Стандарт вводит много понятий, про каждое из которых можно устроит целую дискуссию, чем мы и займемся. Давайте с понятия КИБ и начну, и постепенно пойдем по структуре.
Конструктивная информационная безопасность - это подход к обеспечению информационной безопасности, который предусматривает информационную безопасность системы как ее неотъемлемое свойство, начиная с момента ее замысла, и способствует реализации и поддержанию этого свойства на протяжении всей жизни системы. Цели безопасности закладываются в соответствии с назначением системы и областью ее применения. Затем эти цели учитываются при разработке требований всех уровней, при создании архитектуры системы, в процессе ее реализации (включая РБПО), при вводе в эксплуатацию и в процессе эксплуатации, и на всех промежуточных этапах тоже.
ГОСТ 72118 задает более формальное определение
Конструктивная информационная безопасность - это безопасность системы, достигнутая применением конструктивных подходов. Конструктивный подход - это подход, при использовании которого системе в процессе её создания с момента замысла придаются характеристики (свойства), которые должны обеспечивать соответствие целям безопасности, включая проверку такого соответствия.
А коллеги по отрасли формулируют еще и так:
Конструктивная кибербезопасность — это подход, при котором меры безопасности предусматриваются на уровне архитектуры и дизайна системы. Есть мнение, что он противопоставляется традиционному подходу, при котором безопасность становится наложенным средством, а не внутренней частью системы.
Важно. Конструктивная информационная безопасность не является новым понятием или новым видом информационной безопасности. Конструктивные методы в применении к информационной безопасности развиваются уже более 50-ти лет. Термин может показаться новым, поскольку впервые англицизм "security bу design" перевели таким образом (почему – писала тут)
Конструктивная информационная безопасность - это подход к обеспечению информационной безопасности, который предусматривает информационную безопасность системы как ее неотъемлемое свойство, начиная с момента ее замысла, и способствует реализации и поддержанию этого свойства на протяжении всей жизни системы. Цели безопасности закладываются в соответствии с назначением системы и областью ее применения. Затем эти цели учитываются при разработке требований всех уровней, при создании архитектуры системы, в процессе ее реализации (включая РБПО), при вводе в эксплуатацию и в процессе эксплуатации, и на всех промежуточных этапах тоже.
ГОСТ 72118 задает более формальное определение
Конструктивная информационная безопасность - это безопасность системы, достигнутая применением конструктивных подходов. Конструктивный подход - это подход, при использовании которого системе в процессе её создания с момента замысла придаются характеристики (свойства), которые должны обеспечивать соответствие целям безопасности, включая проверку такого соответствия.
А коллеги по отрасли формулируют еще и так:
Конструктивная кибербезопасность — это подход, при котором меры безопасности предусматриваются на уровне архитектуры и дизайна системы. Есть мнение, что он противопоставляется традиционному подходу, при котором безопасность становится наложенным средством, а не внутренней частью системы.
Важно. Конструктивная информационная безопасность не является новым понятием или новым видом информационной безопасности. Конструктивные методы в применении к информационной безопасности развиваются уже более 50-ти лет. Термин может показаться новым, поскольку впервые англицизм "security bу design" перевели таким образом (почему – писала тут)
💯3👍1
Forwarded from PVS-Studio
Цикл "Вокруг РБПО за 25 вебинаров: ГОСТ Р 56939-2024"!
Друзья, напоминаем, что совместно с Учебным Центром "МАСКОМ" мы организовываем цикл вебинаров, посвященных разбору 25 процессов РБПО.
Сегодня в 16:00 состоится седьмой вебинар⚡️
Тема: "Моделирование угроз и разработка описания поверхности атаки"
Приглашенный эксперт — руководитель группы аналитиков по информационной безопасности АО "Лаборатория Касперского" Екатерина Рудина
Регистрация на этот и последующие вебинары доступна по ссылке🔗
Присоединяйтесь к путешествию вокруг РБПО вместе с нами!
#вебинар
Друзья, напоминаем, что совместно с Учебным Центром "МАСКОМ" мы организовываем цикл вебинаров, посвященных разбору 25 процессов РБПО.
Сегодня в 16:00 состоится седьмой вебинар⚡️
Тема: "Моделирование угроз и разработка описания поверхности атаки"
Приглашенный эксперт — руководитель группы аналитиков по информационной безопасности АО "Лаборатория Касперского" Екатерина Рудина
Регистрация на этот и последующие вебинары доступна по ссылке🔗
Присоединяйтесь к путешествию вокруг РБПО вместе с нами!
#вебинар
🔥4👍3👏1
⬆️Модели угроз - тема года (или полугодия, как пойдет)
Есть время - приходите, поболтаем. Запись будет. Записи предыдущих вебинаров доступны на сайте PVS или при регистрации вас на них любезно выкинет
Есть время - приходите, поболтаем. Запись будет. Записи предыдущих вебинаров доступны на сайте PVS или при регистрации вас на них любезно выкинет
👍5🔥3👏1
Telegraph
Архитектура систем и интеграция программного обеспечения | SYSTEMS ARCHITECTING AND SOFTWARE INTEGRATION
Семинар прошел в Универcитете Южной Калифорнии и записан со слов, иллюстрации - аналог нынешних презентаций - приводятся отдельно. Перевод материалов семинара выполнен в 2025 году. К сожалению, у меня нет точной даты, когда он состоялся. Технические примеры…
Тут редко выходят публикации, но, надеюсь, каждый раз это что-то действительно полезное. На этот раз я перевела и откомментировала материалы семинара "Архитектура систем и интеграция программного обеспечения" - от легенды системного проектирования, архитектора и преподавателя Эберхарда Рехтина.
Это удивительно актуальный материал, хотя ему больше тридцати лет.
Пока только первая часть. Англоязычный исходник и перевод идут параллельно. Можно читать и сравнивать: я постаралась учесть тонкости перевода, но буду благодарна за уточнения и комментарии. Картинки - сейчас их назвали бы презентацией к семинару - приложу в комментариях.
Получилось три больших текста на платформе Telegraph:
Часть первая | текст 1 | Введение. Процесс создания архитектуры
Часть первая | текст 2 | Основы создания архитектуры систем (1)
Часть первая | текст 3 | Основы создания архитектуры систем (2). Заключение
Планирую перевод второй части, и тоже сразу выложу.
Это удивительно актуальный материал, хотя ему больше тридцати лет.
Пока только первая часть. Англоязычный исходник и перевод идут параллельно. Можно читать и сравнивать: я постаралась учесть тонкости перевода, но буду благодарна за уточнения и комментарии. Картинки - сейчас их назвали бы презентацией к семинару - приложу в комментариях.
Получилось три больших текста на платформе Telegraph:
Часть первая | текст 1 | Введение. Процесс создания архитектуры
Часть первая | текст 2 | Основы создания архитектуры систем (1)
Часть первая | текст 3 | Основы создания архитектуры систем (2). Заключение
Планирую перевод второй части, и тоже сразу выложу.
👍12🔥11
Через неделю выступаю на конференции ArchDays в Москве. Буду рассказывать про архитектуры безопасности и их место в процессах проектирования и security by design
Если будет видео - поделюсь, иначе сделаю заметку с тезисами
Организаторы забавно сократили название доклада: там "где искать безопасность архитектуры", но я даже думаю, а указывать ли на ошибку )) UPD - исправили
Если будет видео - поделюсь, иначе сделаю заметку с тезисами
ArchDays 2025
Не это ли центр? Как строить архитектуру безопасности и где искать безопасность архитектуры
Доклад спикера Екатерина Рудина — 07.11.2025
🔥16👍6
19-20 ноября, уже через три дня, Kaspersky Academy проводит при моем участии двухдневный тренинг для преподавателей. Расскажу про конструктивную ИБ, про ГОСТ подробно, немного про архитектуру и моделирование угроз в конструктивном подходе. Все на примерах.
Поговорим, как это использовать и как преподавать. Увидимся!
Поговорим, как это использовать и как преподавать. Увидимся!
👍15🔥5👏3