV. Specyfikacja zagadnień bezpieczeństwa zawartych w normie PN-ISO/IEC 17799 498
V. Specyfikacja zagadnień bezpieczeństwa organizacyjnego i fizycznego zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według specyficznych cech systemu 507
VI. Specyfikacja zagadnień bezpieczeństwa teleinformatycznego zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według specyficznych cech systemu 516
VII. Specyfikacja zagadnień bezpieczeństwa w układzie według zagrożeń zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według zagrożeń 522
Skorowidz 542