Про национальный стандарт в области security by design.
Не так давно у него появился номер и официальный статус «утверджен». В поиске – ГОСТ Р 72118-2025 "Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки". Я не торопилась рассказывать, так как официальное издание состоялось только 7 июля, а в силу стандарт вступает только с 1 декабря.
Где найти текст: есть тут, также доступен в системах типа Техэксперт и Консультант.
Так как я участвовала в разработке, буду понемногу рассказывать о том, что стоит за положениями стандарта, как планируется его использовать, в чем особенности применения и ожидаемая польза для отрасли
Не так давно у него появился номер и официальный статус «утверджен». В поиске – ГОСТ Р 72118-2025 "Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки". Я не торопилась рассказывать, так как официальное издание состоялось только 7 июля, а в силу стандарт вступает только с 1 декабря.
Где найти текст: есть тут, также доступен в системах типа Техэксперт и Консультант.
Так как я участвовала в разработке, буду понемногу рассказывать о том, что стоит за положениями стандарта, как планируется его использовать, в чем особенности применения и ожидаемая польза для отрасли
🔥14👏4
Стандарт вводит много понятий, про каждое из которых можно устроит целую дискуссию, чем мы и займемся. Давайте с понятия КИБ и начну, и постепенно пойдем по структуре.
Конструктивная информационная безопасность - это подход к обеспечению информационной безопасности, который предусматривает информационную безопасность системы как ее неотъемлемое свойство, начиная с момента ее замысла, и способствует реализации и поддержанию этого свойства на протяжении всей жизни системы. Цели безопасности закладываются в соответствии с назначением системы и областью ее применения. Затем эти цели учитываются при разработке требований всех уровней, при создании архитектуры системы, в процессе ее реализации (включая РБПО), при вводе в эксплуатацию и в процессе эксплуатации, и на всех промежуточных этапах тоже.
ГОСТ 72118 задает более формальное определение
Конструктивная информационная безопасность - это безопасность системы, достигнутая применением конструктивных подходов. Конструктивный подход - это подход, при использовании которого системе в процессе её создания с момента замысла придаются характеристики (свойства), которые должны обеспечивать соответствие целям безопасности, включая проверку такого соответствия.
А коллеги по отрасли формулируют еще и так:
Конструктивная кибербезопасность — это подход, при котором меры безопасности предусматриваются на уровне архитектуры и дизайна системы. Есть мнение, что он противопоставляется традиционному подходу, при котором безопасность становится наложенным средством, а не внутренней частью системы.
Важно. Конструктивная информационная безопасность не является новым понятием или новым видом информационной безопасности. Конструктивные методы в применении к информационной безопасности развиваются уже более 50-ти лет. Термин может показаться новым, поскольку впервые англицизм "security bу design" перевели таким образом (почему – писала тут)
Конструктивная информационная безопасность - это подход к обеспечению информационной безопасности, который предусматривает информационную безопасность системы как ее неотъемлемое свойство, начиная с момента ее замысла, и способствует реализации и поддержанию этого свойства на протяжении всей жизни системы. Цели безопасности закладываются в соответствии с назначением системы и областью ее применения. Затем эти цели учитываются при разработке требований всех уровней, при создании архитектуры системы, в процессе ее реализации (включая РБПО), при вводе в эксплуатацию и в процессе эксплуатации, и на всех промежуточных этапах тоже.
ГОСТ 72118 задает более формальное определение
Конструктивная информационная безопасность - это безопасность системы, достигнутая применением конструктивных подходов. Конструктивный подход - это подход, при использовании которого системе в процессе её создания с момента замысла придаются характеристики (свойства), которые должны обеспечивать соответствие целям безопасности, включая проверку такого соответствия.
А коллеги по отрасли формулируют еще и так:
Конструктивная кибербезопасность — это подход, при котором меры безопасности предусматриваются на уровне архитектуры и дизайна системы. Есть мнение, что он противопоставляется традиционному подходу, при котором безопасность становится наложенным средством, а не внутренней частью системы.
Важно. Конструктивная информационная безопасность не является новым понятием или новым видом информационной безопасности. Конструктивные методы в применении к информационной безопасности развиваются уже более 50-ти лет. Термин может показаться новым, поскольку впервые англицизм "security bу design" перевели таким образом (почему – писала тут)
💯3👍1
Forwarded from PVS-Studio
Цикл "Вокруг РБПО за 25 вебинаров: ГОСТ Р 56939-2024"!
Друзья, напоминаем, что совместно с Учебным Центром "МАСКОМ" мы организовываем цикл вебинаров, посвященных разбору 25 процессов РБПО.
Сегодня в 16:00 состоится седьмой вебинар⚡️
Тема: "Моделирование угроз и разработка описания поверхности атаки"
Приглашенный эксперт — руководитель группы аналитиков по информационной безопасности АО "Лаборатория Касперского" Екатерина Рудина
Регистрация на этот и последующие вебинары доступна по ссылке🔗
Присоединяйтесь к путешествию вокруг РБПО вместе с нами!
#вебинар
Друзья, напоминаем, что совместно с Учебным Центром "МАСКОМ" мы организовываем цикл вебинаров, посвященных разбору 25 процессов РБПО.
Сегодня в 16:00 состоится седьмой вебинар⚡️
Тема: "Моделирование угроз и разработка описания поверхности атаки"
Приглашенный эксперт — руководитель группы аналитиков по информационной безопасности АО "Лаборатория Касперского" Екатерина Рудина
Регистрация на этот и последующие вебинары доступна по ссылке🔗
Присоединяйтесь к путешествию вокруг РБПО вместе с нами!
#вебинар
🔥4👍3👏1
⬆️Модели угроз - тема года (или полугодия, как пойдет)
Есть время - приходите, поболтаем. Запись будет. Записи предыдущих вебинаров доступны на сайте PVS или при регистрации вас на них любезно выкинет
Есть время - приходите, поболтаем. Запись будет. Записи предыдущих вебинаров доступны на сайте PVS или при регистрации вас на них любезно выкинет
👍4🔥2👏1