Екатерина Рудина, старший системный аналитик «Лаборатории Касперского».
Аналитик отдела защиты критической инфраструктуры Лаборатории Касперского и Kaspersky Lab ICS CERT в сфере исследования угроз и оценки рисков компьютерной и сетевой безопасности, а также реализации системных подходов в обеспечении безопасности информационных и киберфизических систем. Соавтор рекомендаций по безопасности IEEE, ITU, Industrial Internet Consortium и ряда национальных стандартов.
Операционная система обеспечивает базовый уровень безопасности устройства или решения, в основе которого она лежит. Различные решения и устройства предъявляют разные и часто не сравнимые между собой требования к безопасности, а значит и к ОС. Для разработчиков ОС и системного ПО важно предельно ясно описать не только реализуемые этим ПО функции безопасности, но и стратегию развития ПО, его поддержки и сопровождения от версии к версии.
Другим важным требованиям к базовому ПО является описание поддерживаемых им специфических аспектов применения (такие как исполнение в режиме реального времени), на которые не оказывают влияния должным образом реализованные механизмы безопасности, и ограничений (например, по требуемым аппаратным ресурсам).
Зрелая с точки зрения безопасности система характеризуется достаточным набором мер защиты, которые в то же самое время не влияют негативно на её функциональность. Модель зрелости безопасности интернета вещей (IoT Security Maturity Model, IoT SMM), разработанная Консорциумом промышленного интернета (Industrial Internet Consortium) при участии специалистов Лаборатории Касперского, предназначена для коммуникации требований безопасности к системам интернета вещей от представителей бизнеса к техническим специалистов. В докладе предлагается способ представления возможностей применения операционных систем на основе описания целевых профилей зрелости безопасности для этих операционных систем.
Модель зрелости безопасности подходит так же для установления, согласования и ограничения требований к целевой платформе в рамках технического задания, оценки состояния безопасности существующих систем относительно определенного профиля и неформальной оценки гарантий, предоставляемых системой относительно различных аспектов безопасности в течение ее жизненного цикла.
