Угрозы информационной безопасности производственного конвейера разработки ПО: выбираем меры нейтрализации / Comments / Habr

И смешались в одну кучу люди, лошади, повозки и все остальное. Коллега не вводите людей в заблуждение. "выбирать меры, которые помогут эти угрозы нейтрализовать.", нейтрализовать можно только противника с помощью оружия, и то когда вы знаете его в лицо. В остальном, когда мы говорим о безопасности, мы говорим о снижение рисков. Априори если ИС сопряжена с внешними системами т.е. не является 100% изолируемой, то ни о какой нейтрализации угроз не может быть и речи. ИМХО приведенная вами концепция нейтрализации угроз, как и то, что написано в законодательстве РФ, а то что у вас написано есть отражение нормативных документов РФ, к сожалению мало неадекватно реальности. Доказательство, постоянные утечки персональных данных, например, у Альфа-банка или СДЕК вот на днях ломанули. Проблема не в том, что специалисты по ИБ в РФ недостаточно грамотные. Проблема в другом, концепция построения ИБ систем в корне неверная, а точнее она устарела и неадекватна текущим реалиям. Гораздо лучшее понимание защиты отражено в руководящих документах Агентства Европейского союза по кибербезопасности (European Union Agency for Cybersecurity, ENISA). Например, руководство по организации защиты встраиваемых систем — Hardware Threat Landscape and Good Practice Guide (распространяется бесплатно). Существует различные методы и методологии, призванные помочь при моделировании угроз, включая STRIDE, DREAD, VAST, OCTAVE и многие другие, которые гораздо адекватнее чем то, что написано в отечественных нормативных документах по ИБ. Пост - Безопасность встраиваемых систем Linux. И сам по себе ваш "Попов офис с не скучными обоями" GitVerse сам по себе не обеспечивает никакую безопасность. Я что-то не увидел у вас описание концепции доверенного источника с точки зрения подтягивания библиотек. И цикла проверки и верификации библиотек для проекта с вашего GitVerse.