Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie
Książka stanowi kompendium wiedzy na temat zapewnienia bezpieczeństwa
informacji i usług.
Autor zapoznaje Czytelnika z podstawowymi pojęciami, metodami i narzędziami
dotyczącymi bezpieczeństwa teleinformatycznego, ale rozpatrywanego na tle
bezpieczeństwa w sensie technicznym. Opisuje etapy tworzenia systemu bezpieczeństwa oraz
jego funkcjonowanie - od ewidencjonowania zasobów, przez analizę ryzyka, dobór wymagań
i zabezpieczeń, wypracowanie strategii zapewnienia bezpieczeństwa, do procesów
wdrożeniowych. Podaje wiele praktycznych przykładów, wykazów, list kontrolnych,
szablonów i wzorów dokumentów, opracowanych na podstawie obowiązujących norm i
zaleceń. Czytelnik może łatwo wykorzystać te elementy do rozwiązania problemów
swojej instytucji - niezależnie od jej wielkości i specyfiki działania.
Książka jest przeznaczona dla osób zajmujących się zagadnieniami bezpieczeństwa
teleinformatycznego w firmach i instytucjach, w tym w jednostkach administracji
publicznej. Chodzi tu o inspektorów bezpieczeństwa, administratorów systemów,
audytorów, menedżerów, a także informatyków. Skorzystają z niej również studenci
informatyki, telekomunikacji i zarządzania.
Od Autora
1. Wstęp
1.1. Bezpieczeństwo informacji i usług a bezpieczeństwo teleinformatyczne
1.2. Interdyscyplinarny charakter zagadnień i szczególna rola informatyki
1.3. Podstawowe problemy bezpieczeństwa teleinformatycznego
1.4. Dwa podejścia do zagadnień bezpieczeństwa
1.5. Potrzeba tworzenia komputerowych narzędzi wspomagających
2. Wprowadzenie do zarządzania bezpieczeństwem informacji i usług
2.1. Bezpieczeństwo i jego atrybuty
2.2. Wrażliwość informacji i krytyczność usług - istota ochrony
2.3. Elementy bezpieczeństwa
3. Normy, standardy i zalecenia
3.1. Działalność połączonego komitetu technicznego ISO/IEC
3.2. Raporty techniczne ISO/IEC TR13335
3.3. Rozwój i znaczenie rodziny standardów BS 7799
3.4. Szczególne znaczenie standardu COBIT
3.5. Kryteria oceny zabezpieczeń
3.6. Standardy dotyczące rozwiązań technicznych
3.7. Przygotowanie organizacji do działań audytorskich
3.8. Zalecenia i inne wytyczne szczegółowe
3.9. Aktualny stan rozwoju standardów i sposób ich wykorzystania
4. Ryzyko w sensie ogólnym i technicznym
4.1. Podstawy analizy ryzyka w sensie ogólnym
4.2. Bezpieczeństwo funkcjonalne w świetle 1EC 61508
4.3. Metody jakościowe oceny ryzyka
4.3.1. Metoda wstępnej analizy ryzyka i hazardu
4.3.2. Metoda HAZOP
4.3.3. Metody analizy defektów
4.4. Metody wykorzystujące struktury drzewiaste
4.4.1. Metoda drzewa błędów
4.4.2. Metoda drzewa zdarzeń
4.4.3. Analiza przyczynowo-skutkowa
4.4.4. Metoda inspekcji drzewa ryzyka
4.4.5. Technika przeglądu organizacji zarządzania bezpieczeństwem
4.5. Metody analizy dynamicznej
4.5.1. Metoda GO
4.5.2. Metody grafów
4.5.3. Zastosowanie modeli Markowa
4.5.4. Metoda DYLAM
4.5.5. Metoda DETAM
4.6. Podsumowanie przeglądu metod oceny ryzyka
5. Analiza ryzyka i strategie zarządzania nim w teleinformatyce
5.1. Podstawowe strategie zarządzania ryzykiem
5.2. Ogólny schemat analizy ryzyka
5.3. Metody kumulowania wielkości ryzyka
5.3.1. Macierz predefiniowanych wartości
5.3.2. Lista rankingowa zagrożeń
5.3.3. Częstość zagrożeń
5.3.4. Skala uproszczona wyrażająca tolerowanie ryzyka
5.4. Podstawowe metody redukcji ryzyka
5.4.1. Redukcja ryzyka przez stosowanie typowych zabezpieczeń - ochrona podstawowa
5.4.2. Redukcja ryzyka wspierana nieformalną jego analizą
5.4.3. Redukcja ryzyka wspierana jego szczegółową i formalną analizą
5.4.4. Metoda mieszana (kombinowana) redukcji ryzyka
6. Wybrane metody i komputerowe narzędzia wspomagające
6.1. Komputerowe wspomaganie analizy i zarządzania ryzykiem
6.2. Metodyka zarządzania ryzykiem opracowana w instytucie NIST
6.2.1. Analiza ryzyka
6.2.2. Ograniczanie ryzyka
6.3. Metodyka szacowania zagrożeń i ryzyka (TRA) opracowana w CSE
6.4. Metodyka CÓRA i komputerowe narzędzia wspomagające
6.4.1. Zasady budowy modelu ryzyka
6.4.2. Analiza modelu i wypracowanie optymalnej strategu ograniczania ryzyka
6.5. Metodyka i oprogramowanie CRAMM
6.5.1. CRAMM-Expert - faza przygotowawcza
6.5.2. CRAMM-Expert - etap analizy zasobów
6.5.3. CRAMM-Expert - etap analizy ryzyka
6.5.4. CRAMM-Expert - etap zarządzania ryzykiem
6.5.5. CRAMM-Expert - implementacja ISMS
6.6. Oprogramowanie COBRA
6.7. Metoda IRIS
6.8. Oprogramowanie RiskPAC
6.9. Oprogramowanie ASSET
6.10. Inne wybrane metody i narzędzia
6.10.1. Pakiet MAR1ON
6.10.2. Metoda VIR‘94
6.10.3. Metoda MAGERIT
6.10.4. Metoda MASS1A
6.10.5. Metoda TISM
6.10.6. Metoda SIM
6.11. Przykłady analizatorów bezpieczeństwa i innych narzędzi wspomagających jego
utrzymywanie na bieżąco
6.11.1. Pakiet SARA
6.11.2. Security Analyzer firmy NetIQ
6.11.3. Security Manager firmy NetIQ
6.11.4. Pakiet OmniGuard ESM firmy Axent
6.11.5. Symantec Enterprise Security Manager
6.11.6. Inne narzędzia wspomagające utrzymywanie bezpieczeństwa
7. Trójpoziomowy model odniesienia
7.1. Trójpoziomowy model hierarchii celów, strategii i polityki
7.2. Hierarchiczna struktura dokumentacji bezpieczeństwa według modelu odniesienia
7.3. Hierarchiczna struktura zarządzająca według modelu odniesienia
7.3.1. Zaangażowanie zarządu instytucji
7.3.2. Struktura organizacyjna zespołów odpowiedzialnych
7.3.3. Skład i kompetencje rady ds. bezpieczeństwa teleinformatyki
7.3.4. Inspektor bezpieczeństwa teleinformatycznego
7.3.5. Oddziałowy inspektor bezpieczeństwa teleinformatycznego
7.3.6. Inspektor bezpieczeństwa teleinformatycznego systemu lub realizowanego projektu
7.4. Trójpoziomowy model odniesienia w praktyce
7.5. Polityka a zarządzanie bezpieczeństwem
8. System bezpieczeństwa instytucji
8.1. Wprowadzenie
8.2. Fazy realizacji i ogólny schemat funkcjonowania systemu bezpieczeństwa instytucji
8.3. Zapis sformalizowany modelu trójpoziomowego
8.4. Zapis sformalizowany procesów związanych z utrzymaniem bezpieczeństwa
9. Bezpieczeństwo w instytucji
9.1. Architektura systemu bezpieczeństwa instytucji
9.2. Analiza procesów biznesowych ze względu na stopień zaangażowania systemów
teleinformatycznych w ich realizację
9.3. Ogólne potrzeby bezpieczeństwa systemów teleinformatycznych instytucji
9.4. Formułowanie dokumentu polityki bezpieczeństwa instytucji
9.5. Zarządzanie bezpieczeństwem na poziomie instytucji
10. Ogólne zasady bezpieczeństwa teleinformatycznego w instytucji
10.1. Architektura systemu bezpieczeństwa teleinformatycznego instytucji
10.2. Cele bezpieczeństwa systemów teleinformatycznych instytucji
10.3. Otoczenie prawne
10.4. Wybór strategii redukcji ryzyka
11. Wysokopoziomowa (ogólna) analiza ryzyka i wyznaczenie obszarów wymagających
ochrony
11.1. Wymagania ochronne
11.2. Domeny bezpieczeństwa
11.3. Przebieg wysokopoziomowej analizy ryzyka
12. Koncepcja hierarchii zasobów
12.1. Wprowadzenie
12.2. Interpretacja praktyczna modelu
12.3. Przekroje modelu
12.4. Zbiór dostępnych typów zasobów
12.5. Zbiór eksploatowanych zasobów
12.6. Specjalne znaczenie klasy zasobów reprezentującej personel
12.7. Znaczenie przekrojów modelu zasobów dla zarządzania bezpieczeństwem
13. Przebieg szczegółowej analizy ryzyka w systemach teleinformatycznych
13.1. Wprowadzenie
13.2. Granice obszarów zajmowanych przez zasoby instytucji
13.3. Analiza zasobów - identyfikacja i wycena
13.3.1. Przygotowanie zbioru dostępnych zasobów
13.3.2. Przygotowanie zbioru eksploatowanych zasobów
13.3.3. Atrybuty przekroju zarządzania zasobami
13.3.4. Wycena zasobów
13.4. Ocena podatności
13.5. Środowisko zagrożeń
13.6. Identyfikacja istniejących lub planowanych zabezpieczeń
13.7. Podsumowanie wyników analizy ryzyka
14. Wzorce wymagań dotyczących zabezpieczeń
14.1. Wzorcowa lista wymagań według PN-ISO/IEC 17799 (PN-I-07799-2)
14.2. Tworzenie list wymagań na podstawie katalogu zabezpieczeń zapewniających ochronę
podstawową
14.3. Rekomendacje bankowe, normy branżowe, akty prawne
15. Wypracowanie strategii wyboru zabezpieczeń
15.1. Ustalanie listy wymagań, przyjmując cele bezpieczeństwa jako podstawowe ich źródło
15.2. Ustalanie listy wymagań na podstawie listy wzorcowej
15.3. Ustalanie listy wymagań na podstawie wyników analizy ryzyka
16. Ogólne zasady tworzenia architektury bezpieczeństwa na poziomie II i III
16.1. Podstawy tworzenia odrębnych wersji polityki bezpieczeństwa dla oddziałów
instytucji (poziom Ha)
16.1.1. Architektura systemu bezpieczeństwa teleinformatycznego na poziomie oddziałów
instytucji
16.1.2. Zarządzanie bezpieczeństwem na poziomie od działów instytucji
16.2. Wpływ jednorodności wymagań na architekturę bezpieczeństwa
16.3. Architektura systemu bezpieczeństwa na poziomie systemów teleinformatycznych
17. Dobór zabezpieczeń na podstawie zdefiniowanych wymagań
17.1. Wprowadzenie
17.2. Identyfikacja ograniczeń
17.3. Ogólna koncepcja ochrony podstawowej
17.4. Dobór zabezpieczeń podstawowych według rodzaju systemu
17.5. Dobór zabezpieczeń podstawowych według potrzeb bezpieczeństwa i zagrożeń
17.6. Przykład metodyki ochrony podstawowej - IT Grundschutz
17.6.1. Identyfikacja składników systemów teleinformatycznych
17.6.2. Identyfikacja aplikacji oraz przetwarzanych informacji
17.6.3. Określenie wymagań ochronnych dla elementów systemu
17.6.4. Dobór zabezpieczeń zapewniających ochronę podstawową
17.7. Dobór zabezpieczeń wynikających z analizy ryzyka
17.7.1. System zarządzania bezpieczeństwem informacji iSMS i zawarte w nim podejście do
redukcji ryzyka
17.8. Uwzględnienie architektury systemów w architekturze bezpieczeństwa na poziomie
systemów teleinformatycznych
17.9. Akceptacja ryzyka
18. Polityka bezpieczeństwa teleinformatycznego - ogółu systemów
teleinformatycznych w instytucji (poziom II)
18.1. Zasady konstruowania
18.2. Zawartość i przykłady
18.3. Zarządzanie bezpieczeństwem na poziomie systemów teleinformatycznych instytucji
19. Polityka dotycząca bezpieczeństwa poszczególnych systemów (poziomu III) i
plany zabezpieczeń
19.1. Zasady konstruowania
19.2. Zawartość dokumentu
19.3. Plany zabezpieczeń poszczególnych systemów
19.4. Zarządzanie bezpieczeństwem na poziomie systemów
20. Procesy wdrożeniowe
20.1. Wdrożenie zabezpieczeń
20.1.1. Opracowanie dokumentacji wdrażanych zabezpieczeń
20.1.2. Realizacja planu zabezpieczeń i weryfikacja jego skuteczności
20.2. Działania uświadamiające i ich nadzorowanie
20.3. Szkolenia
20.4. Akredytacja systemów
21. Czynności powdrożeniowe
21.1. Wykrywanie zmian i zarządzanie zmianami
21.2. Monitorowanie elementów systemu bezpieczeństwa
21.3. Zarządzanie zabezpieczeniami i utrzymywanie ich skuteczności
21.4. Kontrola zgodności
21.5. Zarządzanie incydentami i doskonalenie systemu bezpieczeństwa
22. Wnioski i uwagi końcowe
Wykaz niektórych skrótów angielskich i polskich oraz oznaczeń
Literatura
Dodatki
I. Przykład polityki dotyczącej bezpieczeństwa instytucji (poziom I)
I.1. Deklaracja o ustanowieniu Polityki Bezpieczeństwa Firmy e-GADGET sp. z o.o
I.2. Cel opracowania i zawartość dokumentu
I.3. Podstawy normatywne
I.4. Podstawy prawne
I.5. Zakres oddziaływania polityki
I.6. Bezpieczeństwo w Firmie e-GADGET
I.7. Role i odpowiedzialność
I.8. Rozpowszechnianie i zarządzanie dokumentem polityki
I.9. Załączniki
I.9.1. Regulaminy, instrukcje, procedury
I.9.2. Role dotyczące bezpieczeństwa teleinformatycznego
I.10. Odwołanie do Polityki Bezpieczeństwa Teleinformatycznego Firmy e-GADGET sp. z o.o
II. Przykład polityki dotyczącej bezpieczeństwa teleinformatycznego instytucji
(poziom II)
II.1. Umocowanie prawne
II.2. Cel opracowania i zawartość dokumentu
II.3. Podstawy normatywne i terminologia
II.4. Podstawy prawne
II.5. Zakres oddziaływania
II.6. Bezpieczeństwo informacji i usług elektronicznych w Firmie e-GADGET
II.6.1. Procesy biznesowe wspierane przez technologie teleinformatyczne
II.6.2. Postanowienia ogólne
II.6.3. Postępowanie wobec ryzyka
II.6.4. Otoczenie prawne i identyfikacja zasobów
II.6.5. Ogólne potrzeby bezpieczeństwa wynikające z procesów biznesowych, wspomaganych
w realizacji technologiami teleinformatycznymi
II.6.6. Wnioski ogólne z analizy ryzyka
II.6.7. Metoda postępowania przy tworzeniu systemu bezpieczeństwa
II.6.8. Cele zabezpieczeń i ogólne strategie
II.6.9. Szczegółowe zasady i wymagania dotyczące zabezpieczeń
II.6.9.1. Wymagania dotyczące dokumentu polityki bezpieczeństwa
II.6.9.2. Wymagania dotyczące organizacji systemu bezpieczeństwa
II.6.9.3. Klasyfikacja i nadzór nad zasobami
II.6.9.4. Bezpieczeństwo osobowe
II.6.9.5. Bezpieczeństwo fizyczne i środowiskowe
II.6.9.6. Zarządzanie systemem
II.6.9.7. Kontrola dostępu
II.6.9.8. Rozwój i utrzymanie systemów
II.6.9.9. Ciągłość procesów biznesowych
II.6.9.10. Zgodność
II.7. Role i odpowiedzialność
II.7.1. Ogólna organizacja służb odpowiedzialnych i ich role
II.7.2. Komitet Bezpieczeństwa Teleinformatycznego (KBTI)
II.7.3. Zespół Bezpieczeństwa Teleinformatycznego (ZBTI)
II.7.4. Pion Eksploatacji (PE)
II.7.5. Użytkownicy i inni pracownicy
II.7.6. Postanowienia dodatkowe
II.7.7. Odpowiedzialność za naruszenia polityki
II.8. Rozpowszechnianie i zarządzanie dokumentem polityki
II.9. Załączniki
II.9.1. Normy i zalecenia wykorzystywane do tworzenia polityki
II.9.2. Definicje wykorzystywanych pojęć
II.9.3. Tajemnice prawnie chronione, występujące w Firmie e-GADGET jako element
otoczenia prawnego, oznaczane jako EG-POUFNE
II.9.4. Tajemnice przedsiębiorstwa chronione na zasadach wzajemności, na podstawie
wielostronnych umów zawartych przez Firmę e-GADGET, oznaczane EG-POUFNE
II.9.5. Tajemnice przedsiębiorstwa określone na podstawie zarządzeń wewnętrznych w
Firmie e-GADGET, oznaczane EG-POUFNE
II.9.6. Działania zgodne z prawem, występujące w Firmie e-GADGET jako element otoczenia
prawnego
II.9.7. Regulaminy, instrukcje, procedury, wzorce dokumentów
II.9.8. Role członków zarządu
II.9.9. Role w Pionie Bezpieczeństwa
II.9.10. Role dotyczące właścicieli zasobów
II.9.11. Role w Pionie Eksploatacji
II.9.12. Uregulowania specjalne dotyczące ról
II.9.13. Dokumentacja projektowa i plany
II.10. Odwołanie do polityki dotyczącej bezpieczeństwa poszczególnych systemów
teleinformatycznych w Firmie e-GADGET sp. z o.o.
III. Przykład polityki dotyczącej bezpieczeństwa systemów informacyjnych
instytucji w układzie ISMS
III.1. Wprowadzenie
III.2. Cel opracowania
III.3. Zakres oddziaływania
III.4. Zasady polityki
III.5. Zasady odpowiedzialności za bezpieczeństwo
III.5.1. Zasady ogólne
III.5.2. Odpowiedzialność kierownictwa firmy
III.5.3. Odpowiedzialność Inspektora Bezpieczeństwa Informacji
III.5.4. Odpowiedzialność Inspektora Bezpieczeństwa Technologii Informatycznych
III.5.5. Odpowiedzialność ogólna
III.6. Wskazania ogólne
III.7. Przegląd dokumentu polityki
III.8. Dokumenty związane
IV. Specyfikacja zagadnień bezpieczeństwa zawartych w normie PN-ISO/IEC 17799
V. Specyfikacja zagadnień bezpieczeństwa organizacyjnego i fizycznego zawartych
w raporcie ISO/IEC TR 13335-4. obór zabezpieczeń podstawowych
według specyficznych cech systemu
VI. Specyfikacja zagadnień bezpieczeństwa teleinformatycznego zawartych w
raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według specyficznych cech
systemu
VII. Specyfikacja zagadnień bezpieczeństwa w układzie według zagrożeń
zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń
podstawowych według zagrożeń
Skorowidz
550 stron, B5, miękka oprawa