Analiza ryzyka i ochrona informacji w systemach komputerowych

Krzysztof Liderman

Uzyskaj dostęp

ISBN/ISSN:

978-83-01-15370-0

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2008

Liczba stron:

290

XML:ISBN/ISSN:

ONIX MARC21

Bibliografia:

Liderman, Krzysztof. Analiza ryzyka i ochrona informacji w systemach komputerowych. Red. . Warszawa: Wydawnictwo Naukowe PWN, 2008, 290 s. ISBN 978-83-01-15370-0

Bibliografia refWorks:

RT Book, Whole

SR Electronic(1)

A1 Liderman, K.

T1 Analiza ryzyka i ochrona informacji w systemach komputerowych

PB Wydawnictwo Naukowe PWN

PP Warszawa

YR 2008

SN 978-83-01-15370-0

Bibliografia BibTex:

@Book{ 655, author = "Liderman, Krzysztof", editor = "", title = "Analiza ryzyka i ochrona informacji w systemach komputerowych", publisher = "Wydawnictwo Naukowe PWN", year = "2008", address = "Warszawa", isbn = "978-83-01-15370-0" }

Bibliografia endNote:

TY - BOOK

AU - Liderman, Krzysztof

ED -

TI - Analiza ryzyka i ochrona informacji w systemach komputerowych

PB - Wydawnictwo Naukowe PWN

CY - Warszawa

PY - 2008

SN - 978-83-01-15370-0

ER -

Netografia (standard APA):

Liderman, Krzysztof. Analiza ryzyka i ochrona informacji w systemach komputerowych [baza danych online] Warszawa: Wydawnictwo Naukowe PWN, 2008 [dostęp: 16 08 2024]. Dostęp w Ibuk Libra: https://libra.ibuk.pl/reader/analiza-ryzyka-i-ochrona-informacji-w-systemach-komputerowych-krzysztof-liderman-655.

analiza ryzyka, teleinformatyka, bezpieczeństwo, ochrona informacji

Autor cieszącego się dużym zainteresowaniem czytelników Podręcznika administratora bezpieczeństwa teleinformatycznego przedstawia swoją nową książkę, w której zamieścił rozważania na temat związków projektowania systemów ochrony informacji ...

Więcej

ISBN/ISSN:

978-83-01-15370-0

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2008

Liczba stron:

290

XML:ISBN/ISSN:

ONIX MARC21

Podziękowania7
Wstęp8
Rozdział 1. O informacji, bezpieczeństwie i systemie ochrony10
1.1. O informacji11
1.2. O bezpieczeństwie12
1.3. O systemie ochrony informacji*15
Rozdział 2. O procesach26
2.1. Procesy biznesowe w analizie ryzyka27
Rozdział 3. O zasobach, ich inwentaryzacji i klasyfikacji32
3.1. Inwentaryzacja zasobów teleinformatycznych32
3.2. Klasyfikacja zasobów teleinformatycznych33
3.3. Ocena wartości zasobów informacyjnych36
Rozdział 4. O zagrożeniach i podatnościach40
4.1. Rozważania o zagrożeniach41
4.2. Jak szukać zagrożeń ? pytania i podpowiedzi50
4.3. Burza mózgów ? przykład techniki identyfikacji zagrożeń54
4.3.1. Generowanie zagrożeń/scenariuszy57
4.3.2. Redukcja zbioru zagrożeń57
4.3.3. Nadawanie priorytetów scenariuszom57
4.4. Podatności58
Rozdział 5. O pomiarach bezpieczeństwa teleinformatycznego60
5.1. Pomiar62
5.2. Elementy formalnej teorii pomiaru*63
5.3. Omówienie wymagań definicji pomiaru65
5.3.1. Określenie przedmiotu pomiaru65
5.3.2. Przyporządkowanie liczb (miar)65
5.3.3. Obiektywność66
5.4. Uwagi końcowe o ?mierzeniu? bezpieczeństwa67
5.3.4. Empiryczność67
Rozdział 6. O ryzyku i zarządzaniu ryzykiem70
6.1. Ryzyko a problemy decyzyjne*72
6.2. Charakterystyka procesu zarządzania ryzykiem77
6.3. Analiza ryzyka ? identyfikacja zagrożeń, podatności i środowiska79
6.4. Identyfikacja wymagań dotyczących poziomu ochrony82
6.5. Analiza ryzyka ? szacowanie ryzyka84
6.5.1. Oszacowanie ryzyka ? metoda ilościowa (studium przypadku)87
6.5.2. Oszacowanie ryzyka ? metoda jakościowa (wytyczne raportu technicznego ISO/IEC TR 13335-3)92
6.5.3. Szacowanie ryzyka ? analiza bezpieczeństwa systemów sterowania100
6.6. Reakcja na ryzyko103
6.6.1. Kontrolowanie ryzyka poprzez stosowanie zabezpieczeń105
6.6.2. Akceptacja ryzyka szczątkowego110
6.6.3. Ryzyko akceptowalne i koszty postępowania z ryzykiem112
6.7. Administrowanie ryzykiem116
6.7.1. Zadania, czynności i zakresy kompetencji ? organizacja procesu zarządzania ryzykiem118
6.8. Podsumowanie rozważań o analizie ryzyka123
Rozdział 7. O testowaniu i audycie126
7.1. Przegląd rodzajów badań126
7.2. Ocena bezpieczeństwa teleinformatycznego128
7.3. Audyt130
7.4. Audyt i certyfikowanie SZBI144
Rozdział 8. O standardach150
8.1. Common Criteria i norma ISO/IEC 15408152
8.2. COBITTM? standard ładu informatycznego162
8.3. BS 7799 i norma PN-ISO/IEC 27001:2007: Technika informatyczna ? Techniki bezpieczeństwa ? Systemy zarządzania bezpieczeństwem informacji ?Wymagania165
8.3.1. Zawartość normy PN-ISO/IEC 27001:2007: Technika informatyczna ?Techniki bezpieczeństwa ? Systemy zarządzania bezpieczeństwem informacji ? Wymagania167
8.3.2. System zarządzania bezpieczeństwem informacji (SZBI)170
8.3.3. Normatywny zbiór zabezpieczeń ? załącznik A normy PN-ISO/IEC 27001174
Rozdział 9. O projektowaniu178
9.1. Cykl życia systemu bezpieczeństwa teleinformatycznego179
9.2. Zarządzanie projektowaniem i budową systemu bezpieczeństwa teleinformatycznego182
9.3. System bezpieczeństwa teleinformatycznego ? koncepcja184
9.3.1. Kompleksowość i dekompozycja185
9.4. Architektura systemu bezpieczeństwa teleinformatycznego189
9.3.2. Przesłanki budowy ?w głąb? systemu ochrony189
9.5. Analiza i projektowanie systemu bezpieczeństwa teleinformatycznego193
9.5.1. Etap analizy193
9.5.2. Etap projektowania194
9.5.3. Wzorce projektowe197
9.6. Ograniczenia procesu projektowania198
9.7. Dokumentowanie prac projektowych198
Załącznik. Metodyka L-RAC analizy i kontrolowania ryzyka w zakresie bezpieczeństwa teleinformatycznego205
Literatura280
Skorowidz286

Analizaryzykaiochronainformacjiwsystemachkomputerowych

roweitd.).Bezpieczeństwoteleinformatycznedotyczyinformacjiprzesyłanych,przecho-

wywanychiprzetwarzanychwsieciachisystemachteleinformatycznych.

Wzależnościodprzeznaczeniaikonstrukcjisystemuteleinformatycznegoroz-

różniasięzwykletzw.bezpieczeństwonazewnątrzorazbezpieczeństwodowewnątrz.

Termin„bezpieczeństwonazewnątrz”określaochronęprzedzagrożeniamidlaśro−

dowiska(wtymdlaczłowieka),wktórympracujesystemkomputerowy,spowo-

dowanyminieprawidłowymdziałaniemtegosystemu.Dotyczytogłówniesystemów

sterowania(zwyklesątosystemyczasurzeczywistego[13],[41],[46]),np.monito-

rującychstanpacjentawszpitalu,kontrolującychdziałanieelektrownijądrowej,

nadzorującychruchkolejowy,czyteżsystemówpokładowych,np.samolotów.Wję-

zykuangielskimogółzagadnieńzwiązanychzochronątegotypu(wsensieniedo-

puszczaniadokatastrof)określasięzwykleterminemsafety.

Termin„bezpieczeństwodowewnątrz”określaochronęprzedzagrożeniamidla

informacjiprzechowywanej,przetwarzanejiprzesyłanejwsystemieteleinformatycz-

nym.Dotyczytogłówniesieciteleinformatycznychbanków,firm,organizacjinauko-

wychitd.Wjęzykuangielskimogółzagadnieńzwiązanychzochronątegotypu

(wsensieniedopuszczaniadoutratytajności,integralności,dostępnościinformacji)

określasięzwykleterminemsecurity.Tobezpieczeństwodowewnątrz,nazywanedalej

bezpieczeństweminformacji,będziegłównymprzedmiotemrozważańwtejksiążce.

Definicja1.1

Terminbezpieczeństwoinformacjioznaczastopieńuzasadnionego(np.

analiząryzykaiprzyjętymimetodamipostępowaniazryzykiem)zaufania,że

niezostanąponiesionepotencjalnestratywynikającezniepożądanego

(przypadkowegolubświadomego):

ujawnienia,

modyfikacji,

zniszczenia,

uniemożliwieniaprzetwarzania

informacjiprzechowywanej,przetwarzanejiprzesyłanejwokreślonymsys-

temieobieguinformacji.

••••

Możnazauważyć,że„bezpieczeństwo”niejestaniobiektem,anizdarzeniem,ani

procesem–toimponderabiliazdziedzinypsychologii.Decydującywpływna„zaufa-

nie”masiłaochronyinformacji.Podstawoweatrybutyinformacjizwiązanezjej

ochronąto:

Tajność–informujeostopniuochrony,jakiejmaonapodlegać.Stopieńtenjest

uzgadnianyprzezosobyluborganizacjedostarczająceiotrzymująceinformację

Brak wyników

Analiza ryzyka i ochrona informacji w systemach komputerowych

Treść książki

Znajdź bibliotekę blisko siebie, i uzyskaj dostęp do ebooka w systemie IBUK Libra