В последнее время нередко звучит вопрос, чего бы такого почитать начинающему специалисту по информационной безопасности. Спрашивают все чаще и не скрою, тенденция мне нравится (да! да! переходите скорее на светлую сторону!) Поэтому, собравшись с силами, выкладываю на блоге подборку рекомендаций для домашнего чтения. Сразу предупреждаю, ничего "специфического", углубленного в детали вы здесь не найдете. Только обзорные материалы, позволяющие сформировать представление об индустрии, ее истории и основных принципах. Если вам интересны специальные направления, типа безопасности WiFi, веб-приложений или социальной инженерии, то тему этого поста вы уже явно "переросли". Так как уровень подготовки "начинающих специалистов" может варьироваться, размещаю список в порядке возрастания опыта предполагаемой целевой аудитории.
0. Bruce Schneier, Secrets & Lies - Digital Security in a Networked World и Beyond Fear - Thinking Sensibly about Security in an Uncertain World . Подробно об этих книгах я написал в этом посте . Если вкратце - желание стать специалистом по информационной безопасности возникает после просмотра кинофильма "Хакеры" или эпизода в "Терминатор 2", в котором Джон Коннор взламывает банкомат при помощи "Атари". Решение стать специалистом по информационной безопасности принимают после прочтения книг Шнайера.
1. Shon Harris, All-in-One Guide to CISSP CBK . И пусть не пугает аббревиатура CISSP , сдавать страшный и ужасный экзамен совсем не обязательно. По крайней мере сразу же. Шон Харрис излагает очень много материала на чрезвычайно доступном языке. Вполне вероятно, что большинство тем будут понятны даже совершенно непосвященному читателю.
2. Отдельные специальные публикации NIST , так называемая серия SP800 . Порядок прочтения рекомендуется следующий:
- Generally Accepted Principles and Practices for Securing Information Technology Systems
- Engineering Principles for Information Technology Security (A Baseline for Achieving Security)
- An Introduction to Computer Security: The NIST Handbook
- Risk Management Guide for Information Technology Systems
Одолеете этих монстров, можете приступать к документам, которые фокусируются на более узких областях. Благо NIST насоздавал их великое множество: от руководств по управлению криптографическими ключами, до инструкций по тестированию безопасности.
[Updated 20100911]Чтобы разобраться в структуре "базы знаний" по информационной безопасности, или так называемом Common Body of Knowledge (CBK), очень полезно ознакомиться с Generaly Accepted Information Security Principles. GAISP -- это масштабная инициатива по гармонизации принципов и практик информационной безопасности, которая началась еще в начале девяностых, продолжается по сегодняшний день, и конца ей пока не видно. Тем не менее, материал полезный, особенно для начинающих "незамутненных" умов.
3. Очень много содержательных публикаций на самые разнообразные темы (в пределах тематики ИБ, конечно же) содержится в SANS Information Security Reading Room , коллекция постоянно пополняется.
[Updated 20100911] Очень полезный источник информации был обнаружен в комментариях: ENISA Reports & ENISA Position Papers . European Network and Information Security Agency и его публикации представляют особый интерес, потому что мы находимся в Европе, где легальный климат в сфере информационной безопасности значительно отличается от североамериканского. В частности, четким смещением в сторону защиты персональных данных граждан.
4. Ознакомьтесь смеждународными стандартамив области, чтобы проникнуться глубиной творческой мысли работников институтов по стандартизации, а также непредсказуемостью последствий ее применения.
- ISO/IEC 27001:2005 - Information technology - Security techniques - Information security management systems - Requirements
- ISO/IEC 27002:2005 - Information technology - Security techniques - Code of practice for information security management
- Control Objectives for Information and related Technology (COBIT)
- PCI Data Security Standard (PCI DSS)
[Updated 20100902] В качестве "добавки" стоит осилить Technical Report ISO/IEC TR13335 - Information technology - Guidelines for the management of IT Security, части с первой по пятую . Если найдете, конечно же, потому что на сайте ISO они помечены как Withdrawn standards, скорее всего их содержание найдет место в стандартах серии 27000.
5. Обязательно читайте блоги, начните с такой подборки:
6. Крайне желательно хотя бы час в день слушать тематическиеподкасты. Вот ссылка на 15 лучших, выберите для начала 2-3. Лично я никогда не пропускаю вот эти:
7. И напоследок, куда задавать вопросы? Существует великое множество форумов по информационной безопасности, из которых лично я выделяю старую добрую почтовую рассылку Security Basics . Это воистину лучшее место для начала любых изысканий.
Собственно, все. Буду рад уточняющим вопросам. К коллегам огромная просьба делиться своими соображениями по теме в комментариях.
