|
ANALIZA RYZYKA I OCHRONA INFORMACJI W SYSTEMACH KOMPUTEROWYCH
LIDERMAN K. wydawnictwo: MIKOM/PWN , rok wydania 2009, wydanie I cena netto: 47.20 Twoja cena 44,84 zł + 5% vat - dodaj do koszyka Autor cieszącego się dużym zainteresowaniem czytelników Podręcznika
administratora bezpieczeństwa teleinformatycznego przedstawia swoją nową książkę, w
której zamieścił rozważania na temat związków projektowania systemów ochrony
informacji z analizą ryzyka i "pomiarami bezpieczeństwa" oraz wymaganiami
normy PN-ISO/IEC 27001:2007.
Praca zawiera także szczegółowy opis autorskiej metodyki L-RAC analizy i
kontrolowania ryzyka w zakresie bezpieczeństwa teleinformatycznego. Cechą
charakterystyczną metodyki jest standard opisu jednolity z przyjętym w metodyce audytu
bezpieczeństwa teleinformatycznego LP-A oraz pokazanie związków z zapisami normy
PN-ISO/IEC 27001:2007. Metodyka L-RAC może zostać zaadaptowana także w innych obszarach
szeroko rozumianej analizy bezpieczeństwa w firmie: bezpieczeństwa energetycznego,
bezpieczeństwa transportu cennych ładunków oraz bezpieczeństwa składowania cennych
lub niebezpiecznych materiałów.
Książka przydatna osobom odpowiedzialnym za bezpieczeństwo (pełnomocnikom ds.
bezpieczeństwa, administratorom bezpieczeństwa informacji, administratorom systemów),
kadrze kierowniczej działów teleinformatyki, jak również, w pewnym zakresie, wyższej
kadrze menedżerskiej chcącej wyrobić sobie pogląd na zakres niezbędnych
przedsięwzięć związanych z analizą ryzyka na potrzeby bezpieczeństwa
teleinformatycznego oraz z projektowaniem i wdrażaniem systemów ochrony informacji.
Polecamy ją także studentom, którzy w programie studiów mają przedmioty związane z
bezpieczeństwem teleinformatycznym.
Spis treści:
Podziękowania
Wstęp
Rozdział 1. O informacji, bezpieczeństwie i systemie ochrony
1.1. O informacji
1.2. O bezpieczeństwie
1.3. O systemie ochrony informacji
Rozdział 2. O procesach
2.1. Procesy biznesowe w analizie ryzyka
Rozdział 3. O zasobach, ich inwentaryzacji i klasyfikacji
3.1. Inwentaryzacja zasobów teleinformatycznych
3.2. Klasyfikacja zasobów teleinformatycznych
3.3. Ocena wartości zasobów informacyjnych
Rozdział 4. O zagrożeniach i podatnościach
4.1. Rozważania o zagrożeniach
4.2. Jak szukać zagrożeń – pytania i podpowiedzi
4.3. Burza mózgów – przykład techniki identyfikacji zagrożeń
4.3.1. Generowanie zagrożeń/scenariuszy
4.3.2. Redukcja zbioru zagrożeń
4.3.3. Nadawanie priorytetów scenariuszom
4.4. Podatności
Rozdział 5. O pomiarach bezpieczeństwa teleinformatycznego
5.1. Pomiar
5.2. Elementy formalnej teorii pomiaru
5.3. Omówienie wymagań definicji pomiaru
5.3.1. Określenie przedmiotu pomiaru
5.3.2. Przyporządkowanie liczb (miar)
5.3.3. Obiektywność
5.3.4. Empiryczność
5.4. Uwagi końcowe o „mierzeniu” bezpieczeństwa
Rozdział 6. O ryzyku i zarządzaniu ryzykiem
6.1. Ryzyko a problemy decyzyjne*
6.2. Charakterystyka procesu zarządzania ryzykiem
6.3. Analiza ryzyka – identyfikacja zagrożeń, podatności i środowiska
6.4. Identyfikacja wymagań dotyczących poziomu ochrony
6.5. Analiza ryzyka – szacowanie ryzyka
6.5.1. Oszacowanie ryzyka – metoda ilościowa (studium przypadku)
6.5.2. Oszacowanie ryzyka – metoda jakościowa (wytyczne raportu technicznego ISO/IEC TR
13335-3)
6.5.3. Szacowanie ryzyka – analiza bezpieczeństwa systemów sterowania
6.6. Reakcja na ryzyko
6.6.1. Kontrolowanie ryzyka poprzez stosowanie zabezpieczeń
6.6.2. Akceptacja ryzyka szczątkowego
6.6.3. Ryzyko akceptowalne i koszty postępowania z ryzykiem
6.7. Administrowanie ryzykiem
6.7.1. Zadania, czynności i zakresy kompetencji – organizacja procesu zarządzania
ryzykiem
6.8. Podsumowanie rozważań o analizie ryzyka
Rozdział 7. O testowaniu i audycie
7.1. Przegląd rodzajów badań
7.2. Ocena bezpieczeństwa teleinformatycznego
7.3. Audyt
7.4. Audyt i certyfikowanie SZBI
Rozdział 8. O standardach
8.1. Common Criteria i norma ISO/IEC 15408
8.2. COBIT??– standard ładu informatycznego
8.3. BS 7799 i norma PN-ISO/IEC 27001:2007: Technika informatyczna –Techniki bezpieczeństwa
– Systemy zarządzania bezpieczeństwem informacji –Wymagania
8.3.1. Zawartość normy PN-ISO/IEC 27001:2007: Technika informatyczna –Techniki
bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania
8.3.2. System zarządzania bezpieczeństwem informacji (SZBI)
8.3.3. Normatywny zbiór zabezpieczeń – załącznik A normy PN-ISO/IEC 27001
Rozdział 9. O projektowaniu
9.1. Cykl życia systemu bezpieczeństwa teleinformatycznego
9.2. Zarządzanie projektowaniem i budową systemu bezpieczeństwa teleinformatycznego
9.3. System bezpieczeństwa teleinformatycznego – koncepcja
9.3.1. Kompleksowość i dekompozycja
9.3.2. Przesłanki budowy „w głąb” systemu ochrony
9.4. Architektura systemu bezpieczeństwa teleinformatycznego
9.5. Analiza i projektowanie systemu bezpieczeństwa teleinformatycznego
9.5.1. Etap analizy
9.5.2. Etap projektowania
9.5.3. Wzorce projektowe
9.6. Ograniczenia procesu projektowania
9.7. Dokumentowanie prac projektowych
Załącznik. Metodyka L-RAC analizy i kontrolowania ryzyka w zakresie bezpieczeństwa
teleinformatycznego
Literatura
Skorowidz
288 stron, miękka oprawa
Po otrzymaniu zamówienia poinformujemy, czy wybrany tytuł polskojęzyczny lub
anglojęzyczny jest aktualnie na półce księgarni.
|