Конструктивная информационная безопасность

Это подход к обеспечению информационной безопасности (ИБ), который предусматривает ИБ системы как ее неотъемлемое свойство, начиная с момента ее замысла, и способствует реализации и поддержанию этого свойства на протяжении всей жизни системы. Цели информационной безопасности закладываются в соответствии с назначением системы и областью ее применения.

Безопасность учитывается с момента замысла системы

Цели безопасности определяются в соответствии с задачами системы и угрозами безопасности

Используются проверенные методы, архитектурные решения и технологии

Безопасность проверяется и уточняется на каждом этапе разработки и эксплуатации

Отличия от других подходов:

Безопасная разработка

Часть конструктивного подхода, но ограничена рамками ПО

Харденинг (укрепление безопасности)

Дополняет конструктивные методы, но не заменяет их

Безопасность «в силу архитектуры»

Важный аспект, но недостаточный без корректной реализации и технологий

Почему это важно?

Традиционные методы защиты, такие как антивирусы или межсетевые экраны, не всегда могут полностью предотвратить атаки, особенно в условиях растущей сложности систем.

Конструктивный подход позволяет:

снизить количество уязвимостей в архитектуре, программном коде и настройках системы;
снизить потребность в дополнительных средствах защиты;
снизить избыточную сложность системы и затраты на её обслуживание;
уменьшить количество ошибок и сбоев, которые часто возникают из-за этой сложности.

Для чего применяется?

Подход применим к любым цифровым продуктам и системам:

объекты критической инфраструктуры (энергетика, транспорт, промышленность)
телекоммуникационные системы
системы автоматизации (автоматизация зданий, предприятий общественного питания, торговые аппараты)
системы Интернета вещей (IoT), бытовые устройства и приборы

Применение конструктивной безопасности