Удивительно, как инициатива "давайте расскажу 4-5 вновь нанятым в отдел разработки ОС теоретическую базу, чтобы им легче работалось и понималось" превратилась в публичный курс и канал на тысячу человек. Мы только что пробили этот порог. Каждому спасибо за интерес и доверие!
Несу для вас свежую статью в Journal of Innovation от Object Management Group. Ее опубликовали довольно тихо еще в мае этого года (сама только-только ее обнаружила). С выпуска предыдущего JoI на тему доверия прошло много времени, но с удовольствием понимаю, что тот материал тоже ни капли не устарел.
Понимаю, что статью на английском на 20 страниц не все готовы читать, поэтому подготовлю в ближайшее время обзор)
Несу для вас свежую статью в Journal of Innovation от Object Management Group. Ее опубликовали довольно тихо еще в мае этого года (сама только-только ее обнаружила). С выпуска предыдущего JoI на тему доверия прошло много времени, но с удовольствием понимаю, что тот материал тоже ни капли не устарел.
Понимаю, что статью на английском на 20 страниц не все готовы читать, поэтому подготовлю в ближайшее время обзор)
👍10🔥8
Обещанный краткий обзор своей статьи в Journal of Innovations по модели угроз для цифровых двойников
Читать обзор
Читать обзор
🔥4👍2👏2
Согласно ГОСТ Р 57149-2016/ISO/IEC Guide 51:2014, следует избегать употребления слов "безопасность" и "безопасный" в качестве описательного прилагательного, так как они не несут никакой полезной дополнительной информации.
Термин "безопасный" часто понимается широкой общественностью как состояние, при котором обеспечивается защищенность ото всех опасностей. Однако такое понимание будет неправильным: "безопасный" скорее состояние, при котором обеспечивается защищенность от идентифицированных опасностей, которые способны причинить ущерб. Без дополнительных пояснений слова "безопасность" и "безопасный" могут быть неверно интерпретированы как некая гарантия отсутствия риска.
Рекомендуемый подход состоит в том, чтобы заменять, где это возможно, слова "безопасность" и "безопасный" указанием на целевую функцию или признак предмета.
А я говорила
Термин "безопасный" часто понимается широкой общественностью как состояние, при котором обеспечивается защищенность ото всех опасностей. Однако такое понимание будет неправильным: "безопасный" скорее состояние, при котором обеспечивается защищенность от идентифицированных опасностей, которые способны причинить ущерб. Без дополнительных пояснений слова "безопасность" и "безопасный" могут быть неверно интерпретированы как некая гарантия отсутствия риска.
Рекомендуемый подход состоит в том, чтобы заменять, где это возможно, слова "безопасность" и "безопасный" указанием на целевую функцию или признак предмета.
А я говорила
🔥9💯4👍2👎1🥴1
Хочется задержаться у красивой цифры 1024 (пробой-отскок), поэтому перед следующей новостью пара слов о себе и канале для вновь прибывших.
Меня зовут Екатерина Рудина, я работаю в Лаборатории Касперского, это канал появился спонтанно и был предназначен для того, чтобы шарить материалы по теории ИБ в рамках таких же спонтанных лекций для коллег. Спустя некоторое время почти все материалы появились на степике.
Зачем я веду этот канал: меня очень интересует системный инженерный подход к безопасности и доверию, безопасность by design (конструктивная ИБ). Мы – я и группа аналитиков в Лаборатории – пишем рекомендации, методики, стандарты и, что важнее, работаем по этим же рекомендациям в проектах, например, для АЭС, промышленных систем, транспорта.
То, о чем я говорю, работает на практике. Я могу выдавать базу (а иначе зачем канал так называется), помня, что инфобез не прощает надувания щек. Технические скиллы нужны, знания надо пополнять, мелочей не бывает.
Если захотите представиться, буду рада
Меня зовут Екатерина Рудина, я работаю в Лаборатории Касперского, это канал появился спонтанно и был предназначен для того, чтобы шарить материалы по теории ИБ в рамках таких же спонтанных лекций для коллег. Спустя некоторое время почти все материалы появились на степике.
Зачем я веду этот канал: меня очень интересует системный инженерный подход к безопасности и доверию, безопасность by design (конструктивная ИБ). Мы – я и группа аналитиков в Лаборатории – пишем рекомендации, методики, стандарты и, что важнее, работаем по этим же рекомендациям в проектах, например, для АЭС, промышленных систем, транспорта.
То, о чем я говорю, работает на практике. Я могу выдавать базу (а иначе зачем канал так называется), помня, что инфобез не прощает надувания щек. Технические скиллы нужны, знания надо пополнять, мелочей не бывает.
Если захотите представиться, буду рада
👍15🔥9💯3
И еще немного разгрузим обстановку и сдуем щеки.
Читаю книгу с барсуком (менеджер я или кто). Идеально для необразовательных целей. Я думала, это книга-мем, а это книга-психотерапевт.
✍️Документируйте в стиле Кафки – никто не признается, что не понял
✍️Багофичи – это NFT, ценность определяете вы
✍️Чем абсурднее оправдание – тем легче войти в историю
✍️Мы не планируем использовать RCE на проде
✍️BYOD – Безумие, Ужас, Йогурт и Дыра
Ребят, просто признайтесь - вас покусал Пратчетт? Где его найти?
Читаю книгу с барсуком (менеджер я или кто). Идеально для необразовательных целей. Я думала, это книга-мем, а это книга-психотерапевт.
✍️Документируйте в стиле Кафки – никто не признается, что не понял
✍️Багофичи – это NFT, ценность определяете вы
✍️Чем абсурднее оправдание – тем легче войти в историю
✍️Мы не планируем использовать RCE на проде
✍️BYOD – Безумие, Ужас, Йогурт и Дыра
💯6👍4🔥2👎1
Про национальный стандарт в области security by design.
Не так давно у него появился номер и официальный статус «утверджен». В поиске – ГОСТ Р 72118-2025 "Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки". Я не торопилась рассказывать, так как официальное издание состоялось только 7 июля, а в силу стандарт вступает только с 1 декабря.
Где найти текст: есть тут, также доступен в системах типа Техэксперт и Консультант.
Так как я участвовала в разработке, буду понемногу рассказывать о том, что стоит за положениями стандарта, как планируется его использовать, в чем особенности применения и ожидаемая польза для отрасли
Не так давно у него появился номер и официальный статус «утверджен». В поиске – ГОСТ Р 72118-2025 "Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки". Я не торопилась рассказывать, так как официальное издание состоялось только 7 июля, а в силу стандарт вступает только с 1 декабря.
Где найти текст: есть тут, также доступен в системах типа Техэксперт и Консультант.
Так как я участвовала в разработке, буду понемногу рассказывать о том, что стоит за положениями стандарта, как планируется его использовать, в чем особенности применения и ожидаемая польза для отрасли
🔥9👏4
Стандарт вводит много понятий, про каждое из которых можно устроит целую дискуссию, чем мы и займемся. Давайте с понятия КИБ и начну, и постепенно пойдем по структуре.
Конструктивная информационная безопасность - это подход к обеспечению информационной безопасности, который предусматривает информационную безопасность системы как ее неотъемлемое свойство, начиная с момента ее замысла, и способствует реализации и поддержанию этого свойства на протяжении всей жизни системы. Цели безопасности закладываются в соответствии с назначением системы и областью ее применения. Затем эти цели учитываются при разработке требований всех уровней, при создании архитектуры системы, в процессе ее реализации (включая РБПО), при вводе в эксплуатацию и в процессе эксплуатации, и на всех промежуточных этапах тоже.
ГОСТ 72118 задает более формальное определение
Конструктивная информационная безопасность - это безопасность системы, достигнутая применением конструктивных подходов. Конструктивный подход - это подход, при использовании которого системе в процессе её создания с момента замысла придаются характеристики (свойства), которые должны обеспечивать соответствие целям безопасности, включая проверку такого соответствия.
А коллеги по отрасли формулируют еще и так:
Конструктивная кибербезопасность — это подход, при котором меры безопасности предусматриваются на уровне архитектуры и дизайна системы. Есть мнение, что он противопоставляется традиционному подходу, при котором безопасность становится наложенным средством, а не внутренней частью системы.
Важно. Конструктивная информационная безопасность не является новым понятием или новым видом информационной безопасности. Конструктивные методы в применении к информационной безопасности развиваются уже более 50-ти лет. Термин может показаться новым, поскольку впервые англицизм "security bу design" перевели таким образом (почему – писала тут)
Конструктивная информационная безопасность - это подход к обеспечению информационной безопасности, который предусматривает информационную безопасность системы как ее неотъемлемое свойство, начиная с момента ее замысла, и способствует реализации и поддержанию этого свойства на протяжении всей жизни системы. Цели безопасности закладываются в соответствии с назначением системы и областью ее применения. Затем эти цели учитываются при разработке требований всех уровней, при создании архитектуры системы, в процессе ее реализации (включая РБПО), при вводе в эксплуатацию и в процессе эксплуатации, и на всех промежуточных этапах тоже.
ГОСТ 72118 задает более формальное определение
Конструктивная информационная безопасность - это безопасность системы, достигнутая применением конструктивных подходов. Конструктивный подход - это подход, при использовании которого системе в процессе её создания с момента замысла придаются характеристики (свойства), которые должны обеспечивать соответствие целям безопасности, включая проверку такого соответствия.
А коллеги по отрасли формулируют еще и так:
Конструктивная кибербезопасность — это подход, при котором меры безопасности предусматриваются на уровне архитектуры и дизайна системы. Есть мнение, что он противопоставляется традиционному подходу, при котором безопасность становится наложенным средством, а не внутренней частью системы.
Важно. Конструктивная информационная безопасность не является новым понятием или новым видом информационной безопасности. Конструктивные методы в применении к информационной безопасности развиваются уже более 50-ти лет. Термин может показаться новым, поскольку впервые англицизм "security bу design" перевели таким образом (почему – писала тут)
💯2