Książka "Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie" stanowi kompendium wiedzy na temat zapewnienia bezpieczeństwa informacji i usług. Autor zapoznaje Czytelnika z podstawowymi pojęciami, metodami i narzędziami dotyczącymi bezpieczeństwa teleinformatycznego, ale rozpatrywanego na tle bezpieczeństwa w sensie technicznym.
Opisuje etapy tworzenia systemu bezpieczeństwa oraz jego funkcjonowanie – od ewidencjonowania zasobów, przez analizę ryzyka, dobór wymagań i zabezpieczeń, wypracowanie strategii zapewnienia bezpieczeństwa, do procesów wdrożeniowych. Podaje wiele praktycznych przykładów, wykazów, list kontrolnych, szablonów i wzorów dokumentów, opracowanych na podstawie obowiązujących norm i zaleceń. Czytelnik może łatwo wykorzystać te elementy do rozwiązania problemów swojej instytucji – niezależnie od jej wielkości i specyfiki działania.
Książka jest przeznaczona dla osób zajmujących się zagadnieniami bezpieczeństwa teleinformatycznego w firmach i instytucjach, w tym w jednostkach administracji publicznej. Chodzi tu o inspektorów bezpieczeństwa, administratorów systemów, audytorów, menedżerów, a także informatyków. Skorzystają z niej również studenci informatyki, telekomunikacji i zarządzania.
Spis treści:
1. Wstęp
1.1. Bezpieczeństwo informacji i usług a bezpieczeństwo teleinformatyczne
1.2. Interdyscyplinarny charakter zagadnień i szczególna rola informatyki
1.3. Podstawowe problemy bezpieczeństwa teleinformatycznego
1.4. Dwa podejścia do zagadnień bezpieczeństwa
1.5. Potrzeba tworzenia komputerowych narzędzi wspomagających
2. Wprowadzenie do zarządzania bezpieczeństwem informacji i usług
2.1. Bezpieczeństwo i jego atrybuty
2.2. Wrażliwość informacji i krytyczność usług - istota ochrony
2.3. Elementy bezpieczeństwa
3. Normy, standardy i zalecenia
3.1. Działalność połączonego komitetu technicznego ISO/IEC
3.2. Raporty techniczne ISO/IEC TR 13335
3.3. Rozwój i znaczenie rodziny standardów BS 7799
3.4. Szczególne znaczenie standardu COBIT
3.5. Kryteria oceny zabezpieczeń
3.6. Standardy dotyczące rozwiązań technicznych
3.7. Przygotowanie organizacji do działań audytorskich
3.8. Zalecenia i inne wytyczne szczegółowe
3.9. Aktualny stan rozwoju standardów i sposób ich wykorzystania
4. Ryzyko w sensie ogólnym i technicznym
4.1. Podstawy analizy ryzyka w sensie ogólnym
4.2. Bezpieczeństwo funkcjonalne w świetle IEC 61508
4.3. Metody jakościowe oceny ryzyka
4.4. Metody wykorzystujące struktury drzewiaste
4.5. Metody analizy dynamicznej
4.6. Podsumowanie przeglądu metod oceny ryzyka
5. Analiza ryzyka i strategie zarządzania nim w teleinformatyce
5.1. Podstawowe strategie zarządzania ryzykiem
5.2. Ogólny schemat analizy ryzyka
5.3. Metody kumulowania wielkości ryzyka
5.4. Podstawowe metody redukcji ryzyka
6. Wybrane metody i komputerowe narzędzia wspomagające
6.1. Komputerowe wspomaganie analizy i zarządzania ryzykiem
6.2. Metodyka zarządzania ryzykiem opracowana w instytucie NIST
6.3. Metodyka szacowania zagrożeń i ryzyka (TRA) opracowana w CSE
6.4. Metodyka CORA i komputerowe narzędzia wspomagające
6.5. Metodyka i oprogramowanie CRAMM
6.6. Oprogramowanie COBRA
6.7. Metoda IRIS
6.8. Oprogramowanie RiskPAC
6.9. Oprogramowanie ASSET
6.10. Inne wybrane metody i narzędzia
6.11. Przykłady analizatorów bezpieczeństwa i innych narzędzi wspomagających jego utrzymywanie na bieżąco
7. Trójpoziomowy model odniesienia
7.1. Trójpoziomowy model hierarchii celów, strategii i polityki
7.2. Hierarchiczna struktura dokumentacji bezpieczeństwa według modelu odniesienia
7.3. Hierarchiczna struktura zarządzająca według modelu odniesienia
7.4. Trójpoziomowy model odniesienia w praktyce
7.5. Polityka a zarządzanie bezpieczeństwem
8. System bezpieczeństwa instytucji
8.1. Wprowadzenie
8.2. Fazy realizacji i ogólny schemat funkcjonowania systemu bezpieczeństwa instytucji
8.3. Zapis sformalizowany modelu trójpoziomowego
8.4. Zapis sformalizowany procesów związanych z utrzymaniem bezpieczeństwa
9. Bezpieczeństwo w instytucji
9.1. Architektura systemu bezpieczeństwa instytucji
9.2. Analiza procesów biznesowych ze względu na stopień zaangażowania systemów teleinformatycznych w ich realizację
9.3. Ogólne potrzeby bezpieczeństwa systemów teleinformatycznych instytucji
9.4. Formułowanie dokumentu polityki bezpieczeństwa instytucji
9.5. Zarządzanie bezpieczeństwem na poziomie instytucji
10. Ogólne zasady bezpieczeństwa teleinformatycznego w instytucji
10.1. Architektura systemu bezpieczeństwa teleinformatycznego instytucji
10.2. Cele bezpieczeństwa systemów teleinformatycznych instytucji
10.3. Otoczenie prawne
10.4. Wybór strategii redukcji ryzyka
11. Wysokopoziomowa (ogólna) analiza ryzyka i wyznaczenie obszarów wymagających ochrony
11.1. Wymagania ochronne
11.2. Domeny bezpieczeństwa
11.3. Przebieg wysokopoziomowej analizy ryzyka
12. Koncepcja hierarchii zasobów
12.1. Wprowadzenie
12.2. Interpretacja praktyczna modelu
12.3. Przekroje modelu
12.4. Zbiór dostępnych typów zasobów
12.5. Zbiór eksploatowanych zasobów
12.6. Specjalne znaczenie klasy zasobów reprezentującej personel
12.7. Znaczenie przekrojów modelu zasobów dla zarządzania bezpieczeństwem
13. Przebieg szczegółowej analizy ryzyka w systemach teleinformatycznych
13.1. Wprowadzenie
13.2. Granice obszarów zajmowanych przez zasoby instytucji
13.3. Analiza zasobów - identyfikacja i wycena
13.4. Ocena podatności
13.5. Środowisko zagrożeń
13.6. Identyfikacja istniejących lub planowanych zabezpieczeń
13.7. Podsumowanie wyników analizy ryzyka
14. Wzorce wymagań dotyczących zabezpieczeń
14.1. Wzorcowa lista wymagań według PN-ISO/IEC 17799 (PN-I-07799-2)
14.2. Tworzenie list wymagań na podstawie katalogu zabezpieczeń zapewniających ochronę podstawową
14.3. Rekomendacje bankowe, normy branżowe, akty prawne
15. Wypracowanie strategii wyboru zabezpieczeń
15.1. Ustalanie listy wymagań, przyjmując cele bezpieczeństwa jako podstawowe ich źródło
15.2. Ustalanie listy wymagań na podstawie listy wzorcowej
15.3. Ustalanie listy wymagań na podstawie wyników analizy ryzyka
16. Ogólne zasady tworzenia architektury bezpieczeństwa na poziomie II i III
16.1. Podstawy tworzenia odrębnych wersji polityki bezpieczeństwa dla oddziałów instytucji (poziom IIa)
16.2. Wpływ jednorodności wymagań na architekturę bezpieczeństwa
16.3. Architektura systemu bezpieczeństwa na poziomie systemów teleinformatycznych
17. Dobór zabezpieczeń na podstawie zdefiniowanych wymagań
17.1. Wprowadzenie
17.2. Identyfikacja ograniczeń
17.3. Ogólna koncepcja ochrony podstawowej
17.4. Dobór zabezpieczeń podstawowych według rodzaju systemu
17.5. Dobór zabezpieczeń podstawowych według potrzeb bezpieczeństwa i zagrożeń
17.6. Przykład metodyki ochrony podstawowej - IT Grundschutz
17.7. Dobór zabezpieczeń wynikających z analizy ryzyka
17.8. Uwzględnienie architektury systemów w architekturze bezpieczeństwa na poziomie systemów teleinformatycznych
17.9. Akceptacja ryzyka
18. Polityka bezpieczeństwa teleinformatycznego – ogółu systemów teleinformatycznych w instytucji (poziom II)
18.1. Zasady konstruowania
18.2. Zawartość i przykłady
18.3. Zarządzanie bezpieczeństwem na poziomie systemów teleinformatycznych instytucji
19. Polityka dotycząca bezpieczeństwa poszczególnych systemów (poziomu III) i plany zabezpieczeń
19.1. Zasady konstruowania
19.2. Zawartość dokumentu
19.3. Plany zabezpieczeń poszczególnych systemów
19.4. Zarządzanie bezpieczeństwem na poziomie systemów
20. Procesy wdrożeniowe
20.1. Wdrożenie zabezpieczeń
20.2. Działania uświadamiające i ich nadzorowanie
20.3. Szkolenia
20.4. Akredytacja systemów
21. Czynności powdrożeniowe
21.1. Wykrywanie zmian i zarządzanie zmianami
21.2. Monitorowanie elementów systemu bezpieczeństwa
21.3. Zarządzanie zabezpieczeniami i utrzymywanie ich skuteczności
21.4. Kontrola zgodności
21.5. Zarządzanie incydentami i doskonalenie systemu bezpieczeństwa
22. Wnioski i uwagi końcowe
Wykaz niektórych skrótów angielskich i polskich oraz oznaczeń
Dodatki:
I. Przykład polityki dotyczącej bezpieczeństwa instytucji (poziom I)
II. Przykład polityki dotyczącej bezpieczeństwa teleinformatycznego instytucji (poziom II)
III. Przykład polityki dotyczącej bezpieczeństwa systemów informacyjnych instytucji w układzie ISMS
IV. Specyfikacja zagadnień bezpieczeństwa zawartych w normie PN-ISO/IEC 17799
V. Specyfikacja zagadnień bezpieczeństwa organizacyjnego i fizycznego zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według specyficznych cech systemu
VI. Specyfikacja zagadnień bezpieczeństwa teleinformatycznego zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według specyficznych cech systemu
VII. Specyfikacja zagadnień bezpieczeństwa w układzie według zagrożeń zawartych w raporcie ISO/IEC TR 13335-4. Dobór zabezpieczeń podstawowych według zagrożeń
adobe algorytmy apache asp autocad asembler bsd c++ c# delphi dtp excel flash html java javascript linux matlab mysql office php samba voip uml unix visual studio windows word
Księgarnia Informatyczna zaprasza.