Даниэль Канеман, мыслитель, лауреат Нобелевской премии, один из авторов теории быстрого и медленного мышления, изменившей наше понимание того как работает общество, экономика, и не в последнюю очередь - безопасность, сегодня умер.
Светлая память.
Его книга заменяет добрую половину современной нонфикшн литературы о памяти и мышлении, о достоверности информации, о рисках, об отношении к рискам и прогнозировании, об эффективном управлении своим и чужим поведением. Если не читали - самое время.
Светлая память.
Его книга заменяет добрую половину современной нонфикшн литературы о памяти и мышлении, о достоверности информации, о рисках, об отношении к рискам и прогнозировании, об эффективном управлении своим и чужим поведением. Если не читали - самое время.
Вернулась с хорошей новостью
Вышел стандарт ISO/IEC TS 30149:2024 Internet of things (IoT) - Trustworthiness principles
Принципы доверия / благонадежности - как кому больше нравится. Нам с коллегами из рабочей группы ISO/IEC JTC 1/SC 41 посчастливилось начать работу над текстом еще до ковида, идеи много раз прошли обсуждения и проверку временем. Как мне кажется, это пошло стандарту на пользу.
Что внутри? В первую очередь, стандарт продолжает дело ISO/IEC TS 5723, о котором я уже писала, в части определения комплексного и неоднозначного понятия доверия. Все разложено по полочкам: что такое trust, а что такое trustworthiness, отношения с контекстом, характеристики, которые составляют доверие в современном Интернете вещей.
Что касается принципов, тут название тоже не врет: разложены принципы построения (building) и управления (managing) доверием в жизненном цикле систем. Стандарт планируется к применению совместно с новой ревизией ISO 30141, которая будет выпущена в ближайшее время - я сообщу) это значит, что доверие сможет рассматриваться как неотъемлемая часть архитектурного фреймворка IoT. Для этого в ISO/IEC TS 30149 сформулированы интересы стейкхолдеров и шаблоны методов и моделей для работы с доверием.
Хочу показать еще такой абзац из текста стандарта, касающийся security by design (по-нашему, конструктивной информационной безопасности)
Security by design is the concept of applying the methods of software development to minimize the security risks early in the design process and during the system implementation. This approach demonstrates the strong connection with a participative (stakeholder based) approach and relies on the threat model as the main artefact for elaborating the "secure by design system".
Исключительно важный момент, который показывает процессный характер "правильной" безопасности. Нет никакой серебряной пули, а конструктивный подход - исключительно процессный, методический, вовлекающие все заинтересованные стороны в определение и создание безопасной (доверенной) системы.
Ну и ура 🎉
Вышел стандарт ISO/IEC TS 30149:2024 Internet of things (IoT) - Trustworthiness principles
Принципы доверия / благонадежности - как кому больше нравится. Нам с коллегами из рабочей группы ISO/IEC JTC 1/SC 41 посчастливилось начать работу над текстом еще до ковида, идеи много раз прошли обсуждения и проверку временем. Как мне кажется, это пошло стандарту на пользу.
Что внутри? В первую очередь, стандарт продолжает дело ISO/IEC TS 5723, о котором я уже писала, в части определения комплексного и неоднозначного понятия доверия. Все разложено по полочкам: что такое trust, а что такое trustworthiness, отношения с контекстом, характеристики, которые составляют доверие в современном Интернете вещей.
Что касается принципов, тут название тоже не врет: разложены принципы построения (building) и управления (managing) доверием в жизненном цикле систем. Стандарт планируется к применению совместно с новой ревизией ISO 30141, которая будет выпущена в ближайшее время - я сообщу) это значит, что доверие сможет рассматриваться как неотъемлемая часть архитектурного фреймворка IoT. Для этого в ISO/IEC TS 30149 сформулированы интересы стейкхолдеров и шаблоны методов и моделей для работы с доверием.
Хочу показать еще такой абзац из текста стандарта, касающийся security by design (по-нашему, конструктивной информационной безопасности)
Security by design is the concept of applying the methods of software development to minimize the security risks early in the design process and during the system implementation. This approach demonstrates the strong connection with a participative (stakeholder based) approach and relies on the threat model as the main artefact for elaborating the "secure by design system".
Исключительно важный момент, который показывает процессный характер "правильной" безопасности. Нет никакой серебряной пули, а конструктивный подход - исключительно процессный, методический, вовлекающие все заинтересованные стороны в определение и создание безопасной (доверенной) системы.
webstore.iec.ch
ISO/IEC TS 30149:2024 | IEC Webstore
ISO/IEC TS 30149:2024 Standard | Internet of Things (IoT) - Trustworthiness principles
Вышли 4 лекции, которые я записала для курса профессиональной переподготовки в МГТУ им. Н.Э. Баумана
Курс профессиональной переподготовки «Управление информационной безопасностью в органе (организации)» на 360 и 512 часов стартовал 5 февраля 2024 года.
В создании данной программы приняли участие более 100 экспертов и руководителей по ИБ и более 50 ведущих организаций в сфере ИБ и ИТ. ✴
🟢200+ лекций
🟢60+ вебинаров
🟢практические задания
❤️🔥Главной гордостью курса являются:
🟢45 интервью с ТОПами по ИБ
🟢50 видео «10 вопросов про ИБ»
Наши контакты:
🔵ib.bmstu.ru
🔵infobez@bmstu.ru
🔵+7(495)120-29-20
Курс профессиональной переподготовки «Управление информационной безопасностью в органе (организации)» на 360 и 512 часов стартовал 5 февраля 2024 года.
В создании данной программы приняли участие более 100 экспертов и руководителей по ИБ и более 50 ведущих организаций в сфере ИБ и ИТ. ✴
🟢200+ лекций
🟢60+ вебинаров
🟢практические задания
❤️🔥Главной гордостью курса являются:
🟢45 интервью с ТОПами по ИБ
🟢50 видео «10 вопросов про ИБ»
Наши контакты:
🔵ib.bmstu.ru
🔵infobez@bmstu.ru
🔵+7(495)120-29-20
This media is not supported in your browser
VIEW IN TELEGRAM
Немного о содержании моих лекций в курсе
Цель - разбор практических случаев и спорных вопросов, относящихся к предприятиям и отраслям в сфере действия 250 Указа. Я разделила всю область на 4 отраслевые направления, выделила профильные угрозы и рассказала о наиболее примечательных инцидентах за последние два года:
🧩Обеспечение ИБ объектов КИИ в сферах оборонного комплекса, ракетно-космического, горнодобывающей и металлургической промышленности (профиль угрозы: кибершпионаж)
🧩Обеспечение ИБ объектов КИИ в сферах науки, связи, транспорта, здравоохранения, банковской сфере и иных сферах финансового рынка (профиль угрозы: финансовая, репутационная)
🧩Обеспечение ИБ объектов КИИ в сферах энергетического комплекса, атомной энергии, химической промышленности (профиль угрозы: аварии и катастрофы)
🧩Обеспечение ИБ в органах (организациях), относящихся к другим сферам (профиль угрозы: финансовая, социальная, репутационная)
Видео для привлечения внимания, за полезным контентом - по ссылкам выше
Цель - разбор практических случаев и спорных вопросов, относящихся к предприятиям и отраслям в сфере действия 250 Указа. Я разделила всю область на 4 отраслевые направления, выделила профильные угрозы и рассказала о наиболее примечательных инцидентах за последние два года:
🧩Обеспечение ИБ объектов КИИ в сферах оборонного комплекса, ракетно-космического, горнодобывающей и металлургической промышленности (профиль угрозы: кибершпионаж)
🧩Обеспечение ИБ объектов КИИ в сферах науки, связи, транспорта, здравоохранения, банковской сфере и иных сферах финансового рынка (профиль угрозы: финансовая, репутационная)
🧩Обеспечение ИБ объектов КИИ в сферах энергетического комплекса, атомной энергии, химической промышленности (профиль угрозы: аварии и катастрофы)
🧩Обеспечение ИБ в органах (организациях), относящихся к другим сферам (профиль угрозы: финансовая, социальная, репутационная)
Видео для привлечения внимания, за полезным контентом - по ссылкам выше
Forwarded from Минпромторг России
Please open Telegram to view this post
VIEW IN TELEGRAM
В полной традиции с манерой ведения канала "то пусто, то густо", написала лонгрид на тему оценки рисков, как соотносится стоимость риска и стоимость защиты, и причем тут "нобелевская" совокупная теория перспектив Канемана и Тверски.
Очень хочу обсудить, велкам в комментарии.
Очень хочу обсудить, велкам в комментарии.
Telegraph
Риски, в которые играют люди
Еще когда я училась, на защитах дипломных работ со словом «риск» в названии почти всегда звучал один и тот же каверзный вопрос: какая единица измерения риска? Нужно было, не моргнув глазом, отвечать «деньги». В самом деле, риск — это же ущерб, умноженный…
image_2024-11-12_10-47-09.png
71.6 KB
Две новости, и обе очень хорошие
Во-первых, вышел международный стандарт ISO 30141:2024 - Референсная архитектура интернета вещей, на который я ссылалась ранее, в посте об ISO 30149.
Во-вторых, приняли решение сделать этот стандарт бесплатным в электронной версии. Скачать можно на этой странице
Обзор будет)
Во-первых, вышел международный стандарт ISO 30141:2024 - Референсная архитектура интернета вещей, на который я ссылалась ранее, в посте об ISO 30149.
Во-вторых, приняли решение сделать этот стандарт бесплатным в электронной версии. Скачать можно на этой странице
Обзор будет)
Под елочку обещанный обзор международного стандарта ISO/IEC 30141:2024 Референсная архитектура интернета вещей.
Созданию стандарта предшествовали длительные дискуссии и параллельное обновление базового стандарта ISO/IEC/IEEE 42010, поэтому работа заняла много времени. Получившийся текст довольно компактный, всего 66 страниц, однако он дает достаточно полное понимание архитектурных аспектов интернета вещей в связке с разработкой и техническим управлением в этой области .
Я не стала пересказывать стандарт целиком, тем более, что он доступен бесплатно. Но я уделила внимание структуре и назначению стандарта, а также точке зрения на доверие. Каждый может ознакомиться с текстом в оригинале или с помощью онлайн-переводчика. Смею надеяться, что адаптированный стандарт выйдет когда-нибудь и у нас.
Читать обзор
Инструмент для лонгридов в телеграм запретил встроенные картинки, чтобы не гонять вас по ссылкам, я добавлю их в комментарии к посту.
Всех с наступающим Новым годом. Я уверена, нас ждет много интересного!
Созданию стандарта предшествовали длительные дискуссии и параллельное обновление базового стандарта ISO/IEC/IEEE 42010, поэтому работа заняла много времени. Получившийся текст довольно компактный, всего 66 страниц, однако он дает достаточно полное понимание архитектурных аспектов интернета вещей в связке с разработкой и техническим управлением в этой области .
Я не стала пересказывать стандарт целиком, тем более, что он доступен бесплатно. Но я уделила внимание структуре и назначению стандарта, а также точке зрения на доверие. Каждый может ознакомиться с текстом в оригинале или с помощью онлайн-переводчика. Смею надеяться, что адаптированный стандарт выйдет когда-нибудь и у нас.
Читать обзор
Инструмент для лонгридов в телеграм запретил встроенные картинки, чтобы не гонять вас по ссылкам, я добавлю их в комментарии к посту.
Всех с наступающим Новым годом. Я уверена, нас ждет много интересного!
Конструктивная информационная безопасность:
эфир anti-malware.ru и очень неплохой обзор этого эфира по ссылке
эфир anti-malware.ru и очень неплохой обзор этого эфира по ссылке
Получился очень субъективный текст в интересном разговоре. Интервью как шанс заглянуть мне в голову.
Велкам
Велкам
Kaspersky ICS CERT | Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского»
«Конструктивная безопасность позволяет оставаться на шаг впереди» | Kaspersky ICS CERT
Эксперт «Лаборатории Касперского» — о роли профессионального сообщества в защите промышленных объектов, причинах проблем с безопасностью в динамично развивающихся отраслях, а также о влиянии цифровизации на общество.
Forwarded from DUMP 2025
До встречи на DUMP 2025 всего три дня! А доклады, о которых мы еще не рассказывали, все еще не закончились. Продолжаем знакомство со спикерами.
1️⃣ Секция TechLead: «Как перестать ругаться и начать договариваться. Взгляд технического менеджера», Глеб Михеев, Сбер
Готовитесь пилить проект, для которого нужна помощь другой команды, заглядываете к ним со своей задачей — а они смотрят на вас как на проблему, пытаются отбрехаться и напомнить: у них свои цели. Знакомо? Глеб предлагает разобраться, почему так получается (спойлер: не обошлось без Дарвина) и как не уходить в конфронтацию, даже когда кажется, что это единственный вариант.
2️⃣ Секция SA&BA: «SLO в продукте: от идеи до работающего процесса», Екатерина Козлова, старший системный аналитик, Контур
Екатерина поделится практическим опытом внедрения SLO в продукте: зачем начали внедрение и что хотели получить; как проходил процесс, какие результаты есть на данный момент и какую роль может играть аналитик на каждом этапе этого пути.
3️⃣ Секция Platform Engineering: «Хорошие, плохие и злые модели угроз в безопасной разработке», Екатерина Рудина, руководитель группы, Лаборатория Касперского
Безопасная разработка, как любой вид безопасности, требует «знания противника». Мифический единорог безопасной разработки — хорошая модель угроз продукта, понятная для заказчика этого продукта и полезная для разработчика.
Во время доклада сможете понять, зачем модель угроз нужна именно вам, какие несложные задачи нужно решить, чтобы получить хорошую модель угроз, как адаптировать для себя методы и инструменты. А также узнаете, какая будет хорошим источником технических требований, какая — плохим, а в какую вы вложите массу усилий и не сможете ею пользоваться.
4️⃣ Секция ML&DS: «Nestor: поведение пользователей, агенты и щепотка оптимизации», Николай Пермяков, архитектор, Т-Банк
В Т-Банке развивается Nestor — ассистент для кодинга, который помогает разработчикам ускорять поиск информации, улучшать взаимодействие с кодом и повышать производительность. Сейчас Nestor становится зонтичным продуктом, включающим поиск по документации, поддержку в оbservability платформе Sage, чат-ассистента для программистов и др. Николай расскажет, как команда развивает поиск по документации, включая использование алгоритмов; как создавали ассистента для Sage, какие методы перенесли из поиска и почему это оказалось удачной стратегией; как оптимизировали скорость подсказок и какие неожиданные эффекты заметили в ходе экспериментов и как анализируют пользовательское поведение и превращают данные в улучшенные модели взаимодействия.
5️⃣ Секция Backend: «Триггеры баз данных — как перестать бояться?», Юлия Волкова, Head of Data, CodeScoring
Если вы не из дата-мира и не DBA, а работаете в классическом Backend-е, то могли слышать, что триггеры на базах данных — это зло, которого стоит избегать всеми возможными способами. Их неудобно и чуть ли невозможно тестировать, про них все забывают, они вызывают огромные задержки на базе и вообще просто ужасны. Триггеры смогли сыскать довольно сомнительную репутацию...
Юля познакомит вас с хорошей стороной триггеров, поделится понятными кейсами и покажет, как тестировать триггеры без боли. Доклад с фокусом на PostgreSQL, но большинство материала применимы к БД в общем, без привязки к имплементации.
6️⃣ Секция TechLead: «Навигация по зоопарку технологий: стратегии эффективного управления технологическим стеком и бэклогом задач», Ирина Колесникова, тимлид, Точка
Ваш IT-ландшафт напоминает «зоопарк технологий»? Это реальность многих проектов, развивавшихся годами, обрастая легаси и новыми технологиями.
Ирина поделится опытом управления технологическим разнообразием, расскажет как интегрировать разрозненные системы, не теряя контроль, и выжить в мире, где идеальный стек — это миф, а реальность — легаси, эксперименты и постоянные изменения.
📌 25 апреля встречаемся на DUMP 2025 в Екатеринбурге. Последние билеты можно купить на сайте.
Готовитесь пилить проект, для которого нужна помощь другой команды, заглядываете к ним со своей задачей — а они смотрят на вас как на проблему, пытаются отбрехаться и напомнить: у них свои цели. Знакомо? Глеб предлагает разобраться, почему так получается (спойлер: не обошлось без Дарвина) и как не уходить в конфронтацию, даже когда кажется, что это единственный вариант.
Екатерина поделится практическим опытом внедрения SLO в продукте: зачем начали внедрение и что хотели получить; как проходил процесс, какие результаты есть на данный момент и какую роль может играть аналитик на каждом этапе этого пути.
Безопасная разработка, как любой вид безопасности, требует «знания противника». Мифический единорог безопасной разработки — хорошая модель угроз продукта, понятная для заказчика этого продукта и полезная для разработчика.
Во время доклада сможете понять, зачем модель угроз нужна именно вам, какие несложные задачи нужно решить, чтобы получить хорошую модель угроз, как адаптировать для себя методы и инструменты. А также узнаете, какая будет хорошим источником технических требований, какая — плохим, а в какую вы вложите массу усилий и не сможете ею пользоваться.
В Т-Банке развивается Nestor — ассистент для кодинга, который помогает разработчикам ускорять поиск информации, улучшать взаимодействие с кодом и повышать производительность. Сейчас Nestor становится зонтичным продуктом, включающим поиск по документации, поддержку в оbservability платформе Sage, чат-ассистента для программистов и др. Николай расскажет, как команда развивает поиск по документации, включая использование алгоритмов; как создавали ассистента для Sage, какие методы перенесли из поиска и почему это оказалось удачной стратегией; как оптимизировали скорость подсказок и какие неожиданные эффекты заметили в ходе экспериментов и как анализируют пользовательское поведение и превращают данные в улучшенные модели взаимодействия.
Если вы не из дата-мира и не DBA, а работаете в классическом Backend-е, то могли слышать, что триггеры на базах данных — это зло, которого стоит избегать всеми возможными способами. Их неудобно и чуть ли невозможно тестировать, про них все забывают, они вызывают огромные задержки на базе и вообще просто ужасны. Триггеры смогли сыскать довольно сомнительную репутацию...
Юля познакомит вас с хорошей стороной триггеров, поделится понятными кейсами и покажет, как тестировать триггеры без боли. Доклад с фокусом на PostgreSQL, но большинство материала применимы к БД в общем, без привязки к имплементации.
Ваш IT-ландшафт напоминает «зоопарк технологий»? Это реальность многих проектов, развивавшихся годами, обрастая легаси и новыми технологиями.
Ирина поделится опытом управления технологическим разнообразием, расскажет как интегрировать разрозненные системы, не теряя контроль, и выжить в мире, где идеальный стек — это миф, а реальность — легаси, эксперименты и постоянные изменения.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Завтра выступаю на Dump EKB ⬆️, кто будет, заходите в секцию Platform Engineering
Ссылка на мой рассказ о моделях угроз в безопасной разработке с конференции DUMP 2025
В комментарии положу плейлисты конференции, много интересного не только для разработчиков
В комментарии положу плейлисты конференции, много интересного не только для разработчиков
YouTube
Екатерина Рудина, "Хорошие, плохие и злые модели угроз в безопасной разработке"
Екатерина Рудина, "Хорошие, плохие и злые модели угроз в безопасной разработке"
Безопасная разработка, как любой вид безопасности, требует «знания противника». Мифический единорог безопасной разработки – хорошая модель угроз продукта, понятная для заказчика…
Безопасная разработка, как любой вид безопасности, требует «знания противника». Мифический единорог безопасной разработки – хорошая модель угроз продукта, понятная для заказчика…