image_2024-11-12_10-47-09.png
71.6 KB
Две новости, и обе очень хорошие
Во-первых, вышел международный стандарт ISO 30141:2024 - Референсная архитектура интернета вещей, на который я ссылалась ранее, в посте об ISO 30149.
Во-вторых, приняли решение сделать этот стандарт бесплатным в электронной версии. Скачать можно на этой странице
Обзор будет)
Во-первых, вышел международный стандарт ISO 30141:2024 - Референсная архитектура интернета вещей, на который я ссылалась ранее, в посте об ISO 30149.
Во-вторых, приняли решение сделать этот стандарт бесплатным в электронной версии. Скачать можно на этой странице
Обзор будет)
🔥10👍8
Под елочку обещанный обзор международного стандарта ISO/IEC 30141:2024 Референсная архитектура интернета вещей.
Созданию стандарта предшествовали длительные дискуссии и параллельное обновление базового стандарта ISO/IEC/IEEE 42010, поэтому работа заняла много времени. Получившийся текст довольно компактный, всего 66 страниц, однако он дает достаточно полное понимание архитектурных аспектов интернета вещей в связке с разработкой и техническим управлением в этой области .
Я не стала пересказывать стандарт целиком, тем более, что он доступен бесплатно. Но я уделила внимание структуре и назначению стандарта, а также точке зрения на доверие. Каждый может ознакомиться с текстом в оригинале или с помощью онлайн-переводчика. Смею надеяться, что адаптированный стандарт выйдет когда-нибудь и у нас.
Читать обзор
Инструмент для лонгридов в телеграм запретил встроенные картинки, чтобы не гонять вас по ссылкам, я добавлю их в комментарии к посту.
Всех с наступающим Новым годом. Я уверена, нас ждет много интересного!
Созданию стандарта предшествовали длительные дискуссии и параллельное обновление базового стандарта ISO/IEC/IEEE 42010, поэтому работа заняла много времени. Получившийся текст довольно компактный, всего 66 страниц, однако он дает достаточно полное понимание архитектурных аспектов интернета вещей в связке с разработкой и техническим управлением в этой области .
Я не стала пересказывать стандарт целиком, тем более, что он доступен бесплатно. Но я уделила внимание структуре и назначению стандарта, а также точке зрения на доверие. Каждый может ознакомиться с текстом в оригинале или с помощью онлайн-переводчика. Смею надеяться, что адаптированный стандарт выйдет когда-нибудь и у нас.
Читать обзор
Инструмент для лонгридов в телеграм запретил встроенные картинки, чтобы не гонять вас по ссылкам, я добавлю их в комментарии к посту.
Всех с наступающим Новым годом. Я уверена, нас ждет много интересного!
🔥8👍2👌1
Конструктивная информационная безопасность:
эфир anti-malware.ru и очень неплохой обзор этого эфира по ссылке
эфир anti-malware.ru и очень неплохой обзор этого эфира по ссылке
👍6🔥1
Получился очень субъективный текст в интересном разговоре. Интервью как шанс заглянуть мне в голову.
Велкам
Велкам
Kaspersky ICS CERT | Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского»
«Конструктивная безопасность позволяет оставаться на шаг впереди» | Kaspersky ICS CERT
Эксперт «Лаборатории Касперского» — о роли профессионального сообщества в защите промышленных объектов, причинах проблем с безопасностью в динамично развивающихся отраслях, а также о влиянии цифровизации на общество.
👍10
Forwarded from DUMP 2025
До встречи на DUMP 2025 всего три дня! А доклады, о которых мы еще не рассказывали, все еще не закончились. Продолжаем знакомство со спикерами.
1️⃣ Секция TechLead: «Как перестать ругаться и начать договариваться. Взгляд технического менеджера», Глеб Михеев, Сбер
Готовитесь пилить проект, для которого нужна помощь другой команды, заглядываете к ним со своей задачей — а они смотрят на вас как на проблему, пытаются отбрехаться и напомнить: у них свои цели. Знакомо? Глеб предлагает разобраться, почему так получается (спойлер: не обошлось без Дарвина) и как не уходить в конфронтацию, даже когда кажется, что это единственный вариант.
2️⃣ Секция SA&BA: «SLO в продукте: от идеи до работающего процесса», Екатерина Козлова, старший системный аналитик, Контур
Екатерина поделится практическим опытом внедрения SLO в продукте: зачем начали внедрение и что хотели получить; как проходил процесс, какие результаты есть на данный момент и какую роль может играть аналитик на каждом этапе этого пути.
3️⃣ Секция Platform Engineering: «Хорошие, плохие и злые модели угроз в безопасной разработке», Екатерина Рудина, руководитель группы, Лаборатория Касперского
Безопасная разработка, как любой вид безопасности, требует «знания противника». Мифический единорог безопасной разработки — хорошая модель угроз продукта, понятная для заказчика этого продукта и полезная для разработчика.
Во время доклада сможете понять, зачем модель угроз нужна именно вам, какие несложные задачи нужно решить, чтобы получить хорошую модель угроз, как адаптировать для себя методы и инструменты. А также узнаете, какая будет хорошим источником технических требований, какая — плохим, а в какую вы вложите массу усилий и не сможете ею пользоваться.
4️⃣ Секция ML&DS: «Nestor: поведение пользователей, агенты и щепотка оптимизации», Николай Пермяков, архитектор, Т-Банк
В Т-Банке развивается Nestor — ассистент для кодинга, который помогает разработчикам ускорять поиск информации, улучшать взаимодействие с кодом и повышать производительность. Сейчас Nestor становится зонтичным продуктом, включающим поиск по документации, поддержку в оbservability платформе Sage, чат-ассистента для программистов и др. Николай расскажет, как команда развивает поиск по документации, включая использование алгоритмов; как создавали ассистента для Sage, какие методы перенесли из поиска и почему это оказалось удачной стратегией; как оптимизировали скорость подсказок и какие неожиданные эффекты заметили в ходе экспериментов и как анализируют пользовательское поведение и превращают данные в улучшенные модели взаимодействия.
5️⃣ Секция Backend: «Триггеры баз данных — как перестать бояться?», Юлия Волкова, Head of Data, CodeScoring
Если вы не из дата-мира и не DBA, а работаете в классическом Backend-е, то могли слышать, что триггеры на базах данных — это зло, которого стоит избегать всеми возможными способами. Их неудобно и чуть ли невозможно тестировать, про них все забывают, они вызывают огромные задержки на базе и вообще просто ужасны. Триггеры смогли сыскать довольно сомнительную репутацию...
Юля познакомит вас с хорошей стороной триггеров, поделится понятными кейсами и покажет, как тестировать триггеры без боли. Доклад с фокусом на PostgreSQL, но большинство материала применимы к БД в общем, без привязки к имплементации.
6️⃣ Секция TechLead: «Навигация по зоопарку технологий: стратегии эффективного управления технологическим стеком и бэклогом задач», Ирина Колесникова, тимлид, Точка
Ваш IT-ландшафт напоминает «зоопарк технологий»? Это реальность многих проектов, развивавшихся годами, обрастая легаси и новыми технологиями.
Ирина поделится опытом управления технологическим разнообразием, расскажет как интегрировать разрозненные системы, не теряя контроль, и выжить в мире, где идеальный стек — это миф, а реальность — легаси, эксперименты и постоянные изменения.
📌 25 апреля встречаемся на DUMP 2025 в Екатеринбурге. Последние билеты можно купить на сайте.
Готовитесь пилить проект, для которого нужна помощь другой команды, заглядываете к ним со своей задачей — а они смотрят на вас как на проблему, пытаются отбрехаться и напомнить: у них свои цели. Знакомо? Глеб предлагает разобраться, почему так получается (спойлер: не обошлось без Дарвина) и как не уходить в конфронтацию, даже когда кажется, что это единственный вариант.
Екатерина поделится практическим опытом внедрения SLO в продукте: зачем начали внедрение и что хотели получить; как проходил процесс, какие результаты есть на данный момент и какую роль может играть аналитик на каждом этапе этого пути.
Безопасная разработка, как любой вид безопасности, требует «знания противника». Мифический единорог безопасной разработки — хорошая модель угроз продукта, понятная для заказчика этого продукта и полезная для разработчика.
Во время доклада сможете понять, зачем модель угроз нужна именно вам, какие несложные задачи нужно решить, чтобы получить хорошую модель угроз, как адаптировать для себя методы и инструменты. А также узнаете, какая будет хорошим источником технических требований, какая — плохим, а в какую вы вложите массу усилий и не сможете ею пользоваться.
В Т-Банке развивается Nestor — ассистент для кодинга, который помогает разработчикам ускорять поиск информации, улучшать взаимодействие с кодом и повышать производительность. Сейчас Nestor становится зонтичным продуктом, включающим поиск по документации, поддержку в оbservability платформе Sage, чат-ассистента для программистов и др. Николай расскажет, как команда развивает поиск по документации, включая использование алгоритмов; как создавали ассистента для Sage, какие методы перенесли из поиска и почему это оказалось удачной стратегией; как оптимизировали скорость подсказок и какие неожиданные эффекты заметили в ходе экспериментов и как анализируют пользовательское поведение и превращают данные в улучшенные модели взаимодействия.
Если вы не из дата-мира и не DBA, а работаете в классическом Backend-е, то могли слышать, что триггеры на базах данных — это зло, которого стоит избегать всеми возможными способами. Их неудобно и чуть ли невозможно тестировать, про них все забывают, они вызывают огромные задержки на базе и вообще просто ужасны. Триггеры смогли сыскать довольно сомнительную репутацию...
Юля познакомит вас с хорошей стороной триггеров, поделится понятными кейсами и покажет, как тестировать триггеры без боли. Доклад с фокусом на PostgreSQL, но большинство материала применимы к БД в общем, без привязки к имплементации.
Ваш IT-ландшафт напоминает «зоопарк технологий»? Это реальность многих проектов, развивавшихся годами, обрастая легаси и новыми технологиями.
Ирина поделится опытом управления технологическим разнообразием, расскажет как интегрировать разрозненные системы, не теряя контроль, и выжить в мире, где идеальный стек — это миф, а реальность — легаси, эксперименты и постоянные изменения.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Завтра выступаю на Dump EKB ⬆️, кто будет, заходите в секцию Platform Engineering
👍6🔥5
Ссылка на мой рассказ о моделях угроз в безопасной разработке с конференции DUMP 2025
В комментарии положу плейлисты конференции, много интересного не только для разработчиков
В комментарии положу плейлисты конференции, много интересного не только для разработчиков
YouTube
Екатерина Рудина, "Хорошие, плохие и злые модели угроз в безопасной разработке"
Екатерина Рудина, "Хорошие, плохие и злые модели угроз в безопасной разработке"
Безопасная разработка, как любой вид безопасности, требует «знания противника». Мифический единорог безопасной разработки – хорошая модель угроз продукта, понятная для заказчика…
Безопасная разработка, как любой вид безопасности, требует «знания противника». Мифический единорог безопасной разработки – хорошая модель угроз продукта, понятная для заказчика…
👍15🔥4🐳1
Команда, как сейчас модно говорить, дропнула новую статью об ошибках в ПО бортовых систем самолетов гражданской авиации
Это не про атаки, но схожие инциденты вполне могут быть последствиями атак, если не думать о разработке безопасного ПО. Подробно шесть инцидентов: что произошло, почему, и даже ущерб постарались оценить. Почитайте, это очень интересно.
Аэрофобам не рекомендуется
Это не про атаки, но схожие инциденты вполне могут быть последствиями атак, если не думать о разработке безопасного ПО. Подробно шесть инцидентов: что произошло, почему, и даже ущерб постарались оценить. Почитайте, это очень интересно.
Аэрофобам не рекомендуется
Kaspersky ICS CERT | Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского»
Ошибки в цифровых системах авионики ставят под угрозу безопасность полетов | Kaspersky ICS CERT
Эксперты «Лаборатории Касперского» анализируют авиационные инциденты, вызванные ошибками в цифровых системах авионики, и предупреждают о рисках возможных кибератак
🔥9🤯1
Удивительно, как инициатива "давайте расскажу 4-5 вновь нанятым в отдел разработки ОС теоретическую базу, чтобы им легче работалось и понималось" превратилась в публичный курс и канал на тысячу человек. Мы только что пробили этот порог. Каждому спасибо за интерес и доверие!
Несу для вас свежую статью в Journal of Innovation от Object Management Group. Ее опубликовали довольно тихо еще в мае этого года (сама только-только ее обнаружила). С выпуска предыдущего JoI на тему доверия прошло много времени, но с удовольствием понимаю, что тот материал тоже ни капли не устарел.
Понимаю, что статью на английском на 20 страниц не все готовы читать, поэтому подготовлю в ближайшее время обзор)
Несу для вас свежую статью в Journal of Innovation от Object Management Group. Ее опубликовали довольно тихо еще в мае этого года (сама только-только ее обнаружила). С выпуска предыдущего JoI на тему доверия прошло много времени, но с удовольствием понимаю, что тот материал тоже ни капли не устарел.
Понимаю, что статью на английском на 20 страниц не все готовы читать, поэтому подготовлю в ближайшее время обзор)
👍10🔥8
Обещанный краткий обзор своей статьи в Journal of Innovations по модели угроз для цифровых двойников
Читать обзор
Читать обзор
🔥4👍2👏2
Согласно ГОСТ Р 57149-2016/ISO/IEC Guide 51:2014, следует избегать употребления слов "безопасность" и "безопасный" в качестве описательного прилагательного, так как они не несут никакой полезной дополнительной информации.
Термин "безопасный" часто понимается широкой общественностью как состояние, при котором обеспечивается защищенность ото всех опасностей. Однако такое понимание будет неправильным: "безопасный" скорее состояние, при котором обеспечивается защищенность от идентифицированных опасностей, которые способны причинить ущерб. Без дополнительных пояснений слова "безопасность" и "безопасный" могут быть неверно интерпретированы как некая гарантия отсутствия риска.
Рекомендуемый подход состоит в том, чтобы заменять, где это возможно, слова "безопасность" и "безопасный" указанием на целевую функцию или признак предмета.
А я говорила
Термин "безопасный" часто понимается широкой общественностью как состояние, при котором обеспечивается защищенность ото всех опасностей. Однако такое понимание будет неправильным: "безопасный" скорее состояние, при котором обеспечивается защищенность от идентифицированных опасностей, которые способны причинить ущерб. Без дополнительных пояснений слова "безопасность" и "безопасный" могут быть неверно интерпретированы как некая гарантия отсутствия риска.
Рекомендуемый подход состоит в том, чтобы заменять, где это возможно, слова "безопасность" и "безопасный" указанием на целевую функцию или признак предмета.
А я говорила
🔥9💯4👍2👎1🥴1
Хочется задержаться у красивой цифры 1024 (пробой-отскок), поэтому перед следующей новостью пара слов о себе и канале для вновь прибывших.
Меня зовут Екатерина Рудина, я работаю в Лаборатории Касперского, это канал появился спонтанно и был предназначен для того, чтобы шарить материалы по теории ИБ в рамках таких же спонтанных лекций для коллег. Спустя некоторое время почти все материалы появились на степике.
Зачем я веду этот канал: меня очень интересует системный инженерный подход к безопасности и доверию, безопасность by design (конструктивная ИБ). Мы – я и группа аналитиков в Лаборатории – пишем рекомендации, методики, стандарты и, что важнее, работаем по этим же рекомендациям в проектах, например, для АЭС, промышленных систем, транспорта.
То, о чем я говорю, работает на практике. Я могу выдавать базу (а иначе зачем канал так называется), помня, что инфобез не прощает надувания щек. Технические скиллы нужны, знания надо пополнять, мелочей не бывает.
Если захотите представиться, буду рада
Меня зовут Екатерина Рудина, я работаю в Лаборатории Касперского, это канал появился спонтанно и был предназначен для того, чтобы шарить материалы по теории ИБ в рамках таких же спонтанных лекций для коллег. Спустя некоторое время почти все материалы появились на степике.
Зачем я веду этот канал: меня очень интересует системный инженерный подход к безопасности и доверию, безопасность by design (конструктивная ИБ). Мы – я и группа аналитиков в Лаборатории – пишем рекомендации, методики, стандарты и, что важнее, работаем по этим же рекомендациям в проектах, например, для АЭС, промышленных систем, транспорта.
То, о чем я говорю, работает на практике. Я могу выдавать базу (а иначе зачем канал так называется), помня, что инфобез не прощает надувания щек. Технические скиллы нужны, знания надо пополнять, мелочей не бывает.
Если захотите представиться, буду рада
👍15🔥9💯3
И еще немного разгрузим обстановку и сдуем щеки.
Читаю книгу с барсуком (менеджер я или кто). Идеально для необразовательных целей. Я думала, это книга-мем, а это книга-психотерапевт.
✍️Документируйте в стиле Кафки – никто не признается, что не понял
✍️Багофичи – это NFT, ценность определяете вы
✍️Чем абсурднее оправдание – тем легче войти в историю
✍️Мы не планируем использовать RCE на проде
✍️BYOD – Безумие, Ужас, Йогурт и Дыра
Ребят, просто признайтесь - вас покусал Пратчетт? Где его найти?
Читаю книгу с барсуком (менеджер я или кто). Идеально для необразовательных целей. Я думала, это книга-мем, а это книга-психотерапевт.
✍️Документируйте в стиле Кафки – никто не признается, что не понял
✍️Багофичи – это NFT, ценность определяете вы
✍️Чем абсурднее оправдание – тем легче войти в историю
✍️Мы не планируем использовать RCE на проде
✍️BYOD – Безумие, Ужас, Йогурт и Дыра
💯6👍4🔥2👎1