Информационная безопасность VS кибербезопасность
Время от времени в профильных сообществах возникает вопрос об употреблении терминов "информационная безопасность" и "кибербезопасность". Я вспомнила, что уже разбиралась и объясняла - выложила для всех.
Время от времени в профильных сообществах возникает вопрос об употреблении терминов "информационная безопасность" и "кибербезопасность". Я вспомнила, что уже разбиралась и объясняла - выложила для всех.
👍11
Forwarded from SafeCode — конференция по безопасности приложений
#подкаст
Новый выпуск подкаста [SafeCode Live] — Secure by design
Разбираемся в подходе Secure by design (SBD), или конструктивной безопасности в разработке продукта.
Участники обсуждают:
— что такое Secure by design и нужен ли он в каждом продукте;
— чем SBD отличается от безопасной разработки;
— что делать, если «уже сделано небезопасно»;
— может ли SBD-продукт стать небезопасным;
— как стать компетентным в SBD;
— существуют ли общие концепции и стандарты SBD.
Гости:
— Сергей Рогачев, руководитель отдела разработки безопасной платформы в Лаборатории Касперского.
— Екатерина Рудина, аналитик в Лаборатории Касперского. Работает в департаменте перспективных технологий в области исследования угроз, моделирования и оценки рисков.
— Александр Поломодов, руководитель управления разработки цифровых экосистем в Тинькофф.
Ведущий:
Алексей Федулаев, руководитель направления автоматизации безопасной разработки в Wildberries.
Новый выпуск и предыдущие доступны на:
— YouTube
— Apple Podcasts
— Яндекс Музыке
Подписывайтесь на удобные платформы, чтобы не пропустить новые выпуски!
Новый выпуск подкаста [SafeCode Live] — Secure by design
Разбираемся в подходе Secure by design (SBD), или конструктивной безопасности в разработке продукта.
Участники обсуждают:
— что такое Secure by design и нужен ли он в каждом продукте;
— чем SBD отличается от безопасной разработки;
— что делать, если «уже сделано небезопасно»;
— может ли SBD-продукт стать небезопасным;
— как стать компетентным в SBD;
— существуют ли общие концепции и стандарты SBD.
Гости:
— Сергей Рогачев, руководитель отдела разработки безопасной платформы в Лаборатории Касперского.
— Екатерина Рудина, аналитик в Лаборатории Касперского. Работает в департаменте перспективных технологий в области исследования угроз, моделирования и оценки рисков.
— Александр Поломодов, руководитель управления разработки цифровых экосистем в Тинькофф.
Ведущий:
Алексей Федулаев, руководитель направления автоматизации безопасной разработки в Wildberries.
Новый выпуск и предыдущие доступны на:
— YouTube
— Apple Podcasts
— Яндекс Музыке
Подписывайтесь на удобные платформы, чтобы не пропустить новые выпуски!
👍4🔥2
TGIF!
Записали подкаст в хорошей компании. Нескучно и полезно поговорили о Security by Design, в чем сходство и различие с безопасной разработкой, с какой стороны заходить в этот самый SbD и кому он может быть нужен.
Записали подкаст в хорошей компании. Нескучно и полезно поговорили о Security by Design, в чем сходство и различие с безопасной разработкой, с какой стороны заходить в этот самый SbD и кому он может быть нужен.
YouTube
[SafeCode Live] Secure by design
Ближайшая конференция: SafeCode 2025, даты будут анонсированы позднее. Подробности: https://jrg.su/hbNqzs
— —
В этом выпуске разбираемся в подходе Secure by design (SBD), или конструктивной безопасности в разработке продукта.
Участники обсуждают:
— что…
— —
В этом выпуске разбираемся в подходе Secure by design (SBD), или конструктивной безопасности в разработке продукта.
Участники обсуждают:
— что…
👍6
Расскажу еще про дружественный хакатон, где можно попробовать на практике создавать secure by design решения при поддержке технологии Лаборатории Касперского. Однажды я его анонсировала, и вот версия 2.0 - улучшенный, доработанный сценарий, новые знания, хороший призовой фонд.
На хакатон приглашаются разработчики, аналитики, QA-специалисты, архитекторы ПО, специалисты, эксперты по ИБ и студенты соответствующих направлений. Участвовать можно индивидуально или в команде до 5 человек. Специфических знаний не требуется - все расскажут и объяснят.
Регистрация открыта до 13:00 по МСК 24 ноября. Все подробности: https://cnrlink.com/cyberimmunehack2
На хакатон приглашаются разработчики, аналитики, QA-специалисты, архитекторы ПО, специалисты, эксперты по ИБ и студенты соответствующих направлений. Участвовать можно индивидуально или в команде до 5 человек. Специфических знаний не требуется - все расскажут и объяснят.
Регистрация открыта до 13:00 по МСК 24 ноября. Все подробности: https://cnrlink.com/cyberimmunehack2
👍9🔥1
Forwarded from KasperskyOS. Разработка
В "Школе фундаментальных технологи" МГТУ им. Н.Э. Баумана в период с марта по май состоится уникальный цикл лекций от российских IT компаний — лидеров своих направлений, посвященный фундаментальным информационным технологиям, их развитию в России и в мире.
👉 https://secure-software.bmstu.ru
В первом же блоке курса "Системное программное обеспечение. Фундаментальные технологии сквозь призму безопасной разработки" с докладом «Микроядерные операционные системы. Summa Technologiae» выступит Сергей Рогачев, руководителя отдела разработки безопасной платформы "Лаборатории Касперского".
📅 6 марта
🕚 уточняется. Следите за нашими анонсами.
🧑🏻💻 Участие в курсе бесплатное. Но требуется предварительная регистрация
👉 https://secure-software.bmstu.ru
В первом же блоке курса "Системное программное обеспечение. Фундаментальные технологии сквозь призму безопасной разработки" с докладом «Микроядерные операционные системы. Summa Technologiae» выступит Сергей Рогачев, руководителя отдела разработки безопасной платформы "Лаборатории Касперского".
📅 6 марта
🕚 уточняется. Следите за нашими анонсами.
🧑🏻💻 Участие в курсе бесплатное. Но требуется предварительная регистрация
🔥8👍1
Запись первого блока курса Школы фундаментальных технологий РБПО в МГТУ им. Н.Э. Баумана выложили на канале Школы в Rutube
Приятного просмотра!
Приятного просмотра!
RUTUBE
Школа фундаментальных технологий РБПО — полная коллекция видео на RUTUBE
На базе МГТУ им. Н.Э. Баумана по инициативе кафедры ИУ10 "Защита информации" в период с марта по май состоится уникальный цикл лекций от российских IT компаний - лидеров своих направлений, посвященный фундаментальным информационным технологиям, их развитию…
🔥7👍2
Завтра слушаю вебинар Kaspersky ICS CERT о промышленной кибербезопасности - что происходит прямо сейчас и, вероятно, будет происходить в недалёком будущем. Один из самых достоверных источников, один из самых честных и квалифицированных экспертов.
Язык трансляции английский.
Язык трансляции английский.
BrightTALK
Industrial cybersecurity in 2024: trends and forecasts
As the industrial landscape evolves, so do the threats that accompany it. While many industrial threats may be developing slowly from year to year, subtle changes are reaching a critical mass, poised to reshape the cybersecurity landscape in the near future.…
👍7
Даниэль Канеман, мыслитель, лауреат Нобелевской премии, один из авторов теории быстрого и медленного мышления, изменившей наше понимание того как работает общество, экономика, и не в последнюю очередь - безопасность, сегодня умер.
Светлая память.
Его книга заменяет добрую половину современной нонфикшн литературы о памяти и мышлении, о достоверности информации, о рисках, об отношении к рискам и прогнозировании, об эффективном управлении своим и чужим поведением. Если не читали - самое время.
Светлая память.
Его книга заменяет добрую половину современной нонфикшн литературы о памяти и мышлении, о достоверности информации, о рисках, об отношении к рискам и прогнозировании, об эффективном управлении своим и чужим поведением. Если не читали - самое время.
😱11😢2
Вернулась с хорошей новостью
Вышел стандарт ISO/IEC TS 30149:2024 Internet of things (IoT) - Trustworthiness principles
Принципы доверия / благонадежности - как кому больше нравится. Нам с коллегами из рабочей группы ISO/IEC JTC 1/SC 41 посчастливилось начать работу над текстом еще до ковида, идеи много раз прошли обсуждения и проверку временем. Как мне кажется, это пошло стандарту на пользу.
Что внутри? В первую очередь, стандарт продолжает дело ISO/IEC TS 5723, о котором я уже писала, в части определения комплексного и неоднозначного понятия доверия. Все разложено по полочкам: что такое trust, а что такое trustworthiness, отношения с контекстом, характеристики, которые составляют доверие в современном Интернете вещей.
Что касается принципов, тут название тоже не врет: разложены принципы построения (building) и управления (managing) доверием в жизненном цикле систем. Стандарт планируется к применению совместно с новой ревизией ISO 30141, которая будет выпущена в ближайшее время - я сообщу) это значит, что доверие сможет рассматриваться как неотъемлемая часть архитектурного фреймворка IoT. Для этого в ISO/IEC TS 30149 сформулированы интересы стейкхолдеров и шаблоны методов и моделей для работы с доверием.
Хочу показать еще такой абзац из текста стандарта, касающийся security by design (по-нашему, конструктивной информационной безопасности)
Security by design is the concept of applying the methods of software development to minimize the security risks early in the design process and during the system implementation. This approach demonstrates the strong connection with a participative (stakeholder based) approach and relies on the threat model as the main artefact for elaborating the "secure by design system".
Исключительно важный момент, который показывает процессный характер "правильной" безопасности. Нет никакой серебряной пули, а конструктивный подход - исключительно процессный, методический, вовлекающие все заинтересованные стороны в определение и создание безопасной (доверенной) системы.
Ну и ура 🎉
Вышел стандарт ISO/IEC TS 30149:2024 Internet of things (IoT) - Trustworthiness principles
Принципы доверия / благонадежности - как кому больше нравится. Нам с коллегами из рабочей группы ISO/IEC JTC 1/SC 41 посчастливилось начать работу над текстом еще до ковида, идеи много раз прошли обсуждения и проверку временем. Как мне кажется, это пошло стандарту на пользу.
Что внутри? В первую очередь, стандарт продолжает дело ISO/IEC TS 5723, о котором я уже писала, в части определения комплексного и неоднозначного понятия доверия. Все разложено по полочкам: что такое trust, а что такое trustworthiness, отношения с контекстом, характеристики, которые составляют доверие в современном Интернете вещей.
Что касается принципов, тут название тоже не врет: разложены принципы построения (building) и управления (managing) доверием в жизненном цикле систем. Стандарт планируется к применению совместно с новой ревизией ISO 30141, которая будет выпущена в ближайшее время - я сообщу) это значит, что доверие сможет рассматриваться как неотъемлемая часть архитектурного фреймворка IoT. Для этого в ISO/IEC TS 30149 сформулированы интересы стейкхолдеров и шаблоны методов и моделей для работы с доверием.
Хочу показать еще такой абзац из текста стандарта, касающийся security by design (по-нашему, конструктивной информационной безопасности)
Security by design is the concept of applying the methods of software development to minimize the security risks early in the design process and during the system implementation. This approach demonstrates the strong connection with a participative (stakeholder based) approach and relies on the threat model as the main artefact for elaborating the "secure by design system".
Исключительно важный момент, который показывает процессный характер "правильной" безопасности. Нет никакой серебряной пули, а конструктивный подход - исключительно процессный, методический, вовлекающие все заинтересованные стороны в определение и создание безопасной (доверенной) системы.
webstore.iec.ch
ISO/IEC TS 30149:2024 | IEC Webstore
ISO/IEC TS 30149:2024 Standard | Internet of Things (IoT) - Trustworthiness principles
👏10👍4
Вышли 4 лекции, которые я записала для курса профессиональной переподготовки в МГТУ им. Н.Э. Баумана
Курс профессиональной переподготовки «Управление информационной безопасностью в органе (организации)» на 360 и 512 часов стартовал 5 февраля 2024 года.
В создании данной программы приняли участие более 100 экспертов и руководителей по ИБ и более 50 ведущих организаций в сфере ИБ и ИТ. ✴
🟢200+ лекций
🟢60+ вебинаров
🟢практические задания
❤️🔥Главной гордостью курса являются:
🟢45 интервью с ТОПами по ИБ
🟢50 видео «10 вопросов про ИБ»
Наши контакты:
🔵ib.bmstu.ru
🔵[email protected]
🔵+7(495)120-29-20
Курс профессиональной переподготовки «Управление информационной безопасностью в органе (организации)» на 360 и 512 часов стартовал 5 февраля 2024 года.
В создании данной программы приняли участие более 100 экспертов и руководителей по ИБ и более 50 ведущих организаций в сфере ИБ и ИТ. ✴
🟢200+ лекций
🟢60+ вебинаров
🟢практические задания
❤️🔥Главной гордостью курса являются:
🟢45 интервью с ТОПами по ИБ
🟢50 видео «10 вопросов про ИБ»
Наши контакты:
🔵ib.bmstu.ru
🔵[email protected]
🔵+7(495)120-29-20
👍12🔥6
This media is not supported in your browser
VIEW IN TELEGRAM
Немного о содержании моих лекций в курсе
Цель - разбор практических случаев и спорных вопросов, относящихся к предприятиям и отраслям в сфере действия 250 Указа. Я разделила всю область на 4 отраслевые направления, выделила профильные угрозы и рассказала о наиболее примечательных инцидентах за последние два года:
🧩Обеспечение ИБ объектов КИИ в сферах оборонного комплекса, ракетно-космического, горнодобывающей и металлургической промышленности (профиль угрозы: кибершпионаж)
🧩Обеспечение ИБ объектов КИИ в сферах науки, связи, транспорта, здравоохранения, банковской сфере и иных сферах финансового рынка (профиль угрозы: финансовая, репутационная)
🧩Обеспечение ИБ объектов КИИ в сферах энергетического комплекса, атомной энергии, химической промышленности (профиль угрозы: аварии и катастрофы)
🧩Обеспечение ИБ в органах (организациях), относящихся к другим сферам (профиль угрозы: финансовая, социальная, репутационная)
Видео для привлечения внимания, за полезным контентом - по ссылкам выше
Цель - разбор практических случаев и спорных вопросов, относящихся к предприятиям и отраслям в сфере действия 250 Указа. Я разделила всю область на 4 отраслевые направления, выделила профильные угрозы и рассказала о наиболее примечательных инцидентах за последние два года:
🧩Обеспечение ИБ объектов КИИ в сферах оборонного комплекса, ракетно-космического, горнодобывающей и металлургической промышленности (профиль угрозы: кибершпионаж)
🧩Обеспечение ИБ объектов КИИ в сферах науки, связи, транспорта, здравоохранения, банковской сфере и иных сферах финансового рынка (профиль угрозы: финансовая, репутационная)
🧩Обеспечение ИБ объектов КИИ в сферах энергетического комплекса, атомной энергии, химической промышленности (профиль угрозы: аварии и катастрофы)
🧩Обеспечение ИБ в органах (организациях), относящихся к другим сферам (профиль угрозы: финансовая, социальная, репутационная)
Видео для привлечения внимания, за полезным контентом - по ссылкам выше
🔥9👎1
Forwarded from Минпромторг России
🌐 Утверждён международный стандарт доверия для Интернета вещей
📅 Официально опубликован первый международный стандарт, регулирующий принципы доверия к системам Интернета вещей (IoT).
🇷🇺 Разрабатывался стандарт при активном участии России, включая Техкомитет по стандартизации 194 «Кибер-физические системы» и «Лабораторию Касперского».
🔍 Новый стандарт описывает ключевые факторы благонадёжности устройств IoT и доверия к ним. Он был утверждён на уровне Международной организации по стандартизации и Международной электротехнической комиссии – ISO и IEC.
💡 Надёжность, устойчивость и безопасность систем — ключевые показатели благонадежности для IoT. Иные важные аспекты: защита от киберугроз и безопасность личной информации.
📈 Стандарт включает разделы по управлению доверием в системах Интернета вещей и построению доверенных систем. В приложении даны шаблоны лучших практик.
🇷🇺 Разрабатывался стандарт при активном участии России, включая Техкомитет по стандартизации 194 «Кибер-физические системы» и «Лабораторию Касперского».
💡 Надёжность, устойчивость и безопасность систем — ключевые показатели благонадежности для IoT. Иные важные аспекты: защита от киберугроз и безопасность личной информации.
«Ключевым является тот факт, что экспертам от России удаётся успешно продвигать на международном уровне наши национальные требования в ключевых областях развития цифровых технологий. Принятые стандарты могут быть внедрены сегодня в целом ряде отраслей. Нашим производителям необходимо использовать эти наработки для обеспечения информационной безопасности своих устройств», — замглавы Минпромторга России Василий Шпак.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
В полной традиции с манерой ведения канала "то пусто, то густо", написала лонгрид на тему оценки рисков, как соотносится стоимость риска и стоимость защиты, и причем тут "нобелевская" совокупная теория перспектив Канемана и Тверски.
Очень хочу обсудить, велкам в комментарии.
Очень хочу обсудить, велкам в комментарии.
Telegraph
Риски, в которые играют люди
Еще когда я училась, на защитах дипломных работ со словом «риск» в названии почти всегда звучал один и тот же каверзный вопрос: какая единица измерения риска? Нужно было, не моргнув глазом, отвечать «деньги». В самом деле, риск — это же ущерб, умноженный…
👍12🔥2👌1
image_2024-11-12_10-47-09.png
71.6 KB
Две новости, и обе очень хорошие
Во-первых, вышел международный стандарт ISO 30141:2024 - Референсная архитектура интернета вещей, на который я ссылалась ранее, в посте об ISO 30149.
Во-вторых, приняли решение сделать этот стандарт бесплатным в электронной версии. Скачать можно на этой странице
Обзор будет)
Во-первых, вышел международный стандарт ISO 30141:2024 - Референсная архитектура интернета вещей, на который я ссылалась ранее, в посте об ISO 30149.
Во-вторых, приняли решение сделать этот стандарт бесплатным в электронной версии. Скачать можно на этой странице
Обзор будет)
🔥10👍8
Под елочку обещанный обзор международного стандарта ISO/IEC 30141:2024 Референсная архитектура интернета вещей.
Созданию стандарта предшествовали длительные дискуссии и параллельное обновление базового стандарта ISO/IEC/IEEE 42010, поэтому работа заняла много времени. Получившийся текст довольно компактный, всего 66 страниц, однако он дает достаточно полное понимание архитектурных аспектов интернета вещей в связке с разработкой и техническим управлением в этой области .
Я не стала пересказывать стандарт целиком, тем более, что он доступен бесплатно. Но я уделила внимание структуре и назначению стандарта, а также точке зрения на доверие. Каждый может ознакомиться с текстом в оригинале или с помощью онлайн-переводчика. Смею надеяться, что адаптированный стандарт выйдет когда-нибудь и у нас.
Читать обзор
Инструмент для лонгридов в телеграм запретил встроенные картинки, чтобы не гонять вас по ссылкам, я добавлю их в комментарии к посту.
Всех с наступающим Новым годом. Я уверена, нас ждет много интересного!
Созданию стандарта предшествовали длительные дискуссии и параллельное обновление базового стандарта ISO/IEC/IEEE 42010, поэтому работа заняла много времени. Получившийся текст довольно компактный, всего 66 страниц, однако он дает достаточно полное понимание архитектурных аспектов интернета вещей в связке с разработкой и техническим управлением в этой области .
Я не стала пересказывать стандарт целиком, тем более, что он доступен бесплатно. Но я уделила внимание структуре и назначению стандарта, а также точке зрения на доверие. Каждый может ознакомиться с текстом в оригинале или с помощью онлайн-переводчика. Смею надеяться, что адаптированный стандарт выйдет когда-нибудь и у нас.
Читать обзор
Инструмент для лонгридов в телеграм запретил встроенные картинки, чтобы не гонять вас по ссылкам, я добавлю их в комментарии к посту.
Всех с наступающим Новым годом. Я уверена, нас ждет много интересного!
🔥8👍2👌1
Конструктивная информационная безопасность:
эфир anti-malware.ru и очень неплохой обзор этого эфира по ссылке
эфир anti-malware.ru и очень неплохой обзор этого эфира по ссылке
👍6🔥1
Получился очень субъективный текст в интересном разговоре. Интервью как шанс заглянуть мне в голову.
Велкам
Велкам
Kaspersky ICS CERT | Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского»
«Конструктивная безопасность позволяет оставаться на шаг впереди» | Kaspersky ICS CERT
Эксперт «Лаборатории Касперского» — о роли профессионального сообщества в защите промышленных объектов, причинах проблем с безопасностью в динамично развивающихся отраслях, а также о влиянии цифровизации на общество.
👍10