Details zum E-Book

Bezpieczeństwo systemów informacyjnych. Praktyczny przewodnik zgodny z normami polskimi i międzynarodowymi

Bezpieczeństwo systemów informacyjnych. Praktyczny przewodnik zgodny z normami polskimi i międzynarodowymi

Franciszek Wołowski, Janusz Zawiła-Niedźwiecki

E-book
 Przewodnik pokazuje:
 
  • jak interpretować kwestie bezpieczeństwa systemów informacyjnych, od ryzyka począwszy,
  • jakimi standardami (normami) i metodami się posługiwać,
  • do jakich wzorców dobrych praktyk sięgać,
  • jakie ośrodki doskonalące te praktyki obserwować,
  • z jakim środowiskiem specjalistów się konsultować.

Poradnik jest szczegółowy, w wielu fragmentach ma charakter list kontrolnych, które mają podpowiadać, jakie problemy i rozwiązania rozważać.

Poradnik jest skierowany w pierwszej kolejności do administratorów bezpieczeństwa systemów informacyjnych, ale także do szeroko rozumianej kadry kierowniczej organizacji różnych branż, charakteru i wielkości, od której zależy faktyczne bezpieczeństwo. Także do specjalistów różnych profesji, którzy do zapewniania bezpieczeństwa mogą się w organizacjach przyczyniać. Rzecz bowiem w tym, że stan bezpieczeństwa budują stopniowo wszyscy, a zburzyć go może już jedna osoba.
  • Wstęp
  • 1. Wprowadzenie
    • 1.1. Co to jest bezpieczeństwo informacji?
    • 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?
    • 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa informacji
    • 1.4. Czynniki decydujące o bezpieczeństwie systemów informacyjnych
    • 1.5. Jak określać wymagania bezpieczeństwa?
    • 1.6. Zarządzanie bezpieczeństwem informacji
    • 1.7. Standardy związane z zarządzaniem bezpieczeństwem systemów informacyjnych
    • 1.8. Zarządzanie ryzykiem a zarządzanie bezpieczeństwem informacji
    • 1.9. Punkt wyjścia zapewniania bezpieczeństwa informacji
    • 1.10. Krytyczne czynniki sukcesu
  • 2. Zarządzanie ryzykiem systemów informacyjnych
    • 2.1. Nazewnictwo związane z zarządzaniem ryzykiem
    • 2.1.1. Pojęcia podstawowe
    • 2.1.2. Nazewnictwo modelu zarządzania ryzykiem
    • 2.2. Struktura ryzyka
    • 2.2.1. Ryzyko polityczne
    • 2.2.2. Ryzyko organizacyjne
    • 2.2.3. Ryzyko operacyjne
    • 2.3. Czynniki ryzyka systemów informacyjnych
    • 2.3.1. Ludzie
    • 2.3.2. Procesy i systemy
    • 2.3.2.1. Systemy teleinformatyczne
    • 2.3.2.2. Dokumentacja wewnętrzna i zewnętrzna
    • 2.3.2.3. Lokalizacja
    • 2.3.3. Zdarzenia zewnętrzne
    • 2.3.3.1. Zdarzenia przewidywalne i nieprzewidywalne
    • 2.3.3.2. Zlecanie czynności na zewnątrz (outsourcing)
    • 2.4. Procesy zarządzania ryzykiem systemów informacyjnych
    • 2.5. Ustalenie oczekiwań wobec zarządzania ryzykiem
    • 2.5.1. Podstawowe kryteria oceny ryzyka systemów informacyjnych
    • 2.5.2. Zakres i granice procesu zarządzania ryzykiem systemów informacyjnych
    • 2.5.3. Organizacja zarządzania ryzykiem systemów informacyjnych
    • 2.6. Zarządzanie zasobami i aktywami systemów informacyjnych
    • 2.6.1. Zapewnianie zasobów i aktywów oraz odpowiedzialność za nie
    • 2.6.1.1.Inwentaryzacja zasobów i aktywów
    • 2.6.1.2. Własność zasobów
    • 2.6.1.3. Akceptowalne użycie zasobów
    • 2.6.2. Klasyfikacja informacji
    • 2.6.2.1. Zalecenia do klasyfikacji
    • 2.6.2.2. Oznaczanie informacji i postępowanie z informacjami
    • 2.6.3. Wartość biznesowa aktywów, zwłaszcza informacji
    • 2.7. Szacowanie ryzyka systemów informacyjnych
    • 2.7.1. Analiza ryzyka systemów informacyjnych
    • 2.7.1.1. Identyfikacja ryzyka
    • 2.7.1.2. Oszacowanie (wycena) ryzyka
    • 2.7.2. Ocena ryzyka systemów informacyjnych
    • 2.8. Postępowanie z ryzykiem systemów informacyjnych
    • 2.8.1. Unikanie ryzyka
    • 2.8.2. Przeniesienie ryzyka
    • 2.8.3. Utrzymanie/akceptowanie ryzyka
    • 2.8.4. Redukcja ryzyka
    • 2.8.5. Środki sterowania bezpieczeństwem
    • 2.8.6. Środki łagodzenia ryzyka (przeciwdziałanie)
    • 2.8.7. Strategia łagodzenia ryzyka
    • 2.9. Akceptacja ryzyka przez kierownictwo
    • 2.10. Informowanie o ryzyku
    • 2.11. Monitorowanie i przegląd ryzyka
    • 2.12. Kluczowe role w procesie zarządzania ryzykiem
  • 3. Zarządzanie ryzykiem w projektach systemów informacyjnych
    • 3.1. Wprowadzenie
    • 3.2. Kryteria sukcesu projektu
    • 3.3. Procesy zarządzania ryzykiem projektowym
    • 3.4. Planowanie zarządzania ryzykiem projektowym
    • 3.5. Identyfikacja zagrożeń
    • 3.6. Analiza ryzyka
    • 3.7. Szacowanie prawdopodobieństwa i skutku ryzyka
    • 3.8. Planowanie reakcji na ryzyko
    • 3.9. Sterowanie ryzykiem
    • 3.10. Monitorowanie ryzyka
  • 4. Zarządzanie reakcją na incydenty związane z naruszaniem bezpieczeństwa informacji
    • 4.1. Podstawowe zagadnienia i korzyści związane z zarządzaniem incydentami
    • 4.2. Przykłady incydentów związanych z naruszaniem bezpieczeństwa informacji
    • 4.3. Procedury w zarządzaniu incydentami
    • 4.3.1. Planowanie i przygotowanie
    • 4.3.2. „Stosowanie” - wdrożenie i eksploatacja
    • 4.3.3. Przegląd
    • 4.3.4. Doskonalenie
  • 5. System Zarządzania Bezpieczeństwem Informacji (SZBI)
    • 5.1. Ustanowienie SZBI
    • 5.1.1. Zakres i granice SZBI
    • 5.1.2. Polityka bezpieczeństwa i jej akceptacja przez kierownictwo
    • 5.1.3. Polityka bezpieczeństwa informacji
    • 5.1.4. Dokument polityki bezpieczeństwa informacji
    • 5.1.5. Przegląd polityki bezpieczeństwa informacji
    • 5.1.6. Strategia zarządzania ryzykiem
    • 5.2. Wdrożenie i eksploatacja SZBI
    • 5.3. Monitorowanie i przegląd SZBI
    • 5.4. Utrzymanie i doskonalenie SZBI
    • 5.5. Organizacja zapewniania bezpieczeństwa informacji
    • 5.5.1. Organizacja wewnętrzna
    • 5.5.1.1. Zaangażowanie kierownictwa w zapewnianie bezpieczeństwa informacji
    • 5.5.1.2. Koordynacja zarządzania zapewnianiem bezpieczeństwa informacji
    • 5.5.1.3. Przypisanie odpowiedzialności w zakresie zapewniania bezpieczeństwa informacji
    • 5.5.1.4. Proces autoryzacji środków przetwarzania informacji
    • 5.5.1.5. Umowy o zachowaniu poufności
    • 5.5.1.6. Kontakty z organami władzy
    • 5.5.1.7. Kontakty z grupami zaangażowanymi w zapewnianie bezpieczeństwa
    • 5.5.1.8. Niezależne przeglądy bezpieczeństwa informacji
    • 5.5.2. Strony zewnętrzne
    • 5.5.2.1. Ryzyko związane ze stronami zewnętrznymi
    • 5.5.2.2. Bezpieczeństwo w kontaktach z klientami
    • 5.5.2.3. Bezpieczeństwo w umowach ze stroną trzecią
    • 5.6. Bezpieczeństwo zasobów ludzkich
    • 5.6.1. Przed zatrudnieniem
    • 5.6.1.1. Role i zakresy odpowiedzialności
    • 5.6.1.2. Postępowanie sprawdzające
    • 5.6.1.3. Zasady zatrudnienia
    • 5.6.2. Podczas zatrudnienia
    • 5.6.2.1. Odpowiedzialność kierownictwa
    • 5.6.2.2. Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji
    • 5.6.2.3. Postępowanie dyscyplinarne
    • 5.6.3. Zakończenie lub zmiana zatrudnienia
    • 5.6.3.1. Odpowiedzialność związana z zakończeniem zatrudnienia
    • 5.6.3.2. Zwrot zasobów
    • 5.6.3.3. Odebranie praw dostępu
    • 5.7. Bezpieczeństwo fizyczne i środowiskowe
    • 5.7.1. Obszary bezpieczne
    • 5.7.1.1. Fizyczna granica obszaru bezpiecznego
    • 5.7.1.2. Środki ochrony fizycznego wejścia
    • 5.7.1.3. Zabezpieczanie biur, pomieszczeń i urządzeń
    • 5.7.1.4. Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi
    • 5.7.1.5. Praca w obszarach bezpiecznych
    • 5.7.1.6. Obszary publicznie dostępne dla dostaw i załadunku
    • 5.7.2. Bezpieczeństwo wyposażenia
    • 5.7.2.1. Rozmieszczenie i ochrona wyposażenia
    • 5.7.2.2. Systemy wspomagające przetwarzanie informacji
    • 5.7.2.3. Bezpieczeństwo okablowania
    • 5.7.2.4. Bezpieczna konserwacja sprzętu
    • 5.7.2.5. Bezpieczeństwo wyposażenia znajdującego się poza siedzibą organizacji
    • 5.7.2.6. Bezpieczne usuwanie lub ponowne wykorzystanie wyposażenia
    • 5.7.2.7. Wynoszenie mienia
    • 5.8. Zarządzanie eksploatacją i komunikacją SZBI
    • 5.8.1. Procedury eksploatacyjne i odpowiedzialność
    • 5.8.1.1. Dokumentowanie procedur eksploatacyjnych
    • 5.8.1.2. Zarządzanie zmianami
    • 5.8.1.3. Rozdzielanie obowiązków
    • 5.8.1.4. Oddzielanie środowisk rozwojowych, testowych i eksploatacyjnych
    • 5.8.2. Zarządzanie usługami dostarczanymi przez strony trzecie
    • 5.8.2.1. Bezpieczne dostarczanie usług
    • 5.8.2.2. Monitorowanie i przegląd usług strony trzeciej
    • 5.8.2.3. Bezpieczne zarządzanie zmianami usług strony trzeciej
    • 5.8.3. Planowanie i odbiór systemów
    • 5.8.3.1. Zarządzanie pojemnością systemów
    • 5.8.3.2. Akceptacja systemu
    • 5.8.4. Ochrona przed kodem złośliwym i nadzór nad kodem mobilnym
    • 5.8.4.1. Środki ochrony przed kodem złośliwym
    • 5.8.4.2. Środki nadzoru nad kodem mobilnym
    • 5.8.5. Kopie zapasowe
    • 5.8.6. Zarządzanie bezpieczeństwem sieci
    • 5.8.6.1. Systemy ochrony sieci
    • 5.8.6.2. Bezpieczeństwo usług sieciowych
    • 5.8.7. Obsługa nośników danych i dokumentacji
    • 5.8.7.1. Zarządzanie nośnikami wymiennymi
    • 5.8.7.2. Usuwanie nośników
    • 5.8.7.3. Procedury postępowania z informacjami
    • 5.8.7.4. Bezpieczeństwo dokumentacji systemowej
    • 5.8.8. Wymiana informacji
    • 5.8.8.1. Polityka i procedury wymiany informacji
    • 5.8.8.2. Umowy o wymianie informacji
    • 5.8.8.3. Transportowanie fizycznych nośników informacji
    • 5.8.8.4. Wiadomości elektroniczne
    • 5.8.8.5. Systemy informacyjne organizacji
    • 5.8.9. Usługi handlu elektronicznego
    • 5.8.9.1. Handel elektroniczny
    • 5.8.9.2. Transakcje on-line
    • 5.8.9.3. Informacje dostępne publicznie
    • 5.9. Kontrola dostępu
    • 5.9.1. Wymagania biznesowe i polityka kontroli dostępu
    • 5.9.2. Zarządzanie dostępem użytkowników
    • 5.9.2.1. Rejestracja użytkowników
    • 5.9.2.2. Zarządzanie przywilejami
    • 5.9.2.3. Zarządzanie hasłami użytkowników
    • 5.9.2.4. Przeglądy praw dostępu użytkowników
    • 5.9.3. Odpowiedzialność użytkowników
    • 5.9.3.1. Używanie haseł
    • 5.9.3.2. Pozostawianie sprzętu użytkownika bez opieki
    • 5.9.3.3. Polityka czystego biurka i czystego ekranu
    • 5.9.4. Kontrola dostępu do sieci
    • 5.9.4.1. Zasady korzystania z usług sieciowych
    • 5.9.4.2. Uwierzytelnianie użytkowników przy połączeniach zewnętrznych
    • 5.9.4.3. Identyfikacja urządzeń w sieciach
    • 5.9.4.4. Ochrona zdalnych portów diagnostycznych i konfiguracyjnych
    • 5.9.4.5. Rozdzielanie sieci
    • 5.9.4.6. Kontrola połączeń sieciowych
    • 5.9.4.7. Kontrola rutingu w sieciach
    • 5.9.5. Kontrola dostępu do systemów operacyjnych
    • 5.9.5.1. Procedury bezpiecznego logowania się
    • 5.9.5.2. Identyfikacja i uwierzytelnianie użytkowników
    • 5.9.5.3. System zarządzania hasłami
    • 5.9.5.4. Użycie systemowych programów narzędziowych
    • 5.9.5.5. Zamykanie sesji po określonym czasie
    • 5.9.5.6. Ograniczanie czasu trwania połączenia
    • 5.9.6. Kontrola dostępu do informacji i aplikacji
    • 5.9.6.1. Ograniczanie dostępu do informacji
    • 5.9.6.2. Izolowanie systemów wrażliwych
    • 5.9.7. Przetwarzanie mobilne i praca na odległość
    • 5.9.7.1. Przetwarzanie i komunikacja mobilna
    • 5.9.7.2. Praca zdalna
    • 5.10. Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych
    • 5.10.1. Wymagania bezpieczeństwa systemów informacyjnych
    • 5.10.2. Poprawne przetwarzanie w aplikacjach
    • 5.10.2.1. Potwierdzanie poprawności danych wejściowych
    • 5.10.2.2. Kontrola przetwarzania wewnętrznego
    • 5.10.2.3. Integralność wiadomości
    • 5.10.2.4. Potwierdzanie poprawności danych wyjściowych
    • 5.10.3. Zabezpieczenia kryptograficzne
    • 5.10.3.1. Zasady korzystania z zabezpieczeń kryptograficznych
    • 5.10.3.2. Zarządzanie kluczami
    • 5.10.4. Bezpieczeństwo plików systemowych
    • 5.10.4.1. Zabezpieczanie eksploatowanego oprogramowania
    • 5.10.4.2. Ochrona systemowych danych testowych
    • 5.10.4.3. Kontrola dostępu do kodów źródłowych programów
    • 5.10.5. Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej
    • 5.10.5.1. Procedury kontroli zmian
    • 5.10.5.2. Techniczny przegląd aplikacji po zmianach w systemie) operacyjnym
    • 5.10.5.3. Ograniczenia dotyczące zmian w pakietach oprogramowania
    • 5.10.5.4. Wyciek informacji
    • 5.10.5.5. Prace rozwojowe nad oprogramowaniem powierzone firmie zewnętrznej
    • 5.11. Wymagania dotyczące dokumentacji
    • 5.11.1. Nadzór nad dokumentami
    • 5.11.2. Nadzór nad zapisami
  • 6. Zarządzanie zapewnianiem ciągłości działania
    • 6.1. Osadzenie zapewniania ciągłości działania w kulturze organizacji
    • 6.2. Zrozumienie istoty działania organizacji
    • 6.2.1. Wprowadzenie procesu systematycznego zarządzania zapewnianiem ciągłości działania
    • 6.2.2. Generalna analiza wpływu zakłóceń na działalność
    • 6.2.3. Identyfikacja, analiza i ocena ryzyka ogólnego
    • 6.2.4. Bezpieczeństwo informacji i ciągłość działania systemów informatycznych a zapewnianie ciągłości działania organizacji
    • 6.3. Określanie strategii zarządzania zapewnianiem ciągłości działania
    • 6.4. Opracowywanie i wdrażanie rozwiązań zapewniania ciągłości działania
    • 6.4.1. Analiza ryzyka operacyjnego i mapa zakłóceń
    • 6.4.2. Opracowywanie regulaminów, procedur, instrukcji
    • 6.4.3. Projektowanie scenariuszy awaryjnych
    • 6.4.4. Wdrażanie przyjętego postępowania z zakłóceniami
    • 6.5. Testowanie, utrzymywanie i audyt rozwiązań zapewniania ciągłości działania
    • 6.5.1. Testowanie
    • 6.5.2. Utrzymywanie
    • 6.5.3. Audyt
  • 7. Odpowiedzialność kierownictwa organizacji
    • 7.1. Zaangażowanie kierownictwa
    • 7.2. Szkolenie, uświadamianie i kompetencje pracowników
  • 8. Monitorowanie bezpieczeństwa
    • 8.1. Monitorowanie i przeglądy SZBI
    • 8.1.1. Niezależne przeglądy bezpieczeństwa informacji
    • 8.1.2. Dzienniki zdarzeń
    • 8.1.3. Monitorowanie wykorzystywania systemu
    • 8.1.4. Ochrona informacji zawartych w dziennikach zdarzeń
    • 8.1.5. Dzienniki zdarzeń administratora i operatora
    • 8.1.6. Rejestrowanie błędów
    • 8.1.7. Synchronizacja zegarów
    • 8.1.8. Monitorowanie i przegląd usług strony trzeciej
    • 8.1.9. Zgodność przeglądów z politykami bezpieczeństwa i standardami oraz zgodność techniczna
    • 8.2. Przeglądy realizowane przez kierownictwo
    • 8.2.1. Dane wejściowe do przeglądu
    • 8.2.2. Wyniki przeglądu
  • 9. Audyty SZBI
    • 9.1. Audyty systemów informacyjnych
    • 9.1.1. Bezpieczne prowadzenie audytu
    • 9.1.2. Ochrona narzędzi audytu
    • 9.2. Audyty wewnętrzne SZBI
    • 9.3. Procesy audytowe
    • 9.3.1. Etap przygotowawczy audytu
    • 9.3.1.1. Spotkanie wstępne
    • 9.3.1.2. Seminarium dla gremiów kierowniczych organizacji
    • 9.3.2. Etap wykonawczy audytu
    • 9.3.2.1. Ścieżka formalna audytu
    • 9.3.2.2. Ścieżka techniczna audytu
    • 9.3.3. Etap sprawozdawczy audytu
    • 9.3.3.1. Opracowanie dokumentu końcowego
    • 9.3.3.2. Przekazanie zleceniodawcy zbioru dokumentów audytowych
  • 10. Doskonalenie SZBI
    • 10.1. Ciągłe doskonalenie
    • 10.2. Działania korygujące
    • 10.3. Działania zapobiegawcze
  • 11. Zgodność z przepisami prawa
    • 11.1. Ustalenie odpowiednich przepisów prawa
    • 11.2. Prawo do własności intelektualnej
    • 11.3. Ochrona zapisów w organizacji
    • 11.4. Ochrona danych osobowych i prywatność informacji dotyczących osób fizycznych
    • 11.5. Zapobieganie nadużywaniu środków przetwarzania informacji
    • 11.6. Regulacje dotyczące zabezpieczeń kryptograficznych
    • 11.7. Sprawdzanie zgodności technicznej
  • 12. Terminologia
    • 12.1. Pojęcia i definicje
    • 12.2. Akronimy
  • Bibliografia
  • Titel: Bezpieczeństwo systemów informacyjnych. Praktyczny przewodnik zgodny z normami polskimi i międzynarodowymi
  • Autor: Franciszek Wołowski, Janusz Zawiła-Niedźwiecki
  • ISBN: 978-8-3638-0401-5, 9788363804015
  • Veröffentlichungsdatum: 2012-11-23
  • Format: E-book
  • Artikelkennung: e_0700
  • Verleger: edu-Libri