Security by Design vs кибериммунитет (и известная история про зайцев)

Для проблем, связанных с существующими подходами к кибербезопасности, идеология Secure by Design предлагает простое и элегантное концептуальное решение. Оно звучит так: кибербезопасность должна быть не дополнительной деталью или нефункциональным требованием (вроде удобства использования, оно же usability, которое, очевидно, не приоритетно для разработчиков), а неотъемлемым свойством системы.

При этом идеология Security by Design и ее описания в различных документах напоминают известный анекдот про зайцев, ежиков и мудрую сову. Вот его свободная и краткая интерпретация.

1. Жили-были в лесу зайцы, и их все обижали. Как-то пошли они к мудрой сове за советом.
2. Сова подумала и говорит: «А вы станьте ежиками Secure by Design, вас никто и обижать не будет».
3. Зайцам совет понравился. «Но… как же нам стать ежиками Secure by Design?» — спросили они.
4. «Вы меня ерундой не грузите, я стратегией занимаюсь, а тактика — это не ко мне», — ответила сова.

Другими словами, идеология Security by Design сама по себе не предлагает никаких инструкций, которым нужно следовать для реализации такой «врожденной» защиты.

Это то, что делает кибериммунитет. Он привносит конкретику:

1. Конкретная методология: как именно организовать процесс разработки и какие результаты необходимы на каждом этапе.
2. Требования к дизайну: как именно должна быть спроектирована система, чтобы реализовать подход Security by Design экономически эффективным способом.

Больше про кибериммунный подход читайте здесь и в следующих постах.

Вдохновлено историей Алексея Матюшина, старшего аналитика по безопасности «Лаборатории Касперского».