Analiza ryzyka i ochrona informacji w systemach komputerowych

Krzysztof Liderman

Uzyskaj dostęp

ISBN/ISSN:

978-83-01-15370-0

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2008

Liczba stron:

290

XML:ISBN/ISSN:

ONIX MARC21

Bibliografia:

Liderman, Krzysztof. Analiza ryzyka i ochrona informacji w systemach komputerowych. Red. . Warszawa: Wydawnictwo Naukowe PWN, 2008, 290 s. ISBN 978-83-01-15370-0

Bibliografia refWorks:

RT Book, Whole

SR Electronic(1)

A1 Liderman, K.

T1 Analiza ryzyka i ochrona informacji w systemach komputerowych

PB Wydawnictwo Naukowe PWN

PP Warszawa

YR 2008

SN 978-83-01-15370-0

Bibliografia BibTex:

@Book{ 655, author = "Liderman, Krzysztof", editor = "", title = "Analiza ryzyka i ochrona informacji w systemach komputerowych", publisher = "Wydawnictwo Naukowe PWN", year = "2008", address = "Warszawa", isbn = "978-83-01-15370-0" }

Bibliografia endNote:

TY - BOOK

AU - Liderman, Krzysztof

ED -

TI - Analiza ryzyka i ochrona informacji w systemach komputerowych

PB - Wydawnictwo Naukowe PWN

CY - Warszawa

PY - 2008

SN - 978-83-01-15370-0

ER -

Netografia (standard APA):

Liderman, Krzysztof. Analiza ryzyka i ochrona informacji w systemach komputerowych [baza danych online] Warszawa: Wydawnictwo Naukowe PWN, 2008 [dostęp: 18 07 2024]. Dostęp w Ibuk Libra: https://libra.ibuk.pl/reader/analiza-ryzyka-i-ochrona-informacji-w-systemach-komputerowych-krzysztof-liderman-655.

bezpieczeństwo, ochrona informacji, analiza ryzyka, teleinformatyka

Autor cieszącego się dużym zainteresowaniem czytelników Podręcznika administratora bezpieczeństwa teleinformatycznego przedstawia swoją nową książkę, w której zamieścił rozważania na temat związków projektowania systemów ochrony informacji ...

Więcej

ISBN/ISSN:

978-83-01-15370-0

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2008

Liczba stron:

290

XML:ISBN/ISSN:

ONIX MARC21

Podziękowania7
Wstęp8
Rozdział 1. O informacji, bezpieczeństwie i systemie ochrony10
1.1. O informacji11
1.2. O bezpieczeństwie12
1.3. O systemie ochrony informacji*15
Rozdział 2. O procesach26
2.1. Procesy biznesowe w analizie ryzyka27
Rozdział 3. O zasobach, ich inwentaryzacji i klasyfikacji32
3.1. Inwentaryzacja zasobów teleinformatycznych32
3.2. Klasyfikacja zasobów teleinformatycznych33
3.3. Ocena wartości zasobów informacyjnych36
Rozdział 4. O zagrożeniach i podatnościach40
4.1. Rozważania o zagrożeniach41
4.2. Jak szukać zagrożeń ? pytania i podpowiedzi50
4.3. Burza mózgów ? przykład techniki identyfikacji zagrożeń54
4.3.1. Generowanie zagrożeń/scenariuszy57
4.3.2. Redukcja zbioru zagrożeń57
4.3.3. Nadawanie priorytetów scenariuszom57
4.4. Podatności58
Rozdział 5. O pomiarach bezpieczeństwa teleinformatycznego60
5.1. Pomiar62
5.2. Elementy formalnej teorii pomiaru*63
5.3. Omówienie wymagań definicji pomiaru65
5.3.1. Określenie przedmiotu pomiaru65
5.3.2. Przyporządkowanie liczb (miar)65
5.3.3. Obiektywność66
5.4. Uwagi końcowe o ?mierzeniu? bezpieczeństwa67
5.3.4. Empiryczność67
Rozdział 6. O ryzyku i zarządzaniu ryzykiem70
6.1. Ryzyko a problemy decyzyjne*72
6.2. Charakterystyka procesu zarządzania ryzykiem77
6.3. Analiza ryzyka ? identyfikacja zagrożeń, podatności i środowiska79
6.4. Identyfikacja wymagań dotyczących poziomu ochrony82
6.5. Analiza ryzyka ? szacowanie ryzyka84
6.5.1. Oszacowanie ryzyka ? metoda ilościowa (studium przypadku)87
6.5.2. Oszacowanie ryzyka ? metoda jakościowa (wytyczne raportu technicznego ISO/IEC TR 13335-3)92
6.5.3. Szacowanie ryzyka ? analiza bezpieczeństwa systemów sterowania100
6.6. Reakcja na ryzyko103
6.6.1. Kontrolowanie ryzyka poprzez stosowanie zabezpieczeń105
6.6.2. Akceptacja ryzyka szczątkowego110
6.6.3. Ryzyko akceptowalne i koszty postępowania z ryzykiem112
6.7. Administrowanie ryzykiem116
6.7.1. Zadania, czynności i zakresy kompetencji ? organizacja procesu zarządzania ryzykiem118
6.8. Podsumowanie rozważań o analizie ryzyka123
Rozdział 7. O testowaniu i audycie126
7.1. Przegląd rodzajów badań126
7.2. Ocena bezpieczeństwa teleinformatycznego128
7.3. Audyt130
7.4. Audyt i certyfikowanie SZBI144
Rozdział 8. O standardach150
8.1. Common Criteria i norma ISO/IEC 15408152
8.2. COBITTM? standard ładu informatycznego162
8.3. BS 7799 i norma PN-ISO/IEC 27001:2007: Technika informatyczna ? Techniki bezpieczeństwa ? Systemy zarządzania bezpieczeństwem informacji ?Wymagania165
8.3.1. Zawartość normy PN-ISO/IEC 27001:2007: Technika informatyczna ?Techniki bezpieczeństwa ? Systemy zarządzania bezpieczeństwem informacji ? Wymagania167
8.3.2. System zarządzania bezpieczeństwem informacji (SZBI)170
8.3.3. Normatywny zbiór zabezpieczeń ? załącznik A normy PN-ISO/IEC 27001174
Rozdział 9. O projektowaniu178
9.1. Cykl życia systemu bezpieczeństwa teleinformatycznego179
9.2. Zarządzanie projektowaniem i budową systemu bezpieczeństwa teleinformatycznego182
9.3. System bezpieczeństwa teleinformatycznego ? koncepcja184
9.3.1. Kompleksowość i dekompozycja185
9.4. Architektura systemu bezpieczeństwa teleinformatycznego189
9.3.2. Przesłanki budowy ?w głąb? systemu ochrony189
9.5. Analiza i projektowanie systemu bezpieczeństwa teleinformatycznego193
9.5.1. Etap analizy193
9.5.2. Etap projektowania194
9.5.3. Wzorce projektowe197
9.6. Ograniczenia procesu projektowania198
9.7. Dokumentowanie prac projektowych198
Załącznik. Metodyka L-RAC analizy i kontrolowania ryzyka w zakresie bezpieczeństwa teleinformatycznego205
Literatura280
Skorowidz286

Analizaryzykaiochronainformacjiwsystemachkomputerowych

Analogicznie,podatnościskładającesięnazbiórRTpodatności

5systemutelein-

formatycznegoT,należądojednegoznastępującychpodzbiorów:

RT2–podatnościorganizacyjne/kadrowe(np.brakweryfikacjiwiarygodności

personelu,brakszkoleńzzakresubezpieczeństwateleinformatycznego,braki

wdokumentacji),związanezobiektamizezbioruOPi/lubOL;

RT)–podatnościwochroniefizycznejitechnicznej(np.źlezlokalizowanysystem

monitoringu,popsutyautomatzamykającydrzwi),związanezobiektamizezbio-

ruOS;

RTSP–podatnościsprzętowo-programowe(np.źleskonfigurowaneaplikacje,

urządzenialubsystemy,błędywstosowanymoprogramowaniu),związane

zobiektamizezbioruOPi/lubOS.

RT=RT2∪RT)∪RTSP

przyczymnienależypodzbiorówwyróżnionychwBTiRTuważaćzaodpowia-

dającesobie,tzn.uważać,żepodatnościzpodzbiorunp.RT2zabezpieczamy

wyłącznieśrodkamizpodzbioruBT2itd.

Jakjużwspomniano,skutecznysystembezpieczeństwa(ST()powinienbyćkom−

pleksowy,wykorzystywaćzabezpieczenia:

organizacyjneikadroweBT2,

fizyczneitechniczneBT),

sprzętowo-programoweBTSP,

zorganizowanejako„obronawgłąb”.Kompleksowośćnależytutajrozumiećjako

postulat,abypodczastworzeniasystemubezpieczeństwawodniesieniudokażdej

podatnościsprawdzić,czyzabezpieczeniezpodzbiorunp.BT2dlapoprawnejrealiza-

cjiswojejfunkcjiniewymagawsparciazabezpieczeniamizpodzbiorówBT)i/lubBTSP

(inaodwrót),iwraziepotrzebytakiezabezpieczeniezastosować.

Przykład1.1

Jużzpobieżnegoprzeglądupodanychnapoczątkurozdziału1.3grupzabezpieczeń

wynika

6,żepodstawoweznaczeniedlaskutecznejochronybędziemiałakontrola

dostępunapoziomiefizycznymilogicznymdoinformacjiielementówsystemu

teleinformatycznego(obiektów,wtymzabezpieczeń).Takakontroladostępujest

realizowanaprzezprocesyochronne:

Jednymzzadańanalizyryzykanapotrzebybezpieczeństwateleinformatycznegojest

identyfikacjaelementówzbioruRT.

Por.takżetabelę9.3wrozdz.9.5.2.

Brak wyników

Analiza ryzyka i ochrona informacji w systemach komputerowych

Treść książki

Znajdź bibliotekę blisko siebie, i uzyskaj dostęp do ebooka w systemie IBUK Libra