دسترسی نامحدود
برای کاربرانی که ثبت نام کرده اند
برای ارتباط با ما می توانید از طریق شماره موبایل زیر از طریق تماس و پیامک با ما در ارتباط باشید
در صورت عدم پاسخ گویی از طریق پیامک با پشتیبان در ارتباط باشید
برای کاربرانی که ثبت نام کرده اند
درصورت عدم همخوانی توضیحات با کتاب
از ساعت 7 صبح تا 10 شب
ویرایش: 1
نویسندگان: Evan Wheeler
سری:
ISBN (شابک) : 1597496154, 9781597496155
ناشر: Syngress
سال نشر: 2011
تعداد صفحات: 361
زبان: English
فرمت فایل : PDF (درصورت درخواست کاربر به PDF، EPUB یا AZW3 تبدیل می شود)
حجم فایل: 2 مگابایت
در صورت تبدیل فایل کتاب Security Risk Management: Building an Information Security Risk Management Program from the Ground Up به فرمت های PDF، EPUB، AZW3، MOBI و یا DJVU می توانید به پشتیبان اطلاع دهید تا فایل مورد نظر را تبدیل نمایند.
توجه داشته باشید کتاب مدیریت ریسک امنیتی: ایجاد یک برنامه مدیریت ریسک امنیت اطلاعات از پایه نسخه زبان اصلی می باشد و کتاب ترجمه شده به فارسی نمی باشد. وبسایت اینترنشنال لایبرری ارائه دهنده کتاب های زبان اصلی می باشد و هیچ گونه کتاب ترجمه شده یا نوشته شده به فارسی را ارائه نمی دهد.
هدف مدیریت ریسک امنیت این است که تکنیکهای عملی را به شما آموزش دهد که به صورت روزانه مورد استفاده قرار میگیرند، در حالی که اصول اولیه را نیز توضیح میدهد تا منطق پشت این شیوهها را درک کنید. متخصصان امنیتی اغلب در دام می افتند که به کسب و کار می گویند که باید چیزی را تعمیر کنند، اما نمی توانند دلیل آن را توضیح دهند. این کتاب به شما کمک میکند تا با بیان ریسکها در شرایط تجاری، از استدلال به اصطلاح «بهترین شیوهها» رها شوید. شما تکنیک هایی را برای نحوه انجام ارزیابی ریسک برای پروژه های جدید فناوری اطلاعات، نحوه مدیریت کارآمد فعالیت های ریسک روزانه، و نحوه واجد شرایط بودن سطح ریسک فعلی برای ارائه به مدیریت سطح اجرایی را یاد خواهید گرفت. در حالی که سایر کتاب ها کاملاً بر روش های تجزیه و تحلیل ریسک تمرکز دارند، این اولین راهنمای جامع برای مدیریت ریسک های امنیتی است. توسط InfoSec Reviews به عنوان بهترین کتاب حاکمیت و ISMS در سال 2011 نامگذاری شده است، شامل مطالعات موردی برای ارائه تجربه عملی با استفاده از ابزارهای ارزیابی ریسک برای محاسبه هزینهها و مزایای هر سرمایهگذاری امنیتی است. باید برای ارزیابی مناسب و کاهش ریسک استفاده شود. یک نقشه راه برای طراحی و اجرای برنامه مدیریت ریسک امنیتی ارائه می کند.
The goal of Security Risk Management is to teach you practical techniques that will be used on a daily basis, while also explaining the fundamentals so you understand the rationale behind these practices. Security professionals often fall into the trap of telling the business that they need to fix something, but they can't explain why. This book will help you to break free from the so-called "best practices" argument by articulating risk exposures in business terms. You will learn techniques for how to perform risk assessments for new IT projects, how to efficiently manage daily risk activities, and how to qualify the current risk level for presentation to executive level management. While other books focus entirely on risk analysis methods, this is the first comprehensive guide for managing security risks. Named a 2011 Best Governance and ISMS Book by InfoSec Reviews Includes case studies to provide hands-on experience using risk assessment tools to calculate the costs and benefits of any security investment Explores each phase of the risk management lifecycle, focusing on policies and assessment processes that should be used to properly assess and mitigate risk Presents a roadmap for designing and implementing a security risk management program
Security Risk Management: Building an Information Security Risk Management Program from the Ground Up......Page 3
Copyright\r......Page 4
Preface......Page 5
Intended Audience......Page 6
Part I—Introduction to Risk Management......Page 7
Part II—Risk Assessment and Analysis Techniques......Page 8
Part III—Building and Running a Risk Management Program......Page 9
Appendices......Page 10
Acknowledgments......Page 12
About the Author......Page 13
About the Technical Editor......Page 14
How We Got Here......Page 17
Banning Best Practices......Page 18
A New Path Forward......Page 20
The Shangri-La of Risk Management......Page 21
Safety before Security......Page 22
The Lure of Security by Obscurity......Page 23
Redefining the CIA Triad......Page 24
Security Design Principles......Page 25
Least Privilege......Page 26
Defense in Depth......Page 27
Separation of Duties......Page 29
Security Team Responsibilities......Page 30
Modern Information Security Challenges......Page 31
The Next Evolution......Page 32
References......Page 33
Applying Risk Management to Information Security......Page 35
Goal of Risk Management......Page 36
Architecting a Security Program......Page 38
How Does it Help?......Page 39
Work Smarter, Not Harder......Page 42
Due Diligence......Page 44
Facilitating Decision Making......Page 46
Security as an Investment......Page 48
Security Metrics......Page 49
Qualitative versus Quantitative......Page 51
Qualitative Analysis......Page 52
Quantitative Analysis......Page 53
Summary......Page 54
References......Page 55
Stages of the Risk Management Lifecycle......Page 57
Risk Is a Moving Target......Page 58
A Comprehensive Risk Management Workflow......Page 60
Resource Profiling......Page 62
A Vulnerability Assessment Is Not a Risk Assessment......Page 64
Risk Assessment......Page 65
Risk Evaluation......Page 67
Document......Page 69
Risk Mitigation......Page 70
Monitoring and Audit......Page 71
Process Ownership......Page 73
Action Plan......Page 74
How Risk Sensitivity Is Measured......Page 77
Making a Resource List......Page 78
Sensitivity, Not Exposure......Page 79
Security Risk Profile......Page 80
Profiling in Practice......Page 82
Risk Impact Categories and Examples......Page 85
Profile Design......Page 87
Calculating Sensitivity......Page 92
Assessing Risk Appetite......Page 95
Assessing the C-Level......Page 96
Setting Risk Thresholds and Determining Tolerance Ranges......Page 97
Action Plan......Page 98
Reference......Page 99
Breaking Down a Risk......Page 101
Terminology Is Key......Page 102
Envision the Consequences......Page 104
Finding the Risk, Part II......Page 106
Defining Threats......Page 109
Threat Analysis......Page 113
Threats Are Different from Risks......Page 114
Action Plan......Page 116
References......Page 117
Qualitative Risk Measures......Page 119
Defining Severity......Page 120
Availability Severity......Page 121
Confidentiality Severity......Page 122
Integrity Severity......Page 123
Combined Severity Scale......Page 124
Defining Likelihood......Page 125
Threat Universe Likelihood......Page 126
Combined Likelihood Scale......Page 127
Qualitative Risk Exposure......Page 128
Applying Sensitivity......Page 129
Estimating Severity......Page 131
Estimating Likelihood......Page 133
Estimating Risk Exposure......Page 135
Quantitative Risk Analysis......Page 137
Summary......Page 138
Reference......Page 139
Fundamental Security Services......Page 141
Standardization......Page 142
The C-I-A-A Model......Page 143
Rule-Based Access Control......Page 144
Security Services......Page 145
Communications Inspection......Page 146
Communications Validation......Page 147
Policy Enforcement......Page 148
Session Management......Page 149
Authentication......Page 151
Auditing/Logging......Page 152
Cryptography......Page 153
Physical......Page 154
Event Monitoring......Page 155
Vulnerability Management......Page 156
Access Control......Page 157
Fundamental Security Control Requirements......Page 158
Summary......Page 159
Reference......Page 160
Risk Evaluation......Page 161
Security’s Role in Decision Making......Page 162
Documenting Risk Decisions......Page 165
Calculating the Cost of Remediation......Page 167
Mitigation Approaches......Page 168
Policy Exceptions and Risk Acceptance......Page 170
Exception Workflow......Page 171
Signature Requirements......Page 173
Summary......Page 175
Action Plan......Page 176
Risk Management Artifacts......Page 177
Octave Allegro......Page 179
Gathering Business Requirements......Page 180
Risk Assessment Engagement......Page 182
Phase 1: Build Asset-Based Threat Profiles......Page 183
Phase 2: Identify Vulnerabilities......Page 186
Phase 3: Evaluate Risks and Develop Security Strategy......Page 187
Executive Summary......Page 189
Scope of Analysis......Page 190
Assessment Steps......Page 191
Findings Summary......Page 192
Executive Communication......Page 195
Writing Audit Responses......Page 197
Summary......Page 201
References......Page 202
Operational Assessments......Page 203
Operational Techniques......Page 204
Questionnaires and Interviews......Page 205
Active and Passive Testing......Page 206
Third-Party Reviews and Certifications......Page 209
Baseline Reviews......Page 210
Assessment Approaches for Different Sized Scopes......Page 211
Risk Assessments in the Project Lifecycle......Page 212
The FRAAP Approach......Page 213
Running the Session......Page 214
Sample Worksheets......Page 216
Third-Party Assessments......Page 219
Industry Standard Assessments......Page 220
Levels of Assessment......Page 221
Basing Assessments on Sensitivity......Page 222
Improving the Process......Page 224
Action Plan......Page 225
References......Page 226
Building Blocks......Page 229
Program Essentials......Page 230
Asset and Data Inventory......Page 232
Resource Profiling......Page 233
Threat Identification......Page 234
Threat Data Sources......Page 235
Rating Vulnerabilities......Page 236
An Efficient Workflow......Page 242
Defining a Workflow......Page 243
The FAIR Approach......Page 244
Measuring Risks......Page 245
Summary......Page 250
References......Page 251
Assessing the State of Compliance......Page 253
Balancing Security and Risk......Page 254
Qualifying the Risk......Page 255
Workflow Steps......Page 256
Establish Schedule......Page 257
Distribute a Questionnaire......Page 258
Generate Findings......Page 259
Create Tasks......Page 260
Final Rating......Page 262
Planning......Page 263
Process Optimization: A Review of Key Points......Page 265
The NIST Evolution......Page 267
Focus of the NIST Process......Page 268
References......Page 271
Risk in the Development Lifecycle......Page 273
Analysis Workflow......Page 275
Goal of Security Architecture......Page 277
Developing an Architecture......Page 278
Separation by Risk Profile......Page 281
Rules of Data Movement......Page 282
Trust Relationships......Page 283
Internal/External......Page 284
Privilege Level: The Initiator\'s Assigned Rights......Page 285
Security Zones......Page 286
Management Traffic......Page 287
Transitive Risk Considerations......Page 288
Combining Security Controls......Page 289
Multidevice Systems......Page 290
Internal Nonstandard Clients......Page 291
Detailed Risk Analysis Workflow......Page 292
Primary Workflow......Page 293
Risk Exposure Analysis......Page 296
Summary......Page 297
Reference......Page 298
Designing a Risk Program......Page 299
Risk Is the Core......Page 300
Program Goals......Page 301
Starting from Scratch......Page 302
Comparing the Models......Page 304
Prerequisites for a Risk Management Program......Page 305
Information Resources Inventory......Page 306
Security Liaisons......Page 307
Common Risk Formula......Page 309
Mapping Risk Domains to Business Objectives......Page 310
Tying Other Security Processes to Risk......Page 312
Risk and Exception Tracking System......Page 313
Program Roadmap......Page 314
Lessons from the Trenches......Page 315
Reference......Page 316
Information Sensitivity......Page 317
Regulatory Requirements......Page 320
Business Requirements......Page 321
Definitions......Page 322
Appendix B: Qualitative Risk Scale Reference Tables\r......Page 323
Baseline Security Levels and Sample Controls......Page 327
Security Enhancement Levels and Sample Controls......Page 333
Mapping Security Levels......Page 341
Step 4 Calculate Risk Exposure Rating for Flows......Page 344
C......Page 345
D......Page 346
I......Page 347
O......Page 348
R......Page 349
S......Page 351
T......Page 353
Z......Page 354