суббота, 26 декабря 2009 г.

ISSP \ Домен 03. Архитектура и модель безопасности. Часть 2

В этой части рассмотрены следующие вопросы:
  • Архитектура операционной системы
  • Управление процессами
  • Управление потоками
  • Диспетчеризация процессов
  • Работа процессов

среда, 23 декабря 2009 г.

ISSP \ Домен 03. Архитектура и модель безопасности. Часть 1

В этой части рассмотрены следующие вопросы:
  • Архитектура компьютера
  • Центральный процессор
  • Многопроцессорная обработка

среда, 16 декабря 2009 г.

ISSP \ Домен 02. Управление доступом. Содержание

Домен 02. Управление доступом

1. Обзор управления доступом

2. Принципы безопасности

3. Идентификация, аутентификация, авторизация и подотчетность
4. Модели управления доступом
5. Техники и технологии управления доступом
6. Администрирование доступа
7. Методы управления доступом
8. Типы управления доступом
9. Подотчетность
9.1. Анализ журналов регистрации событий
9.2. Мониторинг нажатия клавиш
9.3. Защита данных аудита и журналов регистрации событий
10. Практика управления доступом
11. Мониторинг управления доступом
12. Несколько угроз управлению доступом
13. Резюме

14. Тест

вторник, 15 декабря 2009 г.

ISSP \ Домен 02. Управление доступом. Тест


Вопросы экзамена CISSP являются концептуальными, поэтому они сформулированы соответствующим образом. Задачей кандидата является выбор наилучшего из всех представленных вариантов ответа. Среди вариантов ответа может не быть идеального ответа на поставленный вопрос - кандидат должен выбрать лучший ответ из имеющихся вариантов.

суббота, 12 декабря 2009 г.

ISSP \ Домен 02. Управление доступом. Часть 12

В этой части рассмотрены следующие вопросы:
  • Несколько угроз управлению доступом
  • Атака по словарю
  • Атака полного перебора (брутфорс-атака)
  • Подделка окна регистрации в системе
  • Фишинг
  • Кража личности
  • Резюме

суббота, 5 декабря 2009 г.

ISSP \ Домен 02. Управление доступом. Часть 11

В этой части рассмотрены следующие вопросы:
  • Практика управления доступом
  • Несанкционированное разглашение информации
  • Повторное использование объекта
  • Защита от утечки информации по техническим каналам
  • Мониторинг управления доступом
  • Выявление вторжений
  • IDS уровня сети
  • IDS уровня хоста
  • Выявление вторжений на основе знаний и сигнатур
  • IDS на основе состояния
  • Выявление вторжений на основе статистических аномалий
  • IDS на основе аномалий протоколов
  • IDS на основе аномалий трафика
  • IDS на основе правил
  • Сенсоры IDS
  • Сетевой трафик
  • Системы предотвращения вторжений
  • Хосты-приманки
  • Сетевые снифферы

воскресенье, 15 ноября 2009 г.

ISSP \ Домен 02. Управление доступом. Часть 10

В этой части рассмотрены следующие вопросы:
  • Типы управления доступом
  • Превентивные: Административные
  • Превентивные: Физические
  • Превентивные: Технические
  • Подотчетность
  • Анализ журналов регистрации событий
  • Мониторинг нажатия клавиш
  • Защита данных аудита и журналов регистрации событий

суббота, 7 ноября 2009 г.

ISSP \ Домен 02. Управление доступом. Часть 9

В этой части рассмотрены следующие вопросы:
  • Методы управления доступом
  • Уровни управления доступом
  • Административный уровень
  • Физический уровень
  • Технический уровень

вторник, 3 ноября 2009 г.

Переводы \ Метрики безопасности

Нашел интересную статью по вопросам практического применения метрик безопасности. На мой взгляд статья весьма полезная, поэтому решил ее перевести.
Источник: http://ism3.wordpress.com/2009/07/18/security-metrics/

среда, 28 октября 2009 г.

ISSP \ Домен 02. Управление доступом. Часть 8

В этой части рассмотрены следующие вопросы:
  • Администрирование доступа
  • Централизованное администрирование управления доступом
  • RADIUS
  • TACACS
  •  Diameter
  •  Децентрализованное администрирование управления доступом

пятница, 25 сентября 2009 г.

ISSP \ Домен 02. Управление доступом. Часть 7

В этой части рассмотрены следующие вопросы:
  • Техники и технологии управления доступом
  • Управление доступом на основе правил
  • Ограниченный пользовательский интерфейс
  • Матрица контроля доступа
  • Таблицы разрешений
  • Списки контроля доступа
  • Контентно-зависимое управление доступом
  • Контекстно-зависимое управление доступом

суббота, 19 сентября 2009 г.

ISSP \ Домен 02. Управление доступом. Часть 6

В этой части рассмотрены следующие вопросы:
  • Модели управления доступом
  • Дискреционное управление доступом
  • Мандатное управление доступом
  • Метки критичности
  • Ролевое управление доступом
  • Ядро RBAC
  • Иерархический RBAC

суббота, 12 сентября 2009 г.

ISSP \ Домен 02. Управление доступом. Часть 5

В этой части рассмотрены следующие вопросы:
  • Авторизация
  • Критерии доступа
  • Отсутствие доступа «по умолчанию»
  • Принцип «необходимо знать»
  • Единый вход
  • Kerberos
  • SESAME
  • Домены безопасности
  • Службы каталогов
  • Тонкие клиенты

четверг, 3 сентября 2009 г.

ISSP \ Домен 02. Управление доступом. Часть 4

В этой части рассмотрены следующие вопросы:
  • Пароли
  • Управление паролями
  • Проверка паролей
  • Хэширование и шифрование паролей
  • Устаревание паролей
  • Ограничение количества попыток регистрации
  • Когнитивные пароли
  • Одноразовые пароли
  • Токены
  • Синхронные токены
  • Асинхронные токены
  • Криптографические ключи
  • Парольные фразы
  • Карты памяти
  • Смарт-карты
  • Атаки на смарт-карты

воскресенье, 23 августа 2009 г.

ISSP \ Домен 02. Управление доступом. Часть 3

В этой части рассмотрены следующие вопросы:
  • Биометрия
  • Отпечаток пальца
  • Сканирование ладони
  • Геометрия руки
  • Сканирование сетчатки глаза
  • Сканирование радужной оболочки глаза
  • Динамика подписи
  • Динамика работы на клавиатуре
  • Штамп голоса
  • Сканирование лица
  • Топография кисти

вторник, 18 августа 2009 г.

ISSP \ Домен 02. Управление доступом. Часть 2

В этой части рассмотрены следующие вопросы:
  • Идентификация и аутентификация
  • Управление идентификацией
  • Каталоги
  • Роль каталогов в Управлении идентификацией
  • Управление паролями
  • Синхронизация паролей
  • Система самообслуживания для сброса паролей
  • Сброс паролей с дополнительной помощью
  • Функциональность единого входа
  • Управление учетными записями
  • Инициализация
  • Обновление профиля
  • Интеграция
  • Управление доступом и языки разметки

вторник, 28 июля 2009 г.

ISSP \ Домен 02. Управление доступом. Часть 1

В этой части рассмотрены следующие вопросы:
  • Обзор управления доступом
  • Принципы безопасности 
  • Идентификация, аутентификация, авторизация и подотчетность
Краеугольный камень, лежащий в основе информационной безопасности – это управление доступом к ресурсам, их защита от несанкционированного изменения и разглашения. Управление доступом может осуществляться на техническом (логическом), физическом или организационном уровне.

суббота, 18 июля 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Содержание

Домен 01. Информационная безопасность и управление рисками

1. Управление безопасностью
2. Администрирование безопасности и защитные меры
3. Организационная модель безопасности
4. Управление информационными рисками
5. Анализ рисков
6. Политики, стандарты, базисы, руководства и процедуры
7. Классификация информации
8. Уровни ответственности
9. Персонал
10. Обучение (тренинги) по вопросам безопасности
11. Резюме

12. Тест

суббота, 11 июля 2009 г.

Терминология \ Международные стандарты и ГОСТы на их основе

Часто при разработке очередного документа нужно найти определение того или иного термина. Иногда это не так просто и на поиски уходит значительное время... Чтобы избежать этого, в разделе Терминология буду выкладывать определения терминов различных российских и международных документов, касающихся информационной безопасности. Содержимое постов этого раздела будет периодически обновляться.
Итак, начнем с международных стандартов.

пятница, 10 июля 2009 г.

В двух словах \ VISA. PCI: PIN Security Requirements 2.0

Краткое изложение целей и основных требований стандарта безопасности VISA Payment Card Industry: PIN Security Requirements 2.0. Это полный набор обязательных требований по безопасному управлению, обработке и передаче PIN-кодов, применяемых в процессе выполнения любых транзакций с банковскими картами в банкоматах и POS-терминалах.

среда, 8 июля 2009 г.

В двух словах \ РС БР ИББС-2.2-2009

Краткое изложение нового Стандарта Банка России, вступающего в действие с 01.09.2009 г.
С полной версией можно ознакомиться на сайте ABISS.

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ)

РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ
РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

РС БР ИББС-2.2-2009

воскресенье, 5 июля 2009 г.

ISSP \ Домен 01. Обновление

На днях стал обладателем новой 4-й редакции книги Shon Harris "CISSP All-In-One Exam Guide". В ней появилось много интересных дополнений. Так как в 3-ю редакцию мы углубились еще не очень сильно, решил сразу добавить в свой перевод все изменения 4-й редакции. В отношении первого домена это почти готово, так что на днях обновлю предыдущие посты.

P.S. Кстати, добрый Google дает возможность безвозмездно полистать эту интереснейшую книгу.

вторник, 23 июня 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Тест


Вопросы экзамена CISSP являются концептуальными, поэтому они сформулированы соответствующим образом. Задачей кандидата является выбор наилучшего из всех представленных вариантов ответа. Среди вариантов ответа может не быть идеального ответа на поставленный вопрос - кандидат должен выбрать лучший ответ из имеющихся вариантов.

среда, 17 июня 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 12

В этой части рассмотрены следующие вопросы:
  • Персонал
  • Структура
  • Правила приема на работу
  • Контроль сотрудников
  • Увольнение
  • Обучение (тренинги) по вопросам безопасности
  • Различные типы обучения (тренинга) по вопросам безопасности
  • Оценка результатов обучения
  • Специализированное обучение по безопасности

понедельник, 15 июня 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 11

В этой части рассмотрены следующие вопросы:
  • Уровни ответственности
  • Совет Директоров
  • Высшее исполнительное руководство
  • Директор по ИТ
  • Директор по защите конфиденциальной информации
  • Директор по безопасности
  • Руководящий комитет по безопасности
  • Владелец данных
  • Ответственный за хранение данных
  • Владелец системы
  • Администратор безопасности
  • Аналитик по безопасности
  • Владелец приложения
  • Супервизор
  • Аналитик управления изменениями
  • Аналитик данных
  • Владелец процесса
  • Поставщик решения
  • Пользователь
  • Менеджер по технологиям
  • Аудитор

вторник, 9 июня 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 9

В этой части рассмотрены следующие вопросы:
  • Политики, стандарты, базисы, руководства и процедуры
  • Политика безопасности
  • Стандарты
  • Базисы
  • Руководства
  • Процедуры
  • Внедрение

пятница, 5 июня 2009 г.

В двух словах \ 242-П

Перечень основных требований Положения 242-П.
С полной версией документа можно ознакомиться на сайте Консультант Плюс.

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

16 декабря 2003 г. N 242-П

ПОЛОЖЕНИЕ
ОБ ОРГАНИЗАЦИИ ВНУТРЕННЕГО КОНТРОЛЯ
В КРЕДИТНЫХ ОРГАНИЗАЦИЯХ И БАНКОВСКИХ ГРУППАХ

(в редакции Указаний ЦБ РФ от 05.03.2009 N 21У94-У)

среда, 3 июня 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 7

В этой части рассмотрены следующие вопросы:
  • Количественный или качественный
  • Защитные механизмы
  • Выбор защитных мер
  • Функциональность и эффективность защитных мер

пятница, 29 мая 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 5

В этой части рассмотрены следующие вопросы:
  • Количественный анализ рисков 
  • Автоматизированные методы анализа рисков 
  • Шаги процесса анализа рисков 
  • Результаты анализа рисков

воскресенье, 24 мая 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 4

В этой части рассмотрены следующие вопросы:
  • Анализ рисков
  • Группа анализа рисков
  • Владельцы рисков
  • Ценность информации и активов
  • Определение стоимости и ценности
  • Идентификация угроз
  • Анализ сбоев и дефектов

четверг, 21 мая 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 3

В этой части рассмотрены следующие вопросы:
  • Управление информационными рисками
  • Кто действительно разбирается в управлении рисками?
  • Политика управления информационными рисками
  • Группа управления рисками (IRM-группа)

вторник, 19 мая 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 2

В этой части рассмотрены следующие вопросы:
  • Организационная модель безопасности
  • Компоненты программы безопасности
  • Стандарты безопасности
  • Управление безопасностью на стратегическом уровне
  • Разработка программы безопасности

понедельник, 18 мая 2009 г.

В двух словах \ PCI DSS 1.2

Краткое описание основных положений стандарта PCI DSS версии 1.2, который в настоящее время является необходимым для соблюдения всеми банками (и не только ими), выпускающими и обслуживающими банковские карты.
Краткое описание позволит быстро сориентироваться в требованиях и найти нужные. Разумеется, это не заменяет изучение полной версии стандарта, с которой можно ознакомиться по следующим ссылкам:
- PCI Data Security Standard 1.2 (оригинал на английском языке)
- PCI DSS 1.2 (перевод на русский язык компанией "Информзащита")

Итак. Стандарт PCI DSS 1.2 содержит 12 требований. Вот они:

четверг, 14 мая 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 1

В этой части рассмотрены следующие вопросы:
  • Управление безопасностью
  • Распределение обязанностей по управлению безопасностью
  • Подход "сверху-вниз"
  • Администрирование безопасности и защитные меры
  • Основные принципы безопасности (AIC-триада)
  • Доступность
  • Целостность
  • Конфиденциальность
  • Определения безопасности (уязвимость, угроза, риск, воздействие, контрмеры)
  • Безопасность посредством неизвестности

среда, 13 мая 2009 г.

ISSP \ Введение

Некоторое время назад начал на досуге читать книгу Shon Harris “CISSP All-in-One Exam Guide” (подготовка к сдаче экзамена на получения сертификата CISSP). Книга, на мой взгляд, крайне интересная и полезная для любого защитника информации. Несмотря на некоторый имеющийся у меня опыт (все-таки я работаю в направлении ИБ уже около 10 лет), я нашел для себя много интересного и полезного. Рекомендую к обязательному прочтению всем профессионально занимающимся вопросом ИБ и до сих пор не ознакомившимся :)

Однако для тех, кто страдает повышенной тягой к знаниям, но английский пока изучить не успел, я буду выкладывать слегка сокращенный русский перевод книги. Заодно это позволит мне попрактиковаться с английским, что будет не лишним (ведь делать перевод, да еще и более-менее литературный, совсем не то же самое, что просто читать английский текст). Надеюсь что затраченное на перевод время принесет пользу кому-нибудь из коллег и сделает информацию в этом мире чуточку безопаснее :)

Так как чтение представленного в блоге материала без дополнительной подготовки вряд ли позволит сдать экзамен CISSP, то первый раздел моего блога я назову ISSP ;)

Предупреждение:
Если Вы намерены получить сертификат CISSP, представленные в этом блоге части перевода книги
Shon Harris “CISSP All-in-One Exam Guide” ни в коей мере не заменят для Вас чтение оригинала и обучение на подготовительных курсах. Подробнее узнать о сертификации, проведении курсов и экзаменов можно на сайтах RISSPA и Микроинформ.