ТЕНДЕНЦИИ В СИГУРНОСТТА НА ИКТ
ГЛАВА 1. ИНФОРМАЦИОННА СИГУРНОСТ И ИКТ
Основни принципи на сигурността
Терминологичен апарат
Кариера и експертиза
Кибер сигурност и информационна сигурност
Програми за информационна и кибер сигурност
Създаване на програма за кибер сигурност
Между безопасността и сигурността
ГЛАВА 2. ХАРАКТЕРИСТИКИ НА СИГУРНОСТТА
Регистриране на уязвимостите
Класификация на уязвимостите
Информационна сигурност и повърхност за атака
Повърхност за заплахи
Управление на уязвимостите
Уязвимост и експозиция
Закони на уязвимостите
Заплаха, уязвимост и риск
Експлойти нулев ден
Вектор на атаката
Повърхност за атака в кибер пространството
Повърхност за атака
Шаблони на атаките
ГЛАВА 3. ТРАНСФОРМАЦИИ НА СИГУРНОСТТА
Динамика на сигурността
Управление на идентичностите
Управление на идентичностите при С2
Реплика на IDM в IoT
ГЛАВА 4. ОЦЕНКА НА СИГУРНОСТТА ПА ИКТ
Инфраструктурна сигурност на ИКТ
Сигурност по дизайн
Интегрален показател за рисковете за сигурността
Социален инженеринг
Метод за оценка
Предимства на сигурността от външен доставчик
ГЛАВА 5. КИБЕР ФУТУРОШОК
Уязвимостите са нарастваща вселена
Тектонични движения в сигурността на ИКТ
Контрапункта
Кибер футурошок
Обучението по кибер сигурност
………………………………………………
ЛИЧНИТЕ ДАННИ НАЧИН НА УПОТРЕБА
ГЛАВА 1. ЛИЧНИТЕ ДАННИ В ЦИФРОВИЯ СВЯТ
1.1. Печалби срещу конфиденциалност
1.2. Сигурността на личните данни
1.3. Основни положения на GDPR
1.4. Личните данни са съкровище
1.5. Определение за лични данни
1.6. Подземията на мрежата
1.7. Цената на личните данни в Dark Web
ГЛАВА 2. ЕКСПОНИРАНЕ НА ЛИЧНИТЕ ДАННИ
2.1. Изтриване или премахване на данните
2.2. Експониране на лични данни след измами
2.3. Институции и конфиденциалност
2.4. Използвани устройства
2.5. GDPR и вътрешни заплахи
2.6. Авангардни технологии и конфиденциалност
2.7. Специфика на конфиденциалността за децата
ГЛАВА 3. БИЗНЕСЪТ С ЛИЧНИ ДАННИ
3.1. Начин на употреба на личните данни
3.2. Тъмната мрежа
3.3. Авангардните технологии и личните данни
3.4. Начини за защита
3.5. Превенция на измамите
3.6. Реакция при изтичане на лични данни
3.7. Пейзажът за сигурност на личните данни
КРАТЪК СПРАВОЧНИК
ЛИТЕРАТУРНИ ИЗТОЧНИЦИ
………………………………………………
ОПЕРАТИВНА КИБЕРСИГУРНОСТ
Първа глава покрива комплекс от упражнения, които създават в обучаемите умения за проучване, изследване и одитиране на набора от процеси в операционната система, но в светлината на нейната сигурност. Примерите са обяснени от гледна точка на информацията, която един проучващ сигурността на операционната система трябва да разчете в изходните им данни. Същите знания осигуряват на обучаемите правилно и задълбочено разбиране на инструментите за проверка на сигурността чрез симулиране на поведението на атакуващите, които са представени във втора глава. Във втора глава е направено кратко изложение на основните инструменти, с които работят системните администратори и тези по сигурността. Съдържа примери, които представят команди, подходящи за установяване на неправомерни действия от страна на локалните потребители. Трета глава обхваща базови команди, които се прилагат за анализ на сигурността в мрежата.
Книгата съдържа примери с достъпни за всички команди от операционната система Linux. Гледната точка към използването на тези команди е сигурността на ОС, приложенията в нея и мрежата, в средата на която тази ОС е поставена.
Основни и достъпни дори от неизкушени потребители команди позволяват наблюдение на поведението на потребителите и активността на приложенията. Откриването на нередности при такъв мониторинг е свързано с гледната точка към изходните данни и предварителното познаване на работното и техническото обкръжение.
Ако в ОС са регистрирани точно определен брой потребители поради естеството на предназначението ѝ, но в даден момент в списъка на потребителите се появи още един, то очевидно се наблюдава отклонение в конфигурацията.
Проверки по сигурността на ОС и приложенията се правят със специализирани средства. Често на администраторите на отделни сървъри им се налага да потвърдят или проверят отделни аспекти от сигурността на платформите. Инсталирането на допълнителни средства за сигурност особено на сървъри не винаги е възможно, често не е оправдано, изисква допълнителни бюджети и експертиза от служителите, а може да доведе и до проблеми, ако не е проверена съвместимостта с останалите приложения в ОС. Тогава влизат в действие техниките, които са представени в настоящата книга. Те са характерни за професионалната работата на системните администратори. Запознатите в дълбочина с анатомията на ОС, без значение коя е тя, чрез тези техники могат да разберат достатъчно за наличието на нерегламентирана активност и да приложат мерки за овладяване на инциденти по сигурността.
Откриването на нарушения по сигурността при наблюдаване на подобни признаци е свързано с познаване на механизмите за взаимодействие в операционната система от страна на анализатора. Значение имат и непрекъснатото трупане на опит, умението да се анализират резултатите от командите от гледна точка на сигурността и поведението и целите на злонамерените актьори. Познаването на обкръжението в средата на което работи ОС също има значение, както и комуникацията с администриращите приложенията и мрежата. Последните може да дадат на изследващия сигурността ценна информация за нормалните режими на работа на ОС, приложенията и поведението на трафика към външните системи през мрежовите интерфейси. Това е условие за филтриране на резултатите от командите, които показват регулярното състояние на параметрите на ОС: заета оперативна памет, натовареност на CPU, списък с процеси и др. След което лесно се отхвърлят тези данни и остават само такива, които се отнасят до подозрителни състояния, които е възможно да се дължат на злонамерени въздействия.
Книгата има важната задача да убеди читателя в необходимостта от задълбочено познаване на възможностите на операционните системи за постигане на целите на киберсигурността, в условията на ограничен обем от страници. Самото задълбочено познаване вече е въпрос на личен избор и продължителна работа, а самостоятелните задачи, които следват в текста са само началото.
Изборът на операционната система, в обкръжението на която представям примерите е продиктуван от желанието ми читателите да придобият ясна представа за ежедневната професионална обстановка във всички области на индустрията с информационни технологии.
Книгата съдържа примери, които са основа за последващо изучаване на техниките за съпровождане на сигурността в операционната система Linux. Голяма част от примерите имат аналози в операционната система Windows. Някои от тях са представени в текста.
………………………………………………
………………………………………………
МОДЕЛ ЗА СИГУРНОСТ НА Информационните и Комуникационни Технологии
ГЛАВА 1. МОДЕЛ ЗА СИГУРНОСТ НА ИКТ
1.1. Стратегия и модел за сигурност на ИКТ
1.2. Модели за сигурност на ИКТ
1.3. Предишен опит и използвани ресурси
1.4. Методология
1.5. Адаптивен модел на ССИКТ
1.6. Резултати и изводи от глава 1
ГЛАВА 2. ТРАНСФОРМАЦИЯ НА ССИКТ
2.1. Подсистема за управление на пачове
2.2. Контрол на достъпа до мрежовата среда
2.3. Сигурност в крайните точки
2.4. Насоки за усъвършенстване на ЕSМ
2.5. Управление на ИТ активите
2.6. Подсистема за защита от зловреден софтуер
2.7. Подсистема за периметрова сигурност
2.8. Базови мрежови услуги
2.9. Контрол на достъпа
2.10. Криптиране и управление на ключовете
2.11. Регистрация, анализ и реакция
2.12. Управление на сигурността в базите данни
2.13. Управление на сигурността в приложенията
2.14. Управление на привилегированите потребители
2.15. Управление на сигурността в операционните системи
2.16. Управление на идентичностите
2.17. Необходимост от метод за синтезиране на ССИКТ
2.18. Резултати и изводи от глава 2
ГЛАВА 3. МЕТОД ЗА ТРАНСФОРМАЦИЯ
3.1. Динамика на сигурността
3.2. Репликация на IDM в IoT
3.3. Метод за трансформиране на КССИКТ В С2ССИКТ
3.4. Трансформиране на КССИКТ към C2ССИКТ
3.5. АМССИКТ след адаптиране към С2
3.6. Отговорност за подсистемите от С2ССИКТ
3.7. Трансформация на КССИКТ в С2ССИКТ
3.8. Виртуализация, мрежи и сториджи в С2
3.9. Еластичността след трансформиране в С2ССИКТ
3.10. Доказателства при пробиви и разследвания
3.11. Регулации на сигурността в C2
3.12. Подготовка на договорните отношения с ДОУ
3.13. Препоръки за последващи изследвания
3.14. Резултати и изводи от глава 3
ЗАКЛЮЧЕНИЕ
Литературни източници
………………………………………………
ТЕСТВАНЕ НА СОФТУЕР
Книгата „Тестване на софтуер” е предназначена за подготовка на мениджъри на екипи по тестване, тестери, студенти по специалностите от професионално направление 4.6. „Автоматизирани системи за управление“ и всички, които се интересуват от технологията. Съдържа раздел, в който се изясняват обхвата и съдържанието на основните понятия от проблемната област тестване на софтуер и разкриват системните връзки между тях. Демонстрират се основни методи, техники, процеси и прийоми, които се прилагат при тестването на софтуерни продукти.
Показани са връзките с различните етапи от жизнения цикъл на една програмна система, разликите в тестването на програмни приложения с различни архитектури, методите и техниките за тестване. Отделено е внимание на тестването на сигурността на софтуера и програмни инструменти с които се изпълнява.
Представени са основните работни процеси при откриването и отстраняването на дефекти в програмите, в рамките на целият им жизнен цикъл. Разкрити са характеристиките и съдържанието на основни документи, които се създават и съпровождат цикъла на тестване на един програмен продукт.
Описани са във взаимна връзка процесите по създаване на програмния код и тестването му, смисъла на нивата за тестване и базовите техники за тестване, които трябва да се познават от проектанти, програмисти и тестери. Показани са често срещани програмни грешки и ситуации с пропуски в бизнес моделите, системната постройка и архитектурата при производството на софтуер, капаните на структурното тестване и тестването свързано с промяна.
В качеството си на учебник книгата може да се използва от студентите, изучаващи дисциплините „Тестване на софтуер”, „Управление на качеството и тестване“ и Управление на качеството и усъвършенстване на процесите“ в „Университет по библиотекознание и информационни технологии“, докторанти и от всички желаещи. Материалът от книгата влиза в семестриалните изпити на студентите по информационни технологии, компютърни науки и софтуерно инженерство.
СЪДЪРЖАНИЕ
ГЛАВА 1. ОСНОВИ НА ТЕСТВАНЕТО
1.1. Базови концeпции в тестването на софтуер
1.2. Модели за жизнения цикъл на програмна система
1.3. Тестване и модели за SDLC
1.4. Необходимост от тестване на софтуера
1.5. Жизнен цикъл за тестване на програмна система
1.6. Условия за прекратяване на тестването
1.7. Основни понятия в тестването на софтуер
1.8. Архитектура на приложенията
ГЛАВА 2. УПРАВЛЕНИЕ НА ДЕФЕКТИТЕ
2.1. Управление на бъговете
2.2. Често срещани софтуерни грешки
2.3. Управление на инцидент
2.1. Разлики между грешка, дефект, бъг и инцидент
2.2. Произход на грешките
2.3. Класове техники за откриване на грешки
2.4. Грешки в алгоритмите
2.5. Категоризиране на дефектите
2.6. Ефективност при откриване на дефекти
ГЛАВА 3. ТИПОВЕ ТЕСТВАНЕ
3.1. Принципи на тестването
3.2. Тестване и настройка на компютърна програма
3.3. Стратегии за тестване
3.4. Жизнен цикъл за разработване на софтуер
3.5. Типове тестване
3.6. Функционално тестване
3.7. Нефункционално тестване
3.8. Структурно тестване
3.9. Тестване свързано с промяна
3.10. Статично и динамично тестване
ГЛАВА 4. МЕТОДИ ЗА ТЕСТВАНЕ
4.1. Тестване по метода Black Box
4.2. Блек бокс с класове на еквивалентност
4.3. Блек бокс с анализ на гранични стойности
4.4. Подходи за тестване
4.5. Тестване по единици
4.6. Интеграционно тестване
4.7. Системно тестване
4.8. Регресионно тестване
4.9. Тестове за приемане на системата
4.10. Тестване на нефункционални изисквания
4.11. Тестване за производителност
4.12. Тестване за преносимост
4.13. Тестване за съвместимост
4.14. Тестване на използваемостта
4.15. Тестване на сигурността на приложенията
4.16. Статичен анализ на сигурността на кода
4.17. Категории техники за конструиране на тестове
ГЛАВА 5. УПРАВЛЕНИЕ НА ТЕСТВАНЕТО
5.1. Организацията на тестването
5.2. Основни дейности при тестване
5.3. Мотивация при тестването
5.4. Документиране на тестването
5.5. План за тестване
5.6. Тестов сценарий
5.7. Тестов случай
5.8. Тестова сюита, тестов скрипт, тестов сценарий
5.9. Матрица за проследяване на изискванията
5.10. Техники за оценяване на тестването
5.11. Стандарти за тестване
5.12. Тестване на бази данни
5.13. Тестове с данни
5.14. Данни за тестове за производителност
5.15. Инструменти за управление на тестването
5.16. Метрики и измервания при тестване
5.17. Покритие на тестването
5.18. Работен поток при производството на софтуер
5.19. Софтуерното тестване в бизнеса с ИТ