Барабанов А.В., Дорофеев А.В., Марков А.С., Цирлов В.Л. Семь безопасных информационных технологий / Под. ред. А.С.Маркова. М.: ДМК Пресс, 2017. 224 с.
ISBN: 978-5-97060-494-6
УДК 004.056
ББК 32.972.13
Тираж: 1000 экз.
Глава 1. Менеджмент информационной безопасности
1.1. Основные понятия информационной безопасности
1.2. Система менеджмента информационной безопасности
1.3. Анализ и управление рисками
1.3.1. Цикл управления рисками
1.3.2. Методы оценки рисков
1.3.3. Выбор мер безопасности
1.4. Классификация информации
1.5. Порядок использования политик, стандартов и руководств
1.6. Особенности работы с персоналом
Вопросы для повторения
Лабораторная работа
Глава 2. Обеспечение безопасного доступа
2.1. Понятие управления безопасным доступом
2.2. Категории управления доступом
2.3. Свойство подотчетности и подсистемы управления доступом
2.4. Средства идентификации и аутентификации
2.4.1. Парольные системы
2.4.2. Электронные устройства
2.4.3. Билеты
2.4.4. Биометрические системы
2.5. Протоколы сетевого доступа
2.5.1. Протоколы удаленного доступа
2.5.2. Протокол централизованной аутентификации Kerberos
2.5.3. Протоколы централизованного управления доступом
2.6. Методы управления доступом
2.6.1. Дискреционный метод управления доступом
2.6.2. Мандатный метод управления доступом
2.6.3. Ролевой метод управления доступом
Вопросы для повторения
Лабораторная работа
Глава 3. Обеспечение сетевой безопасности
3.1. Понятие компьютерной сети
3.1.1. Локальные и глобальные сети
3.1.2. Одноранговые и клиент-серверные сети
3.1.3. Сетевые топологии
3.1.4. Методы доступа к среде передачи данных
3.1.5. Сетевые спецификации
3.1.6. IEEE-спецификации 802
3.2. Базовая эталонная модель взаимосвязи открытых систем
3.3. Стек протоколов TCP/IP
3.3.1. Протокол прикладного уровня HTTP
3.3.2. Протокол транспортного уровня TCP
3.3.3. Протокол транспортного уровня UDP
3.3.4. Понятие порта
3.3.5. Протокол сетевого уровня IP
3.3.6. Адресация в IP-сетях
3.3.7. Протокол канального уровня ARP
3.3.8. Понятие защищенного протокола
3.4. Средства обеспечения сетевой безопасности
3.4.1. Межсетевое экранирование
3.4.2. Виртуальные частные сети
3.4.3. Другие средства обеспечения сетевой безопасности
Вопросы для повторения
Глава 4. Криптографическая защита информации
4.1. Основные криптографические примитивы
4.2. Элементарное шифрование
4.3. Симметричная криптография
4.3.1. Стандарт шифрования DES
4.3.2. Стандарт шифрования AES
4.3.3. Сравнение блочных шифров
4.4. Ассиметричная криптография
4.4.1. Однонаправленные функции
4.4.2. Схема распределения ключей Диффи-Хеллмана
4.4.3. Криптосистема RSA
4.4.4. Криптосистема Эль-Гамаля
4.4.5. Сравнение симметричных и ассиметричных систем
4.5. Электронно-цифровая подпись и криптографическая хэш-функция
4.5.1. Электронно-цифровая подпись
4.5.2. Хэш-функция в цифровой подписи
4.5.3. Стандарты на цифровые и хэш-функции
4.5.4. Коды проверки подлинности сообщения
4.6. Инфраструктура открытых ключей
Вопросы для повторения
Глава 5. Разработка безопасных программ
5.1. Модели жизненного цикла программного обеспечения
5.1.1 Жизненный цикл программного обеспечения
5.1.2. Каскадная модель
5.1.3. Спиральная модель
5.1.4. Гибкая модель разработки программного обеспечения
5.2. Безопасный жизненный цикл программного обеспечения
5.3. Обзор мер по разработке безопасного программного обеспечения
5.3.1. Анализ требований к программному обеспечению
5.3.2. Проектирование архитектуры программного обеспечения
5.3.3. Кодирование программного обеспечения
5.3.4. Тестирование программного обеспечения
Вопросы для повторения
Глава 6. Моделирование и оценка соответствия
6.1. Основные понятия безопасной архитектуры
6.2. Концептуальные модели управления доступом
6.2.1. Матрица доступа
6.2.2. Модель Белла-ЛаПадулы
6.2.3. Модель Биба
6.3. Принципы безопасной архитектуры ЭВМ
6.4. Скрытые каналы передачи данных
6.5. Критерии оценки соответствия
6.5.1. Стандарт «Оранжевая книга»
6.5.2. Стандарт «Общие критерии»
Вопросы для повторения
Глава 7. Обеспечение непрерывности бизнеса и восстановления
7.1. Управление непрерывностью бизнеса и восстановлением
7.2. Модель менеджмента непрерывности бизнеса
7.2.1. Подготовка планирования
7.2.2. Оценка влияния прерываний на бизнес
7.2.3. Определение стратегий обеспечения непрерывности бизнеса
7.2.4. Разработка организационно-распорядительной документации
7.2.5. Тестирование планов
Вопросы для повторения
Литература
Ответы на вопросы для повторения
Приложение 1. Кодекс профессиональной этики
Четыре заповеди профессиональной этики (ISC)2
Семь правил профессиональной этики ISACA
Приложение 2. Типовые компьютерные атаки
Криптографические и парольные атаки
Атаки на отказ в обслуживании
Атаки на программный код и приложения
Атаки социальной инженерии и физические атаки
Сетевые атаки
Сергей Петренко
Руководитель Центра информационной безопасности Университета Иннополис, доктор технических наука, профессор (г. Иннополис)
Книга является первым полным русскоязычным практическим руководством по подготовке и сдаче международных сертификационных экзаменов CISSP и CSSLP (ISC)2, а также CISM и CISA (ISACA), и выгодно отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные принципы, подходы, методы и методики управления информационной безопасностью, специальным образом адаптированные для практики отечественной аудитории!
Alec Shcherbakov
SATEC Expert, OWASP Member, GSSP,
CISSP, SCEA, SCJP (San Jose, USA)
This bestseller is an excellent manual for those, who want to be successful in information security and increase its professional status in accordance with the international requirements. The authors chose the study topics that provide maximum coverage of the requirements to the applicants for CISSP, CISA, CISM etc. The book is well-structured and is easy to read. The book gives many original classifications, explanations of the terms in English, many interesting pictures and unorthodox positive questions with answers on each topic. It provides short comparison of international practices with the national reality for the Russian reader.
Александр Барабанов
Директор департамента сертификации и тестирования
АО «НПО «Эшелон», кандидат технических наук, доцент
МГТУ им. Н.Э.Баумана, CISSP, CSSLP
Александр Дорофеев
Директор по развитию АО «НПО «Эшелон», CISSP, CISA, CISM, BSI Lead Auditor
Алексей Марков
Президент ГК НПО «Эшелон», доктор технических наук, профессор МГТУ им. Н.Э.Баумана, CISSP, SBCI, BSI Lead Auditor, IEEE Member, ACM Member — руководитель авторского коллектива
Валентин Цирлов
Генеральный директор АО «НПО «Эшелон», кандидат технических наук, доцент МГТУ им. Н.Э.Баумана, СISSP, CISM, AMBCI