Фрикономика

Прочитал очень интересную книгу, некоторыми моментами был, честно говоря, просто потрясен. Книга называется называется "Суперфрикономика" (у нее есть не менее интересная первая часть - "Фрикономика"). Рекомендуется к прочтению.

В книге описано несколько исследований и историй из реальной жизни, причем они рассмотрены с очень необычной точки зрения. Книга показывает реакцию и поведение людей на различные стимулы в различных обстоятельствах, а также некоторые удивительные стороны вполне обычных явлений. Многие исследования, приведенные в этой книге, основаны на технологиях интеллектуального анализа (data mining) статистических данных, и могут служить примерами использования этой техники.

Ниже я вкратце приведу лишь несколько наиболее запоминающихся историй. Хотя они не связаны с информационной безопасностью, но параллели очевидны.

Техническое описание Oracle Identity Management 11g

Андрей Гусаков выложил в своем блоге перевод Технического описания Oracle Identity Management 11g. За что ему большой респект!
Более подробно - здесь: http://security-orcl.blogspot.com/2011/01/blog-post_14.html

Кстати, блог весьма интересный, из него можно почерпнуть немало полезной информации по решениям безопасности Oracle, причем из первых рук.

ISSP \ Домен 09. Безопасность приложений. Часть 3

В этой части рассмотрены следующие вопросы:

• Целостность
• Вопросы безопасности баз данных
• Представления базы данных
• Многоэкземплярность
• Обработка транзакций в режиме реального времени
• Хранилища и интеллектуальный анализ данных

Практика ИБ \ Метрики для оценки эффективности антивирусной системы

Что-то я давненько не выкладывал в блоге ничего кроме CISSP'а. Судя по логам, некоторые заскучали (хотя может это Новый год сказывается ;-)). На самом деле интересного материала накопилось много, но хочется сначала закончить с CISSP'ом.

Вобщем исправляюсь :-)

Lenny Zeltser очень кстати опубликовал в своем блоге рекомендации по выбору метрик для оценки эффективности работы системы антивирусной защиты компании. Ниже представлен перевод статьи.

ISSP \ Домен 09. Безопасность приложений. Часть 2

В этой части рассмотрены следующие вопросы:

• Управление базами данных
• Программное обеспечение для управления базами данных
• Модели баз данных
• Интерфейсы программирования баз данных
• Компоненты реляционной базы данных
• Словарь данных
• Первичные и внешние ключи

ISSP \ Домен 09. Безопасность приложений. Часть 1

В этой части рассмотрены следующие вопросы:

• Важность программного обеспечения
• Где нужно размещать безопасность?
• Различные среды имеют различные потребности в обеспечении безопасности
• Среда и приложения
• Безопасность и функциональность
• Типы, форматы и размер данных
• Проблемы внедрения приложений и использования настроек «по умолчанию»
• Сбои и ошибки в приложениях

ISSP \ Домен 08. Законодательство, требования, соответствие, расследования. Содержание

Домен 08. Законодательство, требования, соответствие, расследования

1. Многогранное киберправо

2. Проблемы киберправа

3. Сложности борьбы с киберпреступностью

• 3.1. Электронные активы
• 3.2. Эволюция атак
• 3.3. Трансграничные преступления
• 3.4. Типы права

4. Законодательство в области интеллектуальной собственности

• 4.1. Коммерческая тайна
• 4.2. Авторское право
• 4.3. Торговая марка
• 4.4. Патент
• 4.5. Внутренняя защита интеллектуальной собственности
• 4.6. Компьютерное пиратство

5. Неприкосновенность частной жизни

• 5.1. Законодательство и требования
• Закон Сарбейнза-Оксли
• Закон о преемственности страхования и отчетности в области здравоохранения
• Закон Грэма-Лича-Блилей
• Закон о борьбе с компьютерным мошенничеством и злоупотреблениями
• Закон о защите персональных данных
• Базель II
• PCI DSS
• Закон о компьютерной безопасности
• Закон об экономическом шпионаже
• 5.2. Вопросы неприкосновенности частной жизни сотрудников

6. Обязательства и последствия их нарушения

• 6.1. Персональные данные
• 6.2. Атака хакеров

7. Расследования

• 7.1. Реагирование на инциденты
• 7.2. Процедуры реагирования на инциденты

8. Компьютерная криминалистика и сбор доказательств

• 8.1. Международная организация по компьютерным доказательствам
• 8.2. Мотивы, возможности и средства
• 8.3. Поведение компьютерных преступников
• 8.4. Специалисты по расследованию инцидентов
• 8.5. Процесс проведения компьютерной экспертизы
• 8.6. Что является приемлемым для суда?
• 8.7. Наблюдение, обыск и изъятие
• 8.8. Проведение опросов и допросов
• 8.9. Несколько различных видов мошенничества

9. Этика

• 9.1. Институт компьютерной этики
• 9.2. Совет по архитектуре Интернета
• 9.3. Программа корпоративной этики

10. Резюме

11. Тест

ISSP \ Домен 08. Законодательство, требования, соответствие, расследования. Тест

Вопросы экзамена CISSP являются концептуальными, поэтому они сформулированы соответствующим образом. Задачей кандидата является выбор наилучшего из всех представленных вариантов ответа. Среди вариантов ответа может не быть идеального ответа на поставленный вопрос - кандидат должен выбрать лучший ответ из имеющихся вариантов.