Хочется задержаться у красивой цифры 1024 (пробой-отскок), поэтому перед следующей новостью пара слов о себе и канале для вновь прибывших.
Меня зовут Екатерина Рудина, я работаю в Лаборатории Касперского, это канал появился спонтанно и был предназначен для того, чтобы шарить материалы по теории ИБ в рамках таких же спонтанных лекций для коллег. Спустя некоторое время почти все материалы появились на степике.
Зачем я веду этот канал: меня очень интересует системный инженерный подход к безопасности и доверию, безопасность by design (конструктивная ИБ). Мы – я и группа аналитиков в Лаборатории – пишем рекомендации, методики, стандарты и, что важнее, работаем по этим же рекомендациям в проектах, например, для АЭС, промышленных систем, транспорта.
То, о чем я говорю, работает на практике. Я могу выдавать базу (а иначе зачем канал так называется), помня, что инфобез не прощает надувания щек. Технические скиллы нужны, знания надо пополнять, мелочей не бывает.
Если захотите представиться, буду рада
Меня зовут Екатерина Рудина, я работаю в Лаборатории Касперского, это канал появился спонтанно и был предназначен для того, чтобы шарить материалы по теории ИБ в рамках таких же спонтанных лекций для коллег. Спустя некоторое время почти все материалы появились на степике.
Зачем я веду этот канал: меня очень интересует системный инженерный подход к безопасности и доверию, безопасность by design (конструктивная ИБ). Мы – я и группа аналитиков в Лаборатории – пишем рекомендации, методики, стандарты и, что важнее, работаем по этим же рекомендациям в проектах, например, для АЭС, промышленных систем, транспорта.
То, о чем я говорю, работает на практике. Я могу выдавать базу (а иначе зачем канал так называется), помня, что инфобез не прощает надувания щек. Технические скиллы нужны, знания надо пополнять, мелочей не бывает.
Если захотите представиться, буду рада
👍15🔥9💯3
И еще немного разгрузим обстановку и сдуем щеки.
Читаю книгу с барсуком (менеджер я или кто). Идеально для необразовательных целей. Я думала, это книга-мем, а это книга-психотерапевт.
✍️Документируйте в стиле Кафки – никто не признается, что не понял
✍️Багофичи – это NFT, ценность определяете вы
✍️Чем абсурднее оправдание – тем легче войти в историю
✍️Мы не планируем использовать RCE на проде
✍️BYOD – Безумие, Ужас, Йогурт и Дыра
Ребят, просто признайтесь - вас покусал Пратчетт? Где его найти?
Читаю книгу с барсуком (менеджер я или кто). Идеально для необразовательных целей. Я думала, это книга-мем, а это книга-психотерапевт.
✍️Документируйте в стиле Кафки – никто не признается, что не понял
✍️Багофичи – это NFT, ценность определяете вы
✍️Чем абсурднее оправдание – тем легче войти в историю
✍️Мы не планируем использовать RCE на проде
✍️BYOD – Безумие, Ужас, Йогурт и Дыра
💯6👍4🔥2👎1
Про национальный стандарт в области security by design.
Не так давно у него появился номер и официальный статус «утверджен». В поиске – ГОСТ Р 72118-2025 "Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки". Я не торопилась рассказывать, так как официальное издание состоялось только 7 июля, а в силу стандарт вступает только с 1 декабря.
Где найти текст: есть тут, также доступен в системах типа Техэксперт и Консультант.
Так как я участвовала в разработке, буду понемногу рассказывать о том, что стоит за положениями стандарта, как планируется его использовать, в чем особенности применения и ожидаемая польза для отрасли
Не так давно у него появился номер и официальный статус «утверджен». В поиске – ГОСТ Р 72118-2025 "Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки". Я не торопилась рассказывать, так как официальное издание состоялось только 7 июля, а в силу стандарт вступает только с 1 декабря.
Где найти текст: есть тут, также доступен в системах типа Техэксперт и Консультант.
Так как я участвовала в разработке, буду понемногу рассказывать о том, что стоит за положениями стандарта, как планируется его использовать, в чем особенности применения и ожидаемая польза для отрасли
🔥12👏4
Стандарт вводит много понятий, про каждое из которых можно устроит целую дискуссию, чем мы и займемся. Давайте с понятия КИБ и начну, и постепенно пойдем по структуре.
Конструктивная информационная безопасность - это подход к обеспечению информационной безопасности, который предусматривает информационную безопасность системы как ее неотъемлемое свойство, начиная с момента ее замысла, и способствует реализации и поддержанию этого свойства на протяжении всей жизни системы. Цели безопасности закладываются в соответствии с назначением системы и областью ее применения. Затем эти цели учитываются при разработке требований всех уровней, при создании архитектуры системы, в процессе ее реализации (включая РБПО), при вводе в эксплуатацию и в процессе эксплуатации, и на всех промежуточных этапах тоже.
ГОСТ 72118 задает более формальное определение
Конструктивная информационная безопасность - это безопасность системы, достигнутая применением конструктивных подходов. Конструктивный подход - это подход, при использовании которого системе в процессе её создания с момента замысла придаются характеристики (свойства), которые должны обеспечивать соответствие целям безопасности, включая проверку такого соответствия.
А коллеги по отрасли формулируют еще и так:
Конструктивная кибербезопасность — это подход, при котором меры безопасности предусматриваются на уровне архитектуры и дизайна системы. Есть мнение, что он противопоставляется традиционному подходу, при котором безопасность становится наложенным средством, а не внутренней частью системы.
Важно. Конструктивная информационная безопасность не является новым понятием или новым видом информационной безопасности. Конструктивные методы в применении к информационной безопасности развиваются уже более 50-ти лет. Термин может показаться новым, поскольку впервые англицизм "security bу design" перевели таким образом (почему – писала тут)
Конструктивная информационная безопасность - это подход к обеспечению информационной безопасности, который предусматривает информационную безопасность системы как ее неотъемлемое свойство, начиная с момента ее замысла, и способствует реализации и поддержанию этого свойства на протяжении всей жизни системы. Цели безопасности закладываются в соответствии с назначением системы и областью ее применения. Затем эти цели учитываются при разработке требований всех уровней, при создании архитектуры системы, в процессе ее реализации (включая РБПО), при вводе в эксплуатацию и в процессе эксплуатации, и на всех промежуточных этапах тоже.
ГОСТ 72118 задает более формальное определение
Конструктивная информационная безопасность - это безопасность системы, достигнутая применением конструктивных подходов. Конструктивный подход - это подход, при использовании которого системе в процессе её создания с момента замысла придаются характеристики (свойства), которые должны обеспечивать соответствие целям безопасности, включая проверку такого соответствия.
А коллеги по отрасли формулируют еще и так:
Конструктивная кибербезопасность — это подход, при котором меры безопасности предусматриваются на уровне архитектуры и дизайна системы. Есть мнение, что он противопоставляется традиционному подходу, при котором безопасность становится наложенным средством, а не внутренней частью системы.
Важно. Конструктивная информационная безопасность не является новым понятием или новым видом информационной безопасности. Конструктивные методы в применении к информационной безопасности развиваются уже более 50-ти лет. Термин может показаться новым, поскольку впервые англицизм "security bу design" перевели таким образом (почему – писала тут)
💯2