"Bezpieczeństwo informacyjne"

Spis treści

Wstęp 10

1. Wprowadzenie do ochrony informacji 16

1.1. Prywatność, anonimowość, poufność, … 20

1.2. Zagrożenia, podatności, zabezpieczenia, incydenty 23

1.2.1. Zagrożenia 23

1.2.2. Podatności 30

1.2.2.1. Security Content Automation Protocol (SCAP) 33

1.2.2.2. Cykl życia podatności oprogramowania 37

1.2.3. Zabezpieczenia 42

1.2.4. Incydenty i zarządzanie incydentami 51

1.2.4.1. Obsługa incydentów – podstawowe wytyczne norm i standardów 53

1.2.4.2. Zgłoszenie incydentu 56

1.2.4.3. Zasoby do obsługi incydentu 61

1.3. Elementy projektowania systemu bezpieczeństwa informacyjnego 65

1.3.1. Cykl życia systemu 66

1.3.2. Zarządzanie przedsięwzięciem projektowania i budowy systemu bezpieczeństwa informacyjnego 70

1.3.3. Etap analizy w cyklu rozwojowym systemu bezpieczeństwa informacyjnego 71

1.3.4. Etap projektowania w cyklu rozwojowym systemu bezpieczeństwa informacyjnego 73

1.3.5. Dokumentowanie prac projektowych 77

1.3.6. Dobre praktyki w projektowaniu wiarygodnych systemów 78

Literatura 83

2. Modele ochrony informacji 85

2.1. Organizacja dostępu do informacji 86

2.2. Sterowanie dostępem do informacji 96

2.3. Model Grahama–Denninga 100

2.4. Model Bella–LaPaduli 103

2.5. Model Biby 111

2.6. Model Brewera–Nasha (chiński mur) 116

2.7. Model Clarka–Wilsona 119

2.8. Model Harrisona–Ruzzo–Ullmana (HRU) 122

2.8.1. Uogólnienie modelu HRU – model TAM 126

2.9. Podstawowe Twierdzenie Bezpieczeństwa 127

2.9.1. Konkretyzacja BST 134

2.10. Podsumowanie 135

Literatura 137

3. Zarządzanie ryzykiem 139

3.1. Charakterystyka procesu zarządzania ryzykiem 142

3.2. Przegląd norm i standardów z zakresu zarządzania ryzykiem 146

3.2.1. Norma PN-ISO/IEC 27005:2010 146

3.2.2. Standardy FIPS/NIST 148

3.2.3. ISO 31000 – rodzina norm dotyczących zarządzania ryzykiem 149

3.2.4. Rekomendacja D 151

3.3. Analiza ryzyka – identyfikacja zakresu, środowiska, zagrożeń i podatności 153

3.3.1. Identyfikacja zakresu i środowiska analizy ryzyka 153

3.3.2. Identyfikacja zagrożeń i podatności 160

3.4. Analiza ryzyka – szacowanie ryzyka 161

3.4.1. Oszacowanie ryzyka – metoda ilościowa 164

3.4.2. Oszacowanie ryzyka – metoda jakościowa 170

3.4.3. Burza mózgów – identyfikacje zagrożeń i podatności 190

3.4.4. Szacowanie ryzyka według normy PN-ISO/IEC-27005 195

3.4.5. Szacowanie ryzyka według organizacji Microsoft® 200

3.4.6. Szacowanie ryzyka – analiza bezpieczeństwa dla systemów sterowania 202

3.5. Zmniejszanie wartości ryzyka 205

3.5.1. Kontrolowanie ryzyka przez stosowanie zabezpieczeń 207

3.6. Akceptacja ryzyka szczątkowego 211

3.6.1. Ryzyko akceptowalne i koszty postępowania z ryzykiem 213

3.7. Administrowanie ryzykiem 216

Literatura 223

4. Dokumentowanie systemu ochrony informacji 225

4.1. Polityka bezpieczeństwa 226

4.2. Plan, instrukcje i procedury bezpieczeństwa informacyjnego 235

4.3. Dokumentowanie przedsięwzięć zapewniania ciągłości działania organizacji 240

4.3.1. Plan zapewniania ciągłości działania – nazewnictwo i struktura 242

4.3.2. Przygotowanie planu zapewniania ciągłości działania 244

4.3.3. Plany kryzysowe a plany zapewniania ciągłości działania 249

4.3.4. Wytyczne z norm i standardów do konstrukcji planów zapewniania ciągłości działania 251

4.4. Przedsięwzięcia techniczne w zapewnianiu informacyjnej ciągłości działania 263

4.4.1. Kopie bezpieczeństwa 267

4.4.2. Kopie bezpieczeństwa – infrastruktura i organizacja 270

4.4.3. Zdalna kopia bezpieczeństwa 273

4.4.4. Zapasowe ośrodki przetwarzania danych 276

4.5. Przykłady struktury dokumentu Plan zapewniania ciągłości działania 280

4.5.1. Wariant 1 280

4.5.2. Wariant 2 283

4.5.3. Wariant 3 285

Literatura 290

5. Badanie i ocena stanu ochrony informacji 291

5.1. Diagnostyka techniczna 294

5.2. Testowanie jako element diagnostyki technicznej 296

5.3. Testy penetracyjne jako szczególny przypadek testowania 301

5.4. Audyt jako szczególny przypadek badania jakości systemu ochrony informacji 303

5.5. Metodyka LP–A 312

Literatura 317

6. Standardy i normy bezpieczeństwa informacyjnego 319

1. 6.1. Standardy i normy i wspierające projektowanie i wytwarzanie bezpiecznych produktów oraz systemów 321

6.1.1. Common Criteria i norma ISO/IEC 15408 321

6.1.2. Publikacje specjalne NIST serii 800 332

6.1.3. CIS Critical Security Controls 333

6.2. Standardy i normy wspierające zarządzanie bezpieczeństwem informacji 336

6.2.1. COBITTM – dobre praktyki w zakresie ładu informatycznego 336

6.2.2. Zarządzanie bezpieczeństwem informacji – standard BS 7799 i normy serii ISO/IEC 2700x 341

6.2.2.1. Przegląd zawartości normy ISO/IEC 27002:2013 343

6.2.2.2. Przegląd zawartości normy ISO/IEC 27001:2013 343

6.3. Inne normy i standardy wspomagające ocenę oraz zarządzanie bezpieczeństwem informacyjnym 348

6.3.1. Norma ISO/IEC 21827 i SSE-CMM® – System Security Engineering Capability Maturity Model 348

6.3.2. ITIL – IT Infrastructure Library 350

Literatura 354

7.1. Bezpieczeństwo informacyjne w dokumentach rangi państwowej 355

7. Polityka informowania – oddziaływanie przekazem informacji 355

7.2. Komunikacja strategiczna 359

7.3. Definicje Komunikacji strategicznej 361

7.4. Charakterystyka Komunikacji strategicznej 363

7.5. Główne kontrowersje dotyczące Komunikacji strategicznej 366

7.6. Relacje Komunikacji strategicznej 370

7.6.1. Relacje Komunikacji strategicznej z operacjami informacyjnymi i psychologicznymi 371

7.6.2. Relacje Komunikacji strategicznej z dyplomacją publiczną 372

7.6.3. Relacje Komunikacji strategicznej z działalnością prasowo-informacyjną 373

7.7. Strategia Komunikacyjna – uwagi ogólne 374

Literatura 377

Załącznik. Metodyka LP–A przeprowadzania audytu z zakresu bezpieczeństwa teleinformatycznego 379

Wykaz używanych terminów i symboli graficznych 379

Wstęp 381

Z1. Skład Zespołu audytowego, kwalifikacje jego członków i zakresy kompetencji 384

Z2. Wyposażenie narzędziowe Zespołu audytowego 387

Z.2.1. Kwestionariusze ankietowe 387

Z.2.2. Szablony edycyjne dokumentów 388

Z.2.3. Skanery bezpieczeństwa 388

Z.2.4. Skanery konfiguracji 389

Z.2.5. Skanery inwentaryzacyjne 389

Z.2.6. Zestawy narzędzi do badań technicznych 390

Z3. Procesy audytowe 391

Z4. Specyfikacja dokumentów audytowych 397

Z.4.1. Tabele IPO 397

Z.4.2. Specyfikacja zbiorcza dokumentów 405

Z5. Diagramy przepływu danych 409

Z6. Rzetelne praktyki 416

Z.6.1. Rzetelne praktyki stosowane na ścieżce formalnej 416

Z.6.2. Rzetelne praktyki stosowane na ścieżce technicznej 417

Podsumowanie 418

Indeks 419