Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie

Andrzej Białas

Uzyskaj dostęp

Zakup książkę

ISBN/ISSN:

978-83-01-19416-1

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2017

Liczba stron:

552

XML:ISBN/ISSN:

ONIX MARC21

Bibliografia:

Białas, Andrzej. Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie. Red. . Warszawa: Wydawnictwo Naukowe PWN, 2017, 552 s. ISBN 978-83-01-19416-1

Bibliografia refWorks:

RT Book, Whole

SR Electronic(1)

A1 Białas, A.

T1 Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie

PB Wydawnictwo Naukowe PWN

PP Warszawa

YR 2017

SN 978-83-01-19416-1

Bibliografia BibTex:

@Book{ 195530, author = "Białas, Andrzej", editor = "", title = "Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie", publisher = "Wydawnictwo Naukowe PWN", year = "2017", address = "Warszawa", isbn = "978-83-01-19416-1" }

Bibliografia endNote:

TY - BOOK

AU - Białas, Andrzej

ED -

TI - Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie

PB - Wydawnictwo Naukowe PWN

CY - Warszawa

PY - 2017

SN - 978-83-01-19416-1

ER -

Netografia (standard APA):

Białas, Andrzej. Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie [baza danych online] Warszawa: Wydawnictwo Naukowe PWN, 2017 [dostęp: 16 07 2024]. Dostęp w Ibuk Libra: https://libra.ibuk.pl/reader/bezpieczenstwo-informacji-i-uslug-w-nowoczesnej-instytucji-i-firmie-andrzej-bialas-195530.

zarządzanie, informatyka, telekomunikacja

Publikacja Wydawnictwa WNT, dodruk Wydawnictwo Naukowe PWN

Książka stanowi kompendium wiedzy na temat zapewnienia bezpieczeństwa informacji i usług. Autor zapoznaje Czytelnika z podstawowymi pojęciami, metodami i narzędziami dotyczącymi bez...

Więcej

ISBN/ISSN:

978-83-01-19416-1

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2017

Liczba stron:

552

XML:ISBN/ISSN:

ONIX MARC21

Od Autora16
1.1. Bezpieczeństwo informacji i usług a bezpieczeństwo teleinformatyczne28
1. Wstęp28
1.2. Interdyscyplinarny charakter zagadnień i szczególna rola informatyki30
1.3. Podstawowe problemy bezpieczeństwa teleinformatycznego31
1.4. Dwa podejścia do zagadnień bezpieczeństwa31
1.5. Potrzeba tworzenia komputerowych narzędzi wspomagających32
2.1. Bezpieczeństwo i jego atrybuty34
2. Wprowadzenie do zarządzania bezpieczeństwem informacji i usług34
2.2. Wrażliwość informacji i krytyczność usług – istota ochrony36
2.3. Elementy bezpieczeństwa37
3. Normy, standardy i zalecenia46
3.1. Działalność połączonego komitetu technicznego ISO/IEC48
3.2. Raporty techniczne ISO/IEC TR 1333549
3.3. Rozwój i znaczenie rodziny standardów BS 779952
3.4. Szczególne znaczenie standardu COBIT57
3.5. Kryteria oceny zabezpieczeń68
3.6. Standardy dotyczące rozwiązań technicznych69
3.7. Przygotowanie organizacji do działań audytorskich69
3.8. Zalecenia i inne wytyczne szczegółowe70
3.9. Aktualny stan rozwoju standardów i sposób ich wykorzystania71
4. Ryzyko w sensie ogólnym i technicznym75
4.1. Podstawy analizy ryzyka w sensie ogólnym76
4.2. Bezpieczeństwo funkcjonalne w świetle IEC 6150880
4.3. Metody jakościowe oceny ryzyka83
4.3.1. Metoda wstępnej analizy ryzyka i hazardu83
4.3.2. Metoda HAZOP83
4.3.3. Metody analizy defektów84
4.4. Metody wykorzystujące struktury drzewiaste85
4.4.1. Metoda drzewa błędów85
4.4.2. Metoda drzewa zdarzeń86
4.4.3. Analiza przyczynowo-skutkowa88
4.4.4. Metoda inspekcji drzewa ryzyka88
4.4.5. Technika przeglądu organizacji zarządzania bezpieczeństwem89
4.5. Metody analizy dynamicznej90
4.5.1. Metoda GO90
4.5.2. Metody grafów90
4.5.3. Zastosowanie modeli Markowa91
4.5.4. Metoda DYLAM92
4.6. Podsumowanie przeglądu metod oceny ryzyka93
4.5.5. Metoda DETAM93
5.1. Podstawowe strategie zarządzania ryzykiem95
5. Analiza ryzyka i strategie zarządzania nim w teleinformatyce95
5.2. Ogólny schemat analizy ryzyka97
5.3. Metody kumulowania wielkości ryzyka98
5.3.1. Macierz predefiniowanych wartości98
5.3.2. Lista rankingowa zagrożeń98
5.3.3. Częstość zagrożeń99
5.3.4. Skala uproszczona wyrażająca tolerowanie ryzyka100
5.4. Podstawowe metody redukcji ryzyka101
5.4.1. Redukcja ryzyka przez stosowanie typowych zabezpieczeń – ochrona podstawowa102
5.4.2. Redukcja ryzyka wspierana nieformalną jego analizą103
5.4.3. Redukcja ryzyka wspierana jego szczegółową i formalną analizą105
5.4.4. Metoda mieszana (kombinowana) redukcji ryzyka105
6.1. Komputerowe wspomaganie analizy i zarządzania ryzykiem107
6. Wybrane metody i komputerowe narzędzia wspomagające107
6.2. Metodyka zarządzania ryzykiem opracowana w instytucie NIST109
6.2.1. Analiza ryzyka111
6.2.2. Ograniczanie ryzyka118
6.3. Metodyka szacowania zagrożeń i ryzyka (TRA) opracowana w CSE127
6.4. Metodyka CORA i komputerowe narzędzia wspomagające131
6.4.1. Zasady budowy modelu ryzyka135
6.4.2. Analiza modelu i wypracowanie optymalnej strategii ograniczania ryzyka137
6.5. Metodyka i oprogramowanie CRAMM143
6.5.1. CRAMM-Expert – faza przygotowawcza145
6.5.2. CRAMM-Expert – etap analizy zasobów145
6.5.3. CRAMM-Expert – etap analizy ryzyka147
6.5.4. CRAMM-Expert – etap zarządzania ryzykiem148
6.5.5. CRAMM-Expert – implementacja ISMS149
6.6. Oprogramowanie COBRA152
6.7. Metoda IRIS153
6.8. Oprogramowanie RiskPAC155
6.9. Oprogramowanie ASSET157
6.10. Inne wybrane metody i narzędzia159
6.10.1. Pakiet MARION159
6.10.2. Metoda VIR’94159
6.10.3. Metoda MAGERIT160
6.10.4. Metoda MASSIA160
6.10.5. Metoda TISM160
6.10.6. Metoda SIM161
6.11. Przykłady analizatorów bezpieczeństwa i innych narzędzi wspomagających jego utrzymywanie na bieżąco162
6.11.1. Pakiet SARA162
6.11.2. Security Analyzer firmy NetIQ163
6.11.3. Security Manager firmy NetIQ163
6.11.4. Pakiet OmniGuard ESM firmy Axent164
6.11.5. Symantec Enterprise Security Manager164
6.11.6. Inne narzędzia wspomagające utrzymywanie bezpieczeństwa165
7.1. Trójpoziomowy model hierarchii celów, strategii i polityki166
7. Trójpoziomowy model odniesienia166
7.2. Hierarchiczna struktura dokumentacji bezpieczeństwa według modelu odniesienia170
7.3. Hierarchiczna struktura zarządzająca według modelu odniesienia172
7.3.1. Zaangażowanie zarządu instytucji174
7.3.2. Struktura organizacyjna zespołów odpowiedzialnych175
7.3.3. Skład i kompetencje rady ds. bezpieczeństwa teleinformatyki177
7.3.4. Inspektor bezpieczeństwa teleinformatycznego179
7.3.5. Oddziałowy inspektor bezpieczeństwa teleinformatycznego179
7.4. Trójpoziomowy model odniesienia w praktyce180
7.3.6. Inspektor bezpieczeństwa teleinformatycznego systemu lub realizowanego projektu180
7.5. Polityka a zarządzanie bezpieczeństwem182
8.1. Wprowadzenie183
8. System bezpieczeństwa instytucji183
8.2. Fazy realizacji i ogólny schemat funkcjonowania systemu bezpieczeństwa instytucji186
8.3. Zapis sformalizowany modelu trójpoziomowego192
8.4. Zapis sformalizowany procesów związanych z utrzymaniem bezpieczeństwa195
9. Bezpieczeństwo w instytucji200
9.1. Architektura systemu bezpieczeństwa instytucji201
9.2. Analiza procesów biznesowych ze względu na stopień zaangażowania systemów teleinformatycznych w ich realizację202
9.3. Ogólne potrzeby bezpieczeństwa systemów teleinformatycznych instytucji212
9.4. Formułowanie dokumentu polityki bezpieczeństwa instytucji215
9.5. Zarządzanie bezpieczeństwem na poziomie instytucji218
10.1. Architektura systemu bezpieczeństwa teleinformatycznego instytucji219
10. Ogólne zasady bezpieczeństwa teleinformatycznego w instytucji219
10.2. Cele bezpieczeństwa systemów teleinformatycznych instytucji222
10.3. Otoczenie prawne225
10.4. Wybór strategii redukcji ryzyka227
11. Wysokopoziomowa (ogólna) analiza ryzyka i wyznaczenie obszarów wymagających ochrony229
11.1. Wymagania ochronne230
11.2. Domeny bezpieczeństwa233
11.3. Przebieg wysokopoziomowej analizy ryzyka234
12.1. Wprowadzenie237
12. Koncepcja hierarchii zasobów237
12.2. Interpretacja praktyczna modelu239
12.3. Przekroje modelu242
12.4. Zbiór dostępnych typów zasobów242
12.5. Zbiór eksploatowanych zasobów245
12.6. Specjalne znaczenie klasy zasobów reprezentującej personel248
12.7. Znaczenie przekrojów modelu zasobów dla zarządzania bezpieczeństwem249
13.1. Wprowadzenie250
13. Przebieg szczegółowej analizy ryzyka w systemach teleinformatycznych250
13.2. Granice obszarów zajmowanych przez zasoby instytucji253
13.3. Analiza zasobów – identyfikacja i wycena253
13.3.1. Przygotowanie zbioru dostępnych zasobów254
13.3.2. Przygotowanie zbioru eksploatowanych zasobów254
13.3.3. Atrybuty przekroju zarządzania zasobami255
13.3.4. Wycena zasobów255
13.4. Ocena podatności260
13.5. Środowisko zagrożeń265
13.6. Identyfikacja istniejących lub planowanych zabezpieczeń268
13.7. Podsumowanie wyników analizy ryzyka270
14.1. Wzorcowa lista wymagań według PN-ISO/IEC 17799 (PN-I-07799-2)277
14. Wzorce wymagań dotyczących zabezpieczeń277
14.2. Tworzenie list wymagań na podstawie katalogu zabezpieczeń zapewniających ochronę podstawową283
14.3. Rekomendacje bankowe, normy branżowe, akty prawne285
15. Wypracowanie strategii wyboru zabezpieczeń288
15.1. Ustalanie listy wymagań, przyjmując cele bezpieczeństwa jako podstawowe ich źródło290
15.2. Ustalanie listy wymagań na podstawie listy wzorcowej292
15.3. Ustalanie listy wymagań na podstawie wyników analizy ryzyka293
16.1. Podstawy tworzenia odrębnych wersji polityki bezpieczeństwa dla oddziałów instytucji (poziom IIa)294
16. Ogólne zasady tworzenia architektury bezpieczeństwa na poziomie II i III294
16.1.1. Architektura systemu bezpieczeństwa teleinformatycznego na poziomie oddziałów instytucji295
16.1.2. Zarządzanie bezpieczeństwem na poziomie oddziałów instytucji296
16.2. Wpływ jednorodności wymagań na architekturę bezpieczeństwa297
16.3. Architektura systemu bezpieczeństwa na poziomie systemów teleinformatycznych298
17.1. Wprowadzenie301
17. Dobór zabezpieczeń na podstawie zdefiniowanych wymagań301
17.2. Identyfikacja ograniczeń304
17.3. Ogólna koncepcja ochrony podstawowej308
17.4. Dobór zabezpieczeń podstawowych według rodzaju systemu308
17.5. Dobór zabezpieczeń podstawowych według potrzeb bezpieczeństwa i zagrożeń313
17.6. Przykład metodyki ochrony podstawowej – IT Grundschutz317
17.6.1. Identyfikacja składników systemów teleinformatycznych320
17.6.2. Identyfikacja aplikacji oraz przetwarzanych informacji326
17.6.3. Określenie wymagań ochronnych dla elementów systemu328
17.6.4. Dobór zabezpieczeń zapewniających ochronę podstawową331
17.7. Dobór zabezpieczeń wynikających z analizy ryzyka340
17.7.1. System zarządzania bezpieczeństwem informacji ISMS i zawarte w nim podejście do redukcji ryzyka344
17.8. Uwzględnienie architektury systemów w architekturze bezpieczeństwa na poziomie systemów teleinformatycznych357
17.9. Akceptacja ryzyka358
18.1. Zasady konstruowania361
18. Polityka bezpieczeństwa teleinformatycznego – ogółu systemów teleinformatycznych w instytucji (poziom II)361
18.2. Zawartość i przykłady363
18.3. Zarządzanie bezpieczeństwem na poziomie systemów teleinformatycznych instytucji367
19.1. Zasady konstruowania369
19. Polityka dotycząca bezpieczeństwa poszczególnych systemów (poziomu III) i plany zabezpieczeń369
19.2. Zawartość dokumentu370
19.3. Plany zabezpieczeń poszczególnych systemów372
19.4. Zarządzanie bezpieczeństwem na poziomie systemów374
20. Procesy wdrożeniowe375
20.1. Wdrożenie zabezpieczeń376
20.1.1. Opracowanie dokumentacji wdrażanych zabezpieczeń377
20.1.2. Realizacja planu zabezpieczeń i weryfikacja jego skuteczności379
20.2. Działania uświadamiające i ich nadzorowanie381
20.3. Szkolenia385
20.4. Akredytacja systemów388
21. Czynności powdrożeniowe392
21.1. Wykrywanie zmian i zarządzanie zmianami393
21.2. Monitorowanie elementów systemu bezpieczeństwa395
21.3. Zarządzanie zabezpieczeniami i utrzymywanie ich skuteczności399
21.4. Kontrola zgodności400
21.5. Zarządzanie incydentami i doskonalenie systemu bezpieczeństwa405
22. Wnioski i uwagi końcowe413
Wykaz niektórych skrótów angielskich i polskich oraz oznaczeń417
Literatura425
Dodatki436
I. Przykład polityki dotyczącej bezpieczeństwa instytucji (poziom I)438
I.1. Deklaracja o ustanowieniu Polityki Bezpieczeństwa Firmy e-GADGET sp. z o.o438
I.2. Cel opracowania i zawartość dokumentu439
I.3. Podstawy normatywne440
I.4. Podstawy prawne440
I.5. Zakres oddziaływania polityki440
I.6. Bezpieczeństwo w Firmie e-GADGET441
I.7. Role i odpowiedzialność442
I.10. Odwołanie do Polityki Bezpieczeństwa Teleinformatycznego Firmy e-GADGET sp. z o.o443
I.8. Rozpowszechnianie i zarządzanie dokumentem polityki443
I.9. Załączniki443
I.9.1. Regulaminy, instrukcje, procedury443
I.9.2. Role dotyczące bezpieczeństwa teleinformatycznego443
II. Przykład polityki dotyczącej bezpieczeństwa teleinformatycznego instytucji (poziom II)445
II.1. Umocowanie prawne445
II.2. Cel opracowania i zawartość dokumentu445
II.3. Podstawy normatywne i terminologia446
II.4. Podstawy prawne446
II.5. Zakres oddziaływania447
II.6. Bezpieczeństwo informacji i usług elektronicznych w Firmie e-GADGET447
II.6.1. Procesy biznesowe wspierane przez technologie teleinformatyczne447
II.6.2. Postanowienia ogólne450
II.6.3. Postępowanie wobec ryzyka452
II.6.4. Otoczenie prawne i identyfikacja zasobów453
II.6.5. Ogólne potrzeby bezpieczeństwa wynikające z procesów biznesowych, wspomaganych w realizacji technologiami teleinformatycznymi461
II.6.6. Wnioski ogólne z analizy ryzyka461
II.6.7. Metoda postępowania przy tworzeniu systemu bezpieczeństwa462
II.6.8. Cele zabezpieczeń i ogólne strategie463
II.6.9. Szczegółowe zasady i wymagania dotyczące zabezpieczeń466
II.6.9.1. Wymagania dotyczące dokumentu polityki bezpieczeństwa466
II.6.9.2. Wymagania dotyczące organizacji systemu bezpieczeństwa466
II.6.9.3. Klasyfikacja i nadzór nad zasobami468
II.6.9.4. Bezpieczeństwo osobowe468
II.6.9.5. Bezpieczeństwo fizyczne i środowiskowe469
II.6.9.6. Zarządzanie systemem470
II.6.9.7. Kontrola dostępu472
II.6.9.8. Rozwój i utrzymanie systemów473
II.6.9.10. Zgodność475
II.6.9.9. Ciągłość procesów biznesowych475
II.7. Role i odpowiedzialność476
II.7.1. Ogólna organizacja służb odpowiedzialnych i ich role476
II.7.2. Komitet Bezpieczeństwa Teleinformatycznego (KBTI)477
II.7.3. Zespół Bezpieczeństwa Teleinformatycznego (ZBTI)478
II.7.4. Pion Eksploatacji (PE)479
II.7.5. Użytkownicy i inni pracownicy479
II.7.6. Postanowienia dodatkowe481
II.7.7. Odpowiedzialność za naruszenia polityki481
II.8. Rozpowszechnianie i zarządzanie dokumentem polityki482
II.9. Załączniki482
II.9.1. Normy i zalecenia wykorzystywane do tworzenia polityki482
II.9.2. Definicje wykorzystywanych pojęć483
II.9.3. Tajemnice prawnie chronione, występujące w Firmie e-GADGET jako element otoczenia prawnego, oznaczane jako EG-POUFNE486
II.9.4. Tajemnice przedsiębiorstwa chronione na zasadach wzajemności, na podstawie wielostronnych umów zawartych przez Firmę e-GADGET, oznaczane EG-POUFNE487
II.9.5. Tajemnice przedsiębiorstwa określone na podstawie zarządzeń wewnętrznych w Firmie e-GADGET, oznaczane EG-POUFNE487
II.9.6. Działania zgodne z prawem, występujące w Firmie e-GADGET jako element otoczenia prawnego488
II.9.7. Regulaminy, instrukcje, procedury, wzorce dokumentów488
II.9.10. Role dotyczące właścicieli zasobów489
II.9.8. Role członków zarządu489
II.9.9. Role w Pionie Bezpieczeństwa489
II.9.11. Role w Pionie Eksploatacji490
II.9.12. Uregulowania specjalne dotyczące ról490
II.9.13. Dokumentacja projektowa i plany490
II.10. Odwołanie do polityki dotyczącej bezpieczeństwa poszczególnych systemów teleinformatycznych w Firmie e-GADGET sp. z o.o491
III. Przykład polityki dotyczącej bezpieczeństwa systemów informacyjnych instytucji w układzie ISMS492
III.1. Wprowadzenie492
III.2. Cel opracowania492
III.3. Zakres oddziaływania493
III.4. Zasady polityki493
III.5. Zasady odpowiedzialności za bezpieczeństwo495
III.5.1. Zasady ogólne495
III.5.2. Odpowiedzialność kierownictwa firmy495
III.5.3. Odpowiedzialność Inspektora Bezpieczeństwa Informacji495
III.5.4. Odpowiedzialność Inspektora Bezpieczeństwa Technologii Informatycznych496
III.5.5. Odpowiedzialność ogólna497
III.6. Wskazania ogólne497
III.7. Przegląd dokumentu polityki497
III.8. Dokumenty związane497
IV. Specyfikacja zagadnień bezpieczeństwa zawartych w normie PN-ISO/IEC 17799498
V. Specyfikacja zagadnień bezpieczeństwa organizacyjnego i fizycznego zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według specyficznych cech systemu507
VI. Specyfikacja zagadnień bezpieczeństwa teleinformatycznego zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według specyficznych cech systemu516
VII. Specyfikacja zagadnień bezpieczeństwa w układzie według zagrożeń zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według zagrożeń522
Skorowidz542

2.Wprowadzeniedozarządzaniabezpieczeństweminformacjiiusług

Postępowaniezryzykiem(traktowanieryzyka)(risktreatment)poleganawyborzeiwdro-

żeniuśrodkówwpływającychnazmianęwielkościryzyka[SM41].

Następujerealizacjategoplanu,dobieranesązabezpieczeniaiak-

ceptowanejestryzykoszczątkowe.Prowadzonesątakże:ciągłaob-

serwacja(monitorowanie)ryzyka,kontrolaskutecznościzabezpieczeń,

działaniauświadamiająceiwieleinnychczynności-typowychobo-

wiązkówsłużbodpowiedzialnychzabezpiecznąeksploatacjętelein-

formatykiwinstytucji.

Akceptacjaryzyka(riskacceptance)todecyzjazarząduinstytucji,dopuszczającapewienzi-

dentyfikowanystopieńryzyka,podejmowanazazwyczajzprzyczynekonomicznych(brakśrod-

kówfinansowych)lubtechnicznych(brakmożliwościrealizacji).

Zwróćmyuwagęnaznaczeniedecyzjipodejmowanejprzezza-

rząd,akceptującejistnieniepewnegoryzyka,zwanegoszczątkowym.

Zarządzanieryzykiempowinnowięcbyćskoordynowanezzarządza-

niemsamąinstytucją.

Poniesionenakłady

Umownypoziom

bezpieczeństwa

Wysoki

Średni

Niski

Bardzowysoki

100%

RYS.2.2.Krzywaredukcjiryzyka

Należyzwrócićuwagęnanasycającysięcharakterkrzywej;na-

zwijmyjąkrzywąredukcjiryzyka,wyrażającąumownypoziombez-

pieczeństwawfunkcjiponiesionychkosztów(rys.2.2)[SM13].Wyni-

kająstądnastępującewnioski,októrychnależypamiętaćpodczas

redukcjiryzyka:

•

Niejestmożliweosiągnięcieabsolutnegobezpieczeństwa,gdyż

należałobymiećdodyspozycjinieograniczoneśrodkinatencel.

•

Najtaniejinajłatwiejuzyskaćpostępwpoczątkowymstadiumre-

dukcji,gdyżnakładyprzynosząwówczasszybkieefekty.

Brak wyników

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie

Treść książki

Znajdź bibliotekę blisko siebie, i uzyskaj dostęp do ebooka w systemie IBUK Libra