tylko-tutaj-audyt-bezpieczenstwa-informacji-w-praktyce audyt, Poradniki

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • apan.keep.pl
  • Podobne

     

    tylko-tutaj-audyt-bezpieczenstwa-informacji-w-praktyce audyt, Poradniki

    [ Pobierz całość w formacie PDF ]
    IDZ DO
    PRZYK£ADOW
    Audyt bezpieczenstwa
    SPIS TREŒCI
    informacji w praktyce
    KATALOG KSI¥¯EK
    Autor: Tomasz Polaczek
    ISBN: 83-246-0402-2
    Format: B5, stron: oko³o 126
    KATALOG ONLINE
    ZAMÓW DRUKOWANY KATALOG
    TWÓJ KOSZYK
    DODAJ DO KOSZYKA
    Rozpoczê³a siê era spo³eczeñstwa informacyjnego. Dzia³alnoœæ coraz wiêkszej
    liczby organizacji i firm zale¿y od szybkiego i efektywnego przetwarzania informacji.
    Informacja sta³a siê cennym, czêsto wykradanym towarem. Zagro¿eniem dla
    bezpieczeñstwa danych s¹ nie tylko crackerzy, lecz czêsto tak¿e pracownicy firmy,
    którzy nieœwiadomie udostêpniaj¹ zastrze¿one informacje osobom trzecim.
    Upowszechnienie informacji, bêd¹cych tajemnic¹ lub w³asnoœci¹ intelektualn¹
    i handlow¹ firmy lub instytucji, mo¿e oznaczaæ utratê reputacji, zakoñczenie
    dzia³alnoœci na rynku lub nawet wywo³aæ k³opoty natury prawnej. Z tych powodów
    informacjê trzeba nale¿ycie chroniæ oraz odpowiedni¹ ni¹ zarz¹dzaæ.
    Ksi¹¿ka „Audyt bezpieczeñstwa informacji w praktyce” przedstawia praktyczne
    aspekty wdra¿ania i realizowania polityki ochrony danych. Opisuje zarówno regulacje
    prawne, jak i normy ISO traktuj¹ce o bezpieczeñstwie informacji. Zawiera informacje
    o odpowiednim zarz¹dzaniu systemami przechowywania danych, fizycznym
    zabezpieczaniu miejsc, w których znajduj¹ siê noœniki danych, oraz szkoleniu
    u¿ytkowników systemów.
    Normy ISO i PN dotycz¹ce ochrony informacji
    Planowanie polityki bezpieczeñstwa
    Umowy o zachowaniu poufnoœci
    Zabezpieczanie budynku i pomieszczeñ
    Tworzenie procedur eksploatacji sprzêtu i systemów
    Ochrona sieci przed programami szpieguj¹cymi
    Zarz¹dzanie dostêpem u¿ytkowników do systemu
    Odpowiednio zaplanowane procedury ochrony danych mog¹ uchroniæ
    przedsiêbiorstwo przed powa¿nymi problemami. Wykorzystaj wiadomoœci zawarte
    w tej ksi¹¿ce i wprowadŸ podobne procedury w swojej firmie.
    CENNIK I INFORMACJE
    ZAMÓW INFORMACJE
    ONOWOŒCIACH
    ZAMÓW CENNIK
    CZYTELNIA
    FRAGMENTY KSI¥¯EK ONLINE
    Wydawnictwo Helion
    ul. Chopina 6
    44-100 Gliwice
    tel. (32)230-98-63
    e-mail: helion@helion.pl
    O autorze ........................................................................................................................... 5
    Wstęp ................................................................................................................................ 7
    Zezwolenie ........................................................................................................................ 9
    Od autora ........................................................................................................................ 11
    Podstawowe założenia polityki bezpieczeństwa informacji ........................................... 13
    Czym jest informacja .............................................................................................................. 13
    Gdzie przechowujemy informacje .......................................................................................... 14
    Informacja w świetle regulacji prawnych ................................................................................ 15
    Zasady audytu ........................................................................................................................ 15
    Norma ISO/IEC TR 13335 ...................................................................................................... 19
    Zarządzanie bezpieczeństwem informacji ...................................................................... 23
    Polityka bezpieczeństwa informacji ........................................................................................ 23
    Co powinna zawierać polityka bezpieczeństwa informacji .................................................... 24
    Czego nie powinna zawierać polityka bezpieczeństwa informacji ......................................... 25
    Utworzenie infrastruktury bezpieczeństwa informacji ........................................................... 25
    Odpowiedzialność oraz kompetencje w systemie bezpieczeństwa informacji ...................... 26
    Autoryzacja urządzeń do przetwarzania informacji ............................................................... 26
    Doradztwo specjalistyczne w zakresie bezpieczeństwa informacji ........................................ 27
    Współpraca między organizacjami ......................................................................................... 28
    Niezależne przeglądy stanu bezpieczeństwa informacji ....................................................... 28
    Zabezpieczenie przed dostępem osób trzecich ..................................................................... 29
    Zlecenie przetwarzania danych firmom zewnętrznym ............................................................ 33
     Klasyfikacja i kontrola aktywów ......................................................................................35
    Rozliczanie aktywów .............................................................................................................. 35
    Klasyfikacja informacji ............................................................................................................ 37
    Bezpieczeństwo osobowe ...............................................................................................39
    Bezpieczeństwo informacji przy określaniu obowiązków i w zarządzaniu zasobami ludzkimi 39
    Szkolenie użytkowników ......................................................................................................... 43
    Reagowanie na naruszenia bezpieczeństwa i niewłaściwe funkcjonowanie systemu ........... 44
    Bezpieczeństwo fizyczne i środowiskowe ......................................................................47
    Fizyczny obwód zabezpieczający .......................................................................................... 48
    Zabezpieczenie sprzętu .......................................................................................................... 54
    Ogólne zabezpieczenia ..........................................................................................................59
    Zarządzanie systemami informatycznymi i sieciami komputerowymi ............................63
    Procedury eksploatacyjne oraz okres odpowiedzialności ...................................................... 63
    Planowanie i odbiór systemu .................................................................................................. 67
    Ochrona przed szkodliwym oprogramowaniem ..................................................................... 69
    Procedury wewnętrzne ........................................................................................................... 71
    Zarządzanie sieciami .............................................................................................................. 73
    Postępowanie z nośnikami i ich bezpieczeństwo ................................................................... 74
    Wymiana danych i oprogramowania ...................................................................................... 77
    Kontrola dostępu do systemu .........................................................................................85
    Potrzeby biznesowe związane z dostępem do informacji ..................................................... 85
    Zarządzanie dostępem użytkowników ................................................................................... 86
    Zakres odpowiedzialności użytkowników ............................................................................... 89
    Kontrola dostępu do sieci ....................................................................................................... 91
    Kontrola dostępu do systemów operacyjnych ....................................................................... 94
    Kontrola dostępu do aplikacji ................................................................................................. 97
    Monitorowanie dostępu do systemu i jego wykorzystywania ................................................. 98
    Komputery przenośne i praca zdalna ................................................................................... 100
    Zabezpieczenia kryptograficzne ........................................................................................... 103
    Zarządzanie ciągłością działania organizacji w sytuacji krytycznej ..................................... 105
    Zgodność ............................................................................................................................. 111
    Przegląd polityki bezpieczeństwa informacji i zgodności technicznej .................................. 114
    Skorowidz ..................................................................................................................... 115
    4
    SPIS TREŚCI
    Sieci komputerowe, a właściwie wszelakie systemy informatyczne, stały się
    już niezbędne zarówno przy wykonywaniu czynności służbowych, jak rów-
    nież w życiu prywatnym. W rzeczywistości bez tego dobrodziejstwa techniki
    trudno się obyć. Przykładowo, coraz częściej sieci komputerowe służą do do-
    konywania zakupów. Siecią przesyła się wszelakie informacje i dane — te
    ważne i te mniej istotne. Systemy informatyczne z kolei dane te przetwarzają
    i przechowują. Oczywistym jest, że aby służyły one w należyty — i przede
    wszystkim — w bezpieczny sposób, trzeba zapewnić ich odpowiednią obsługę
    i poprawnie zarządzać nimi.
    Bardzo istotnym elementem systemu bezpieczeństwa informacji jest staranne
    zabezpieczenie sieci komputerowych i systemów informatycznych przed oso-
    bami niepowołanymi. W tym celu — podobnie jak w przypadku innych sys-
    temów — trzeba wprowadzić odpowiednie procedury eksploatacyjne.
    Procedury eksploatacyjne
    oraz okres odpowiedzialności
    Informacja jest wykorzystywana za pomocą różnego typu urządzeń. Skoro
    tak się dzieje, oznacza to również konieczność zabezpieczenia tych urządzeń.
    W tym przypadku oczywistą sprawą jest sprecyzowanie odpowiednich pro-
    cedur zarządzania tymi urządzeniami oraz zakresów odpowiedzialności za te
     urządzenia oraz informacje w nich przechowywane lub przetwarzane. Należy
    również wdrożyć procedury reagowania na incydenty związane z uszkodze-
    niem takich urządzeń bądź niewłaściwym ich użytkowaniem, co może się
    przyczynić do uszkodzenia sprzętu lub utraty przechowywanych danych.
    Dokumentowanie procedur eksploatacyjnych
    Procedury zawarte w polityce bezpieczeństwa informacji powinny być ogól-
    nodostępne dla wszystkich osób w organizacji — jest to warunek sprawnego
    funkcjonowania całego systemu. Jak wspomniałem we wcześniejszych rozdzia-
    łach tej książki, poszczególne procedury powinny być opracowane w sposób
    ściśle odpowiadający specyfice pracy na danych stanowiskach, jednak istnieją
    jeszcze procedury ogólnodostępne, skierowane do wszystkich pracowników
    organizacji. Istnieje przecież wiele urządzeń, wykorzystywanych przez prak-
    tycznie wszystkie osoby w firmie do przeglądania, przesyłania, przechowy-
    wania czy przetwarzania informacji. Sposób posługiwania się tym sprzętem
    i zasady ochrony informacji z nim związanej powinny zatem zostać precy-
    zyjnie określone w odpowiednich procedurach. Do takich procedur należą
    właśnie m.in. procedury eksploatacyjne. Oczywiście, należy je odpowiednio
    dokumentować i przechowywać. Każda z tych procedur powinna zawierać
    dokładną instrukcję postępowania z określonymi urządzeniami oraz z infor-
    macją w nich zawartą lub przetwarzaną.
    Podczas codziennej pracy bardzo często dochodzi do incydentów, które po-
    tencjalnie mają wpływ na jakość pracy lub na bezpieczeństwo przetwarzanych
    danych. Oczywiście, te zdarzenia są spowodowane różnymi przyczynami,
    np. błędnym działaniem aplikacji lub niepoprawną pracą systemu informa-
    tycznego. W takich przypadkach, gdy praca zostanie zakłócona przez np. źle
    działający system informatyczny, procedury powinny mówić m.in. o obsłudze
    technicznej i sposobie uzyskania pomocy działu lub firmy zajmującej się
    utrzymaniem bądź serwisem struktur informatycznych. Poza tym należy rów-
    nież udokumentować procedury ponownego uruchomienia systemu bądź jego
    odtworzenia w przypadku awarii.
    Kontrola zmian w eksploatacji
    W przypadku każdego systemu informatycznego na porządku dziennym jest
    dokonywanie zmian, aktualizacji zabezpieczeń lub innych czynności związanych
    z podniesieniem wydajności działania sprzętu i oprogramowania. Wszystkie
    tego typu zmiany powinny być starannie dokumentowane, co ułatwia zapo-
    bieganie awariom systemu lub przynajmniej pozwala na odpowiednio szybkie
    zdiagnozowanie przyczyn jego uszkodzenia. Każda zmiana czy aktualizacja
    64
    ROZDZIAŁ 6. ZARZĄDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI
    [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • mement.xlx.pl
  • Designed by Finerdesign.com