Защита данных. От авторизации до аудита – Джейсон Андресс

Очень добротная и написанная понятным языком книга. При выборе ее для прочтения важно учитывать, что она носит в основном теоретический характер, давая человеку, желающему разобраться в информационной безопасности, необходимые базовые знания. За исключением примеров с конкретными программами для поиска угроз и уязвимостей, проверки сетевого трафика и т.п. здесь нет каких-то конкретных действий. То есть книга – не даёт четкий алгоритм «скачай то-проверь это», а обрисовывает проблему в целом, что на мой взгляд ещё важнее, так как по каждому конкретному аспекту информационной безопасности можно подобрать отдельные источники знаний, но для этого надо знать базовую терминологию и составляющие процесса, а в этом книга поможет. Также хочу обратить внимание (хоть об этом и так уже было в аннотации), что здесь скорее для системных администраторов для защиты данных в организации, а не о том, как типичному среднестатистическому юзеру контактик полистать.Что на мой взгляд показалось излишним, так это описание проблем физической безопасности (понятно, что без нее защищать ПО бесполезно), но это уже другая тема и книга бы легче читалась без постоянных отсылок к необходимости иметь нормальные замки и проверять пропуска – на все про всё хватило бы двух абзацев, тем более, что всё равно объять необъятное у автора не получилось.Начинается всё с базовых понятий: что такое информационная безопасность и зачем она нужна, идентификация, аутенфикация и авторизация, понятие угроз, уязвимостей и рисков (а это важно иначе можно превратиться в параноика, если не иметь понимания, что реальная опасность – это когда угроза совпадает с уязвимостью), что и каким образом нужно защищать (спойлер- это не из серии «поставьте антивирус и слава надёжным паролям»), какие виды угроз и способы их обнаружения бывают, далее нам дают азы криптографии. Главу про законодательство в США, регулирующее эту тему, я закономерно пропустила, зато было интересно посмотреть в отдельности защиту операционных систем, защиту приложений, защиту баз данных и сетей. Про атаки через интернет вещей было также познавательно, об этой стороне проблемы обычно пишется меньше, про защиту мобильных устройств здесь опять же больше про централизованные меры внутри организации, а не как по смартфончику безопасно в интернете лазить, поэтому практическая значимость здесь к сожалению минимальна (даже в организациях все заняты сетью, а если корпоративные телефоны и дают, то к сожалению мало где принято заморачиваться ещё и над этим – иначе бы не было столько краж данных с телефонов банковских курьеров).Поймала автору и на проф. деформации – в главе про физическую безопасность людей, устройств, данных он пишет, что надо в первую очередь защищать людей потому что люди ценны сами по себе (это как раз логично) и (внимание (!)) «их сложнее заменить»(С). Далее нам пишут, что «по сравнению с техникой люди довольно хрупкие» (С), что придаёт нашей сущности оттенок неполноценности, хотя понятно, что автор имеет ввиду совсем не то, что прозвучало буквально.Однозначно рекомендую, так как книга структурирована прекрасно – одно переходит в другое, в конце каждой главы краткий пересказ и контрольные вопросы, при этом, они не нацелены подловить, а являются напоминалкой и помогают акцентировать внимание на нужных моментах, которые до этого вроде и прочитал, но как то не совсем уяснил.