6 марта 2022 г.

Что почитать на досуге специалисту по информационной безопасности

Этот материал был впервые опубликован в Методическом журнале "Bнутренний контроль в кредитной организации", №1, 2022.

Поделюсь своими впечатлениями об относительно новых для меня книгах по темам, связанным с информационной безопасностью, которые удалось прочитать за последнее время.

Сразу оговорюсь, что я не сторонник рекомендовать новичкам в ИБ прочитать книгу Кевина Митника "Искусство обмана", например, чтобы ознакомиться с примерами социальной инженерии.  По причине того, что считаю эти знания бесполезны, так как приёмы социальной инженерии неисчерпаемы. И то, что вам рассказали сегодня, уже устарело вчера. Это, на мой взгляд, является ещё одной причиной, почему труд Кевина Митника "Искусство обмана" не стал для специалистов по ИБ тем, чем является, например, монография Дональда Кнута "Искусство программирования" для программистов.

Теперь о книгах, которые обсуждаются в данном обзоре.


[1] Джейсон Андресс. "Защита данных. От авторизации до аудита."ООО Издательство "Питер", 2021.

Я уже рекомендовал эту книгу здесь тем, кто хотел бы начать знакомство с ИБ "с абсолютного нуля".

В книге [1] описываются базовые концепции ИБ: модели безопасности, атаки, угрозы, уязвимости и риски. Даётся понимание, на чём и как строятся самые распространённые атаки хакеров, рассматриваются вопросы тестирования на проникновение, идентификации, аутентификации и многое другое. В конце каждой главы приводится список контрольных вопросов по рассмотренной теме, что может быть полезно для преподавателей предмета "Информационная безопасность".



[2] Никита Скабцов. "Аудит безопасности информационных систем". ООО Издательство "Питер", 2017.

Книгу, изданную в 2017 году, конечно нельзя назвать новинкой, но она показалась мне полезной для углублённого изучения средств защиты информации и обнаружения атак. Если эту книгу сравнить с [1], то она больше как по объёму, так и по детализации многих действий в работе специалиста по ИБ: от готовых примеров настройки брандмауэров, сетевых сервисов, IDS и прочего оборудования до основных принципов защиты сетевой инфраструктуры.

В книге приводится много ссылок на необходимые в работе ИБ-специалиста инструменты: для тестирования на проникновение, для поиска уязвимостей, для проведения аудита безопасности и так далее.

Приведу в заключение несколько цитат из книги [2].

"Любой аудит информационной системы по сути представляет собой ее взлом, разница только в том, насколько легитимны проводимые мероприятия."

"Вы можете ни разу не столкнуться, например, с IDS или IPS, но работа с фаерволом — основная обязанность каждого, кто имеет хоть какое-то отношение к системному администрированию или информационной безопасности."

"Все знать невозможно, изучайте то, что вам нравится, будь то анализ веб-приложений, социальная инженерия или поиск уязвимостей в ПО."


[3] Томас Паренти, Джек Домет. Кибер безопасность. Что руководителям нужно знать и делать. ООО "Издательство "Манн, Иванов и Фербер", 2021.

Информационная безопасность - это осознанный и долгосрочный выбор каждой компании, который формируется при вдумчивом рассмотрении затрат и альтернатив после проведения анализа существующих рисков. Стоит отметить, что у бизнеса, как мне кажется, есть серьезный и интуитивно объяснимый изъян - он старается всё оптимизировать, не оставляя избыточности. Книга [3] начинается с констатации того факта, что с кибератаками надо что-то делать. И реакция на инциденты у руководства должна заключаться не в поиске и наказании виновных в случае кибервзлома компании, а с вопросов к себе, как лидеру изменений, по тем шагам, которые делались для укрепления кибербезопасности компании.

В книге [3] приведены принципы, задачи и памятки для руководителя по стратегическому управлению компанией в цифровом мире. Сформулированные автором принципы могут помочь руководителю сориентироваться при обсуждении вопросов кибербезопасности и принятии решений в этой сфере. Указанные задачи касаются наиболее важных действий, которые компания должна предпринять. Они закладывают основу для контроля исполнителей со стороны руководства. Памятки содержат ряд вопросов, облегчающих руководству осуществление надзорных функций в сфере кибербезопасности.

Принципы

- Если вы не понимаете, значит, вам плохо объяснили. Руководство и сотрудники вашего отдела кибербезопасности обязаны предоставлять вам материалы и  отчёты в форме, доступной для понимания неспециалистов.

- На кону всегда бизнес. Все вопросы кибербезопасности начинаются и заканчиваются проблемами и бизнеса и рисками, связанными с его процессами и стратегии, а не с компьютерами и их уязвимостями.

- Кибербезопасность должна быть у всех на слуху. Рабочие процессы компании, её деятельность и структура – всё должно быть неотрывно от заботы о кибербезопасности. Выводите её из тени, она – не просто часть чьего-то функционала.

-Не забывайте о мотивации. Знайте, чего хотят ваши сотрудники. Правильно мотивируйте их. Пусть они тоже будут заинтересованы в заботе о кибербезопасности.

Задачи

- Управление киберрисками

- Защита компании

- Лидерство в кризисе

В конце книги приводятся памятки - больше двух десятков таблиц - с перечнем контрольных вопросов, которые руководителю компании надо задать ответственным за кибербезопасность.

В книге [3] содержится, как мне кажется, важная мысль о том, что возможности для совершенствования в сфере информационной безопасности компании, а также недостатки в киберзащищённости надо искать в системе управления бизнесом, и в качестве предполагаемых действий для укрепления кибербезопасности следует планировать прежде всего перемены сверху вниз, так как кибервзлом – это, по сути, кризис бизнеса, вызванный кибератакой.


[4] Ольга Лукинова. "Цифровой этикет. Как не бесить друг друга в Интернете". ООО "Издательство "Эксмо", 2020.

В начале цитата из книги [4]: "Впервые правила поведения в Сети сформулировала Вирджиния Ши в книге "Нетикет". Книга вышла в 1994 году в Сан-Франциско и содержит 10 заповедей о том, как вести себя в киберпространстве."

Примерно в эти же годы (ближе к концу 90-х) меня попросили разработать инструкцию для сотрудников нашего предприятия "Как пользоваться электронной почтой”. С одной оговоркой: инструкция должна быть направлена больше на этикет ведения электронной переписки, а не на технические детали создания и отправки сообщений. В этом документе я, впервые для себя, постарался  доходчиво объяснить, почему так важно писать грамотно, для чего требуется заполнять раздел "Тема сообщения", зачем нужны атрибуты важности сообщений, что предпочтительно указывать в подписи к сообщению, как обращаться к тому или иному адресату сообщения и так далее.

Примерно те же задачи ставит перед собой Ольга Лукинова в своей книге - книге об "экологии" существования во Всемирной паутине. В ней обсуждаются, например, такие вопросы: для чего нужен цифровой этикет? Вежливо ли добавлять в друзья в соцсетях незнакомых людей? Нужно ли спрашивать разрешения у человека, если вы планируете дать его электронную почту кому-то из своих знакомых? И многие другие.

То, как мы ведём себя в соцсетях, что и как излагаем в электронной переписке, постепенно формируют наш цифровой портрет у окружающих. Мы не видим себя со стороны наших клиентов, коллег или партнёров. Вот почему быть в курсе  вопросов этики в Интернете, понимать, что принято, а что нет при личной или служебной переписке, что может насторожить или отпугнуть наших клиентов (пользователей, подписчиков и т.д.), так важно для каждого, кто ежедневно связан с Интернетом.

Ценность книги [4] в том, что автор собрал воедино и обобщил информацию из разных источников: опыт пользователей Интернета, советы по деловому этикету, корпоративные правила поведения в Интернете и других. Мне кажется, что для специалистов по ИБ знание цифрового этикета особенно важно, так как им приходится постоянно решать вопросы доверия, этичности и соблюдения корпоративных норм при онлайн-общении сотрудников внутри компании, а также при взаимодействии с клиентами, с контрагентами, с руководством, с деловыми партнерами, с представителями регулирующих органов. В определённой степени специалисты по ИБ выступают в роли этичных консультантов в некоторых вопросах, связанных с информационной безопасностью.

В качестве заключения

Надеюсь, большинство специалистов по ИБ внимательно следит за книжными новинками по интересующим их темам и, прочитав этот обзор, возможно, отметят что-то важное для себя.

Комментариев нет:

Отправить комментарий