Безопасность закладывается с самого начала проекта, еще до практических шагов разработки и реализации. На самом старте необходимо ответить на вопрос: «Что значит „безопасность“ для этой конкретной системы?», каким требованиям должна соответствовать система и какие условия эксплуатации будут непосредственно влиять на ее безопасность.
Архитектура системы продумывается так, чтобы ее структура сама по себе препятствовала реализации угроз. Для этого используются лучшие практики, общепризнанные принципы безопасности, а также накопленные знания и опыт в сфере информационной безопасности, систематизированные в шаблоны.
Подбираются технологии и методы реализации (алгоритмы, фреймворки, платформы), которые имеют доказанные свойства безопасности и соответствуют поставленным целям.
На этапе программной реализации используются методики безопасной разработки. После чего проводятся проверки требований и выполняется подтверждение целей безопасности: статический и динамический анализ кода, тестирование на проникновение для оценки соответствия заложенным принципам.
Принципы КИБ не забываются после запуска. Безопасность оценивается и настраивается на протяжении всего жизненного цикла системы.
