Bezpieczeństwo informacyjne

Krzysztof Liderman

Uzyskaj dostęp

Zakup książkę

ISBN/ISSN:

978-83-01-20144-9

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2017

Liczba stron:

423

XML:ISBN/ISSN:

ONIX MARC21

Bibliografia:

Liderman, Krzysztof. Bezpieczeństwo informacyjne. Red. . Warszawa: Wydawnictwo Naukowe PWN, 2017, 423 s. ISBN 978-83-01-20144-9

Bibliografia refWorks:

RT Book, Whole

SR Electronic(1)

A1 Liderman, K.

T1 Bezpieczeństwo informacyjne

PB Wydawnictwo Naukowe PWN

PP Warszawa

YR 2017

SN 978-83-01-20144-9

Bibliografia BibTex:

@Book{ 187950, author = "Liderman, Krzysztof", editor = "", title = "Bezpieczeństwo informacyjne", publisher = "Wydawnictwo Naukowe PWN", year = "2017", address = "Warszawa", isbn = "978-83-01-20144-9" }

Bibliografia endNote:

TY - BOOK

AU - Liderman, Krzysztof

ED -

TI - Bezpieczeństwo informacyjne

PB - Wydawnictwo Naukowe PWN

CY - Warszawa

PY - 2017

SN - 978-83-01-20144-9

ER -

Netografia (standard APA):

Liderman, Krzysztof. Bezpieczeństwo informacyjne [baza danych online] Warszawa: Wydawnictwo Naukowe PWN, 2017 [dostęp: 25 08 2024]. Dostęp w Ibuk Libra: https://libra.ibuk.pl/reader/bezpieczenstwo-informacyjne-krzysztof-liderman-187950.

bezpieczeństwo wewnętrzne, bezpieczeństwo narodowe, bezpieczeństwo komputerowe, Bezpieczeństwo informacyjne, bezpieczeństwo sieci i systemów, inżynieria bezpieczeństwa

Bezpieczeństwo informacyjne. Nowe wyzwania, to uaktualniona wersja publikacji z 2012 roku. Książka skierowana jest do wszystkich specjalistów zajmujących się, z racji wykonywanego zawodu, bezpieczeństwem informacyjnym, a także studentów takich spe...

Więcej

ISBN/ISSN:

978-83-01-20144-9

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2017

Liczba stron:

423

XML:ISBN/ISSN:

ONIX MARC21

Wstęp10
1. Wprowadzenie do ochrony informacji16
1.1. Prywatność, anonimowość, poufność, …20
1.2. Zagrożenia, podatności, zabezpieczenia, incydenty23
1.2.1. Zagrożenia23
1.2.2. Podatności30
1.2.2.1. Security Content Automation Protocol (SCAP)33
1.2.2.2. Cykl życia podatności oprogramowania37
1.2.3. Zabezpieczenia42
1.2.4. Incydenty i zarządzanie incydentami51
1.2.4.1. Obsługa incydentów – podstawowe wytyczne norm i standardów53
1.2.4.2. Zgłoszenie incydentu56
1.2.4.3. Zasoby do obsługi incydentu61
1.3. Elementy projektowania systemu bezpieczeństwa informacyjnego65
1.3.1. Cykl życia systemu66
1.3.2. Zarządzanie przedsięwzięciem projektowania i budowy systemu bezpieczeństwa informacyjnego70
1.3.3. Etap analizy w cyklu rozwojowym systemu bezpieczeństwa informacyjnego71
1.3.4. Etap projektowania w cyklu rozwojowym systemu bezpieczeństwa informacyjnego73
1.3.5. Dokumentowanie prac projektowych77
1.3.6. Dobre praktyki w projektowaniu wiarygodnych systemów78
Literatura83
2. Modele ochrony informacji85
2.1. Organizacja dostępu do informacji86
2.2. Sterowanie dostępem do informacji96
2.3. Model Grahama–Denninga100
2.4. Model Bella–LaPaduli103
2.5. Model Biby111
2.6. Model Brewera–Nasha (chiński mur)116
2.7. Model Clarka–Wilsona119
2.8. Model Harrisona–Ruzzo–Ullmana (HRU)122
2.8.1. Uogólnienie modelu HRU – model TAM126
2.9. Podstawowe Twierdzenie Bezpieczeństwa127
2.9.1. Konkretyzacja BST134
2.10. Podsumowanie135
Literatura137
3. Zarządzanie ryzykiem139
3.1. Charakterystyka procesu zarządzania ryzykiem142
3.2. Przegląd norm i standardów z zakresu zarządzania ryzykiem146
3.2.1. Norma PN-ISO/IEC 27005:2010146
3.2.2. Standardy FIPS/NIST148
3.2.3. ISO 31000 – rodzina norm dotyczących zarządzania ryzykiem149
3.2.4. Rekomendacja D151
3.3. Analiza ryzyka – identyfikacja zakresu, środowiska, zagrożeń i podatności153
3.3.1. Identyfikacja zakresu i środowiska analizy ryzyka153
3.3.2. Identyfikacja zagrożeń i podatności160
3.4. Analiza ryzyka – szacowanie ryzyka161
3.4.1. Oszacowanie ryzyka – metoda ilościowa164
3.4.2. Oszacowanie ryzyka – metoda jakościowa170
3.4.3. Burza mózgów – identyfikacje zagrożeń i podatności190
3.4.4. Szacowanie ryzyka według normy PN-ISO/IEC-27005195
3.4.5. Szacowanie ryzyka według organizacji Microsoft®200
3.4.6. Szacowanie ryzyka – analiza bezpieczeństwa dla systemów sterowania202
3.5. Zmniejszanie wartości ryzyka205
3.5.1. Kontrolowanie ryzyka przez stosowanie zabezpieczeń207
3.6. Akceptacja ryzyka szczątkowego211
3.6.1. Ryzyko akceptowalne i koszty postępowania z ryzykiem213
3.7. Administrowanie ryzykiem216
Literatura223
4. Dokumentowanie systemu ochrony informacji225
4.1. Polityka bezpieczeństwa226
4.2. Plan, instrukcje i procedury bezpieczeństwa informacyjnego235
4.3. Dokumentowanie przedsięwzięć zapewniania ciągłości działania organizacji240
4.3.1. Plan zapewniania ciągłości działania – nazewnictwo i struktura242
4.3.2. Przygotowanie planu zapewniania ciągłości działania244
4.3.3. Plany kryzysowe a plany zapewniania ciągłości działania249
4.3.4. Wytyczne z norm i standardów do konstrukcji planów zapewniania ciągłości działania251
4.4. Przedsięwzięcia techniczne w zapewnianiu informacyjnej ciągłości działania263
4.4.1. Kopie bezpieczeństwa267
4.4.2. Kopie bezpieczeństwa – infrastruktura i organizacja270
4.4.3. Zdalna kopia bezpieczeństwa273
4.4.4. Zapasowe ośrodki przetwarzania danych276
4.5. Przykłady struktury dokumentu Plan zapewniania ciągłości działania280
4.5.1. Wariant 1280
4.5.2. Wariant 2283
4.5.3. Wariant 3285
Literatura290
5. Badanie i ocena stanu ochrony informacji291
5.1. Diagnostyka techniczna294
5.2. Testowanie jako element diagnostyki technicznej296
5.3. Testy penetracyjne jako szczególny przypadek testowania301
5.4. Audyt jako szczególny przypadek badania jakości systemu ochrony informacji303
5.5. Metodyka LP–A312
Literatura317
6. Standardy i normy bezpieczeństwa informacyjnego319
1. 6.1. Standardy i normy i wspierające projektowanie i wytwarzanie bezpiecznych produktów oraz systemów321
6.1.1. Common Criteria i norma ISO/IEC 15408321
6.1.2. Publikacje specjalne NIST serii 800332
6.1.3. CIS Critical Security Controls333
6.2. Standardy i normy wspierające zarządzanie bezpieczeństwem informacji336
6.2.1. COBITTM – dobre praktyki w zakresie ładu informatycznego336
6.2.2. Zarządzanie bezpieczeństwem informacji – standard BS 7799 i normy serii ISO/IEC 2700x341
6.2.2.1. Przegląd zawartości normy ISO/IEC 27002:2013343
6.2.2.2. Przegląd zawartości normy ISO/IEC 27001:2013343
6.3. Inne normy i standardy wspomagające ocenę oraz zarządzanie bezpieczeństwem informacyjnym348
6.3.1. Norma ISO/IEC 21827 i SSE-CMM® – System Security Engineering Capability Maturity Model348
6.3.2. ITIL – IT Infrastructure Library350
Literatura354
7.1. Bezpieczeństwo informacyjne w dokumentach rangi państwowej355
7. Polityka informowania – oddziaływanie przekazem informacji355
7.2. Komunikacja strategiczna359
7.3. Definicje Komunikacji strategicznej361
7.4. Charakterystyka Komunikacji strategicznej363
7.5. Główne kontrowersje dotyczące Komunikacji strategicznej366
7.6. Relacje Komunikacji strategicznej370
7.6.1. Relacje Komunikacji strategicznej z operacjami informacyjnymi i psychologicznymi371
7.6.2. Relacje Komunikacji strategicznej z dyplomacją publiczną372
7.6.3. Relacje Komunikacji strategicznej z działalnością prasowo-informacyjną373
7.7. Strategia Komunikacyjna – uwagi ogólne374
Literatura377
Załącznik. Metodyka LP–A przeprowadzania audytu z zakresu bezpieczeństwa teleinformatycznego379
Wykaz używanych terminów i symboli graficznych379
Wstęp381
Z1. Skład Zespołu audytowego, kwalifikacje jego członków i zakresy kompetencji384
Z2. Wyposażenie narzędziowe Zespołu audytowego387
Z.2.1. Kwestionariusze ankietowe387
Z.2.2. Szablony edycyjne dokumentów388
Z.2.3. Skanery bezpieczeństwa388
Z.2.4. Skanery konfiguracji389
Z.2.5. Skanery inwentaryzacyjne389
Z.2.6. Zestawy narzędzi do badań technicznych390
Z3. Procesy audytowe391
Z4. Specyfikacja dokumentów audytowych397
Z.4.1. Tabele IPO397
Z.4.2. Specyfikacja zbiorcza dokumentów405
Z5. Diagramy przepływu danych409
Z6. Rzetelne praktyki416
Z.6.1. Rzetelne praktyki stosowane na ścieżce formalnej416
Z.6.2. Rzetelne praktyki stosowane na ścieżce technicznej417
Podsumowanie418
Indeks419

1.2.Zagrożenia,podatności,zabezpieczenia,incydenty

–upublicznićswojeodkrycie,oileproducentniezapłaciokreślonejkwotyza

zatajenieznaleziska48.

Ad1.Trzyostatnieprzypadkipowodują,żewiedzaobłędachprzezpewienczasbę-

dzieogólniedostępna,aleniebędądostępneoficjalnepoprawkijelikwidujące.

Ad2.Grupybadawczezwyklezgłaszająodkrycieproducentowiigonieupublicznia-

ją,tj.dajączasproducentowinaopracowanieiudostępnieniepoprawki(ang.

responsibledisclosure)49.

Ad3.Odkrycieniejestanizgłaszane,aniupublicznianeprzezgrupyprzestępcze–

zwyklenatychmiastprzystępujesiędoopracowaniasposobówwykorzystania

znalezionegobłędudocelówprzestępczych.

Wprzedzialeczasut

1−t

0odkrywcypróbująudowodnić,przezopracowanieodpo-

wiedniegoalgorytmu(tzw.proof-of-concept,PoC),możliwośćwykorzystaniawsprzy-

jającychokolicznościach

błędudocelówniezgodnychzintencjamiprojektanta

oprogramowania.

Oileudasiętakialgorytmskonstruować,błądstajesiępodatnościąikolejnączyn-

nościąjestzwykleprzerobieniealgorytmunaprogramlubskrypt,nazywanycheksplo-

item.Nawetzakładając,żeodkrywcynieupubliczniliswojegoodkrycia,toitakwiedza

onimbędziesięupowszechniaławkręgachosóbbiorącychudziałwopracowaniu

algorytmuieksploitalubzwiązanychzodkrywcamiwinnysposób.Dlategoryzykowy-

korzystaniapodatnościdoszkodliwychdziałańrośnie,cosymbolizujeniewielkiwzrost

nachyleniawykresuwprzedzialeczasut

1–t

Wchwilit

następujeupublicznienieeksploita–wiedzaopodatnościisposobiejej

wykorzystaniastajesięogólnodostępna,dostępnejestteż(zadarmolubzaodpowied-

niąopłatą)narzędzie–eksploit.Odcinekwykresudlaprzedziałuczasut

2–t

1charak-

teryzujegwałtownywzrostryzykawykorzystaniapodatnościdoszkodliwychdziałań.

Dziejesiętakzdwóchpowodów:

Wieleosóbmarzącychokarierzeznanegohakerapróbujewykorzystaćudo-

stępnionemożliwościdozdobyciatakiejsławy.Ponieważeksploitysąopra-

cowywaneprzezfachowcówwysokiejklasy,ichużyciejestzwykleproste

iumożliwiaosiągnięciecelutakżeosobombezwyrafinowanejwiedzyinforma-

tycznej.Problemwzrosturyzykasprowadzasięzatemnietyledoumiejętności

informatycznychosóbkorzystającychzeksploita,codoichliczby.

Częśćzainteresowanychzagadnieniemprogramistówbędziepróbowałaprze-

robićeksploitanaautomat,naprzykładnarobakasieciowego.Zwykletepró-

bykończąsiępowodzeniem,coskutkuje(powypuszczeniutakiegoautomatu

wsieć)dalszymwzrostemryzyka.

48Czylijesttoszantaż.

49Chyba,żesątogrupybadawczepracującenarzeczwojskalubsłużbspecjalnych–wtedyodkrycie

niejestanizgłaszane,aniupubliczniane,aodkrytapodatnośćmożezostaćwykorzystananp.doinwigilacji

internautów.

50WCVEnazywanychprerequisities.

Brak wyników

Bezpieczeństwo informacyjne

Treść książki

Znajdź bibliotekę blisko siebie, i uzyskaj dostęp do ebooka w systemie IBUK Libra