Wstęp. 1. Wprowadzenie do ochrony informacji. 1. 1.1. Prywatność, anonimowość, poufność, ... 1. 1.2. Zagrożenia, podatności, zabezpieczenia, incydenty. 1. 5.8. 1.2.1. Zagrożenia. 1. 5.8. 1.2.2. Podatności. 1. 5.8. 1.2.2. 1.2.2.1. Security Content Automation Protocol (SCAP). 1. 5.8. 1.2.2. 1.2.2.2. Cykl życia podatności oprogramowania. 1. 5.8. 1.2.3. Zabezpieczenia. 1. 5.8. 1.2.4. Incydenty i zarządzanie incydentami. 1. 5.8. 1.2.2. 1.2.4.1. Obsługa incydentów – podstawowe wytyczne norm i standardów. 1. 5.8. 1.2.2. 1.2.4.2. Zgłoszenie incydentu. 1. 5.8. 1.2.2. 1.2.4.3. Zasoby do obsługi incydentu. 1. 1.3. Elementy projektowania systemu bezpieczeństwa informacyjnego. 1. 5.8. 1.3.1. Cykl życia systemu. 1. 5.8. 1.3.2. Zarządzanie przedsięwzięciem projektowania i budowy systemu bezpieczeństwa informacyjnego. 1. 5.8. 1.3.3. Etap analizy w cyklu rozwojowym systemu bezpieczeństwa informacyjnego. 1. 5.8. 1.3.4. Etap projektowania w cyklu rozwojowym systemu bezpieczeństwa informacyjnego. 1. 5.8. 1.3.5. Dokumentowanie prac projektowych. 1. 5.8. 1.3.6. Dobre praktyki w projektowaniu wiarygodnych systemów. 1. Literatura. 2. Modele ochrony informacji. 1. 2.1. Organizacja dostępu do informacji. 1. 2.2. Sterowanie dostępem do informacji. 1. 2.3. Model Grahama–Denninga. 1. 2.4. Model Bella–LaPaduli. 1. 2.5. Model Biby. 1. 2.6. Model Brewera–Nasha (chiński mur). 1. 2.7. Model Clarka–Wilsona. 2.8. Model Harrisona–Ruzzo–Ullmana (HRU). 1. 5.8. 2.8.1. Uogólnienie modelu HRU – model TAM. 1. 2.9. Podstawowe Twierdzenie Bezpieczeństwa. 1. 5.8. 2.9.1. Konkretyzacja BST. 1. 2.10. Podsumowanie. 1. Literatura. 3. Zarządzanie ryzykiem. 1. 3.1. Charakterystyka procesu zarządzania ryzykiem. 1. 3.2. Przegląd norm i standardów z zakresu zarządzania ryzykiem. 1. 5.8. 3.2.1. Norma PN-ISO/IEC 27005:2010. 1. 5.8. 3.2.2. Standardy FIPS/NIST. 1. 5.8. 3.2.3. ISO 31000 – rodzina norm dotyczących zarządzania ryzykiem. 1. 5.8. 3.2.4. Rekomendacja D. 1. 3.3. Analiza ryzyka – identyfikacja zakresu, środowiska, zagrożeń i podatności. 1. 5.8. 3.3.1. Identyfikacja zakresu i środowiska analizy ryzyka. 1. 5.8. 3.3.2. Identyfikacja zagrożeń i podatności. 1. 3.4. Analiza ryzyka – szacowanie ryzyka. 1. 5.8. 3.4.1. Oszacowanie ryzyka – metoda ilościowa. 1. 5.8. 3.4.2. Oszacowanie ryzyka – metoda jakościowa. 1. 5.8. 3.4.3. Burza mózgów – identyfikacje zagrożeń i podatności. 1. 5.8. 3.4.4. Szacowanie ryzyka według normy PN-ISO/IEC-27005. 1. 5.8. 3.4.5. Szacowanie ryzyka według organizacji Microsoft®. 1. 5.8. 3.4.6. Szacowanie ryzyka – analiza bezpieczeństwa dla systemów sterowania. 1. 3.5. Zmniejszanie wartości ryzyka. 1. 5.8. 3.5.1. Kontrolowanie ryzyka przez stosowanie zabezpieczeń. 1. 3.6. Akceptacja ryzyka szczątkowego. 1. 5.8. 3.6.1. Ryzyko akceptowalne i koszty postępowania z ryzykiem. 1. 3.7. Administrowanie ryzykiem. 1. Literatura. 4. Dokumentowanie systemu ochrony informacji. 1. 4.1. Polityka bezpieczeństwa. 1. 4.2. Plan, instrukcje i procedury bezpieczeństwa informacyjnego. 1. 4.3. Dokumentowanie przedsięwzięć zapewniania ciągłości działania organizacji. 1. 5.8. 4.3.1. Plan zapewniania ciągłości działania – nazewnictwo i struktura. 1. 5.8. 4.3.2. Przygotowanie planu zapewniania ciągłości działania. 1. 5.8. 4.3.3. Plany kryzysowe a plany zapewniania ciągłości działania. 1. 5.8. 4.3.4. Wytyczne z norm i standardów do konstrukcji planów zapewniania ciągłości działania. 1. 4.4. Przedsięwzięcia techniczne w zapewnianiu informacyjnej ciągłości działania. 1. 5.8. 4.4.1. Kopie bezpieczeństwa. 1. 5.8. 4.4.2. Kopie bezpieczeństwa – infrastruktura i organizacja. 1. 5.8. 4.4.3. Zdalna kopia bezpieczeństwa. 1. 5.8. 4.4.4. Zapasowe ośrodki przetwarzania danych. 1. 4.5. Przykłady struktury dokumentu Plan zapewniania ciągłości działania. 1. 5.8. 4.5.1. Wariant 1. 1. 5.8. 4.5.2. Wariant 2. 1. 5.8. 4.5.3. Wariant 3. 1. Literatura. 5. Badanie i ocena stanu ochrony informacji. 1. 5.1. Diagnostyka techniczna. 1. 5.2. Testowanie jako element diagnostyki technicznej. 1. 5.3. Testy penetracyjne jako szczególny przypadek testowania. 1. 5.4. Audyt jako szczególny przypadek badania jakości systemu ochrony informacji. 1. 5.5. Metodyka LP–A. 1. Literatura. 6. Standardy i normy bezpieczeństwa informacyjnego. 1. 6.1. Standardy i normy i wspierające projektowanie i wytwarzanie bezpiecznych produktów oraz systemów. 1. 5.8. 6.1.1. Common Criteria i norma ISO/IEC 15408. 1. 5.8. 6.1.2. Publikacje specjalne NIST serii 800. 1. 5.8. 6.1.3. CIS Critical Security Controls. 1. 6.2. Standardy i normy wspierające zarządzanie bezpieczeństwem informacji. 1. 5.8. 6.2.1. COBIT TM – dobre praktyki w zakresie ładu informatycznego. 1. 5.8. 6.2.2. Zarządzanie bezpieczeństwem informacji – standard BS 7799 i normy serii ISO/IEC 2700x. 1. 5.8. 1.2.2. 6.2.2.1. Przegląd zawartości normy ISO/IEC 27002:2013. 1. 5.8. 1.2.2. 6.2.2.2. Przegląd zawartości normy ISO/IEC 27001:2013. 1. 6.3. Inne normy i standardy wspomagające ocenę oraz zarządzanie bezpieczeństwem informacyjnym. 1. 6.3. 6.3.1. Norma ISO/IEC 21827 i SSE-CMM® – System Security Engineering Capability Maturity Model. 1. 6.3. 6.3.2. ITIL – IT Infrastructure Library. 1. Literatura. 7. Polityka informowania – oddziaływanie przekazem informacji. 1. 7.1. Bezpieczeństwo informacyjne w dokumentach rangi państwowej. 1. 7.2. Komunikacja strategiczna. 1. 7.3. Definicje Komunikacji strategicznej. 1. 7.4. Charakterystyka Komunikacji strategicznej. 1. 7.5. Główne kontrowersje dotyczące Komunikacji strategicznej. 1. 7.6. Relacje Komunikacji strategicznej. 1. 6.3. 7.6.1. Relacje Komunikacji strategicznej z operacjami informacyjnymi i psychologicznymi. 1. 6.3. 7.6.2. Relacje Komunikacji strategicznej z dyplomacją publiczną. 1. 6.3. 7.6.3. Relacje Komunikacji strategicznej z działalnością prasowo-informacyjną. 1. 7.7. Strategia Komunikacyjna – uwagi ogólne. 1. Literatura. Załącznik. Metodyka LP–A przeprowadzania audytu z zakresu bezpieczeństwa teleinformatycznego. 1. Wykaz używanych terminów i symboli graficznych. 1. Wstęp. Z1. Skład Zespołu audytowego, kwalifikacje jego członków i zakresy kompetencji. Z2. Wyposażenie narzędziowe Zespołu audytowego. Z2. Z.2.1. Kwestionariusze ankietowe. Z2. Z.2.2. Szablony edycyjne dokumentów. Z.2.3. Skanery bezpieczeństwa. Z2. Z.2.4. Skanery konfiguracji. Z2. Z.2.5. Skanery inwentaryzacyjne. Z2. Z.2.6. Zestawy narzędzi do badań technicznych. Z3. Procesy audytowe. Z4. Specyfikacja dokumentów audytowych. Z2. Z.4.1. Tabele IPO. Z2. Z.4.2. Specyfikacja zbiorcza dokumentów. Z5. Diagramy przepływu danych. Z6. Rzetelne praktyki. Z2. Z.6.1. Rzetelne praktyki stosowane na ścieżce formalnej. Z2. Z.6.2. Rzetelne praktyki stosowane na ścieżce technicznej. Podsumowanie. Indeks.