И еще немного разгрузим обстановку и сдуем щеки.
Читаю книгу с барсуком (менеджер я или кто). Идеально для необразовательных целей. Я думала, это книга-мем, а это книга-психотерапевт.
✍️Документируйте в стиле Кафки – никто не признается, что не понял
✍️Багофичи – это NFT, ценность определяете вы
✍️Чем абсурднее оправдание – тем легче войти в историю
✍️Мы не планируем использовать RCE на проде
✍️BYOD – Безумие, Ужас, Йогурт и Дыра
Ребят, просто признайтесь - вас покусал Пратчетт? Где его найти?
Читаю книгу с барсуком (менеджер я или кто). Идеально для необразовательных целей. Я думала, это книга-мем, а это книга-психотерапевт.
✍️Документируйте в стиле Кафки – никто не признается, что не понял
✍️Багофичи – это NFT, ценность определяете вы
✍️Чем абсурднее оправдание – тем легче войти в историю
✍️Мы не планируем использовать RCE на проде
✍️BYOD – Безумие, Ужас, Йогурт и Дыра
💯6👍4🔥2👎1
Про национальный стандарт в области security by design.
Не так давно у него появился номер и официальный статус «утверджен». В поиске – ГОСТ Р 72118-2025 "Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки". Я не торопилась рассказывать, так как официальное издание состоялось только 7 июля, а в силу стандарт вступает только с 1 декабря.
Где найти текст: есть тут, также доступен в системах типа Техэксперт и Консультант.
Так как я участвовала в разработке, буду понемногу рассказывать о том, что стоит за положениями стандарта, как планируется его использовать, в чем особенности применения и ожидаемая польза для отрасли
Не так давно у него появился номер и официальный статус «утверджен». В поиске – ГОСТ Р 72118-2025 "Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки". Я не торопилась рассказывать, так как официальное издание состоялось только 7 июля, а в силу стандарт вступает только с 1 декабря.
Где найти текст: есть тут, также доступен в системах типа Техэксперт и Консультант.
Так как я участвовала в разработке, буду понемногу рассказывать о том, что стоит за положениями стандарта, как планируется его использовать, в чем особенности применения и ожидаемая польза для отрасли
🔥12👏4
Стандарт вводит много понятий, про каждое из которых можно устроит целую дискуссию, чем мы и займемся. Давайте с понятия КИБ и начну, и постепенно пойдем по структуре.
Конструктивная информационная безопасность - это подход к обеспечению информационной безопасности, который предусматривает информационную безопасность системы как ее неотъемлемое свойство, начиная с момента ее замысла, и способствует реализации и поддержанию этого свойства на протяжении всей жизни системы. Цели безопасности закладываются в соответствии с назначением системы и областью ее применения. Затем эти цели учитываются при разработке требований всех уровней, при создании архитектуры системы, в процессе ее реализации (включая РБПО), при вводе в эксплуатацию и в процессе эксплуатации, и на всех промежуточных этапах тоже.
ГОСТ 72118 задает более формальное определение
Конструктивная информационная безопасность - это безопасность системы, достигнутая применением конструктивных подходов. Конструктивный подход - это подход, при использовании которого системе в процессе её создания с момента замысла придаются характеристики (свойства), которые должны обеспечивать соответствие целям безопасности, включая проверку такого соответствия.
А коллеги по отрасли формулируют еще и так:
Конструктивная кибербезопасность — это подход, при котором меры безопасности предусматриваются на уровне архитектуры и дизайна системы. Есть мнение, что он противопоставляется традиционному подходу, при котором безопасность становится наложенным средством, а не внутренней частью системы.
Важно. Конструктивная информационная безопасность не является новым понятием или новым видом информационной безопасности. Конструктивные методы в применении к информационной безопасности развиваются уже более 50-ти лет. Термин может показаться новым, поскольку впервые англицизм "security bу design" перевели таким образом (почему – писала тут)
Конструктивная информационная безопасность - это подход к обеспечению информационной безопасности, который предусматривает информационную безопасность системы как ее неотъемлемое свойство, начиная с момента ее замысла, и способствует реализации и поддержанию этого свойства на протяжении всей жизни системы. Цели безопасности закладываются в соответствии с назначением системы и областью ее применения. Затем эти цели учитываются при разработке требований всех уровней, при создании архитектуры системы, в процессе ее реализации (включая РБПО), при вводе в эксплуатацию и в процессе эксплуатации, и на всех промежуточных этапах тоже.
ГОСТ 72118 задает более формальное определение
Конструктивная информационная безопасность - это безопасность системы, достигнутая применением конструктивных подходов. Конструктивный подход - это подход, при использовании которого системе в процессе её создания с момента замысла придаются характеристики (свойства), которые должны обеспечивать соответствие целям безопасности, включая проверку такого соответствия.
А коллеги по отрасли формулируют еще и так:
Конструктивная кибербезопасность — это подход, при котором меры безопасности предусматриваются на уровне архитектуры и дизайна системы. Есть мнение, что он противопоставляется традиционному подходу, при котором безопасность становится наложенным средством, а не внутренней частью системы.
Важно. Конструктивная информационная безопасность не является новым понятием или новым видом информационной безопасности. Конструктивные методы в применении к информационной безопасности развиваются уже более 50-ти лет. Термин может показаться новым, поскольку впервые англицизм "security bу design" перевели таким образом (почему – писала тут)
💯2