✔️ «Формирование и поддержание в актуальном состоянии правил кодирования»

В системах с конструктивной информационной безопасностью мы выделяем и особенно тщательно разрабатываем критичный код — код, компрометация которого повлечёт нарушение целей безопасности.

И, если о методике проектирования, моделировании угроз и построении архитектуры, мы рассказываем достаточно часто, то об особенностях кодирования компонентов, благонадёжность которых нам необходима, информации не так много.

Участники цикла «Вокруг РБПО за 25 вебинаров» в рамках обучения разработке безопасного программного обеспечения от PVS-Studio и учебного центра Маском совместно с Анной Мелеховой, старшим архитектором программного обеспечения отдела развития архитектуры операционной системы KasperskyOS, обсудили формирование и поддержание в актуальном состоянии правил кодирования.

Смотрите на RuTube, комментируйте ниже 👇

🎁А вот и подарок к предстоящему Новому Году: вышел релиз #KasperskyOS Community Edition SDK 1.4!

И что же ждет вас нового в наступающем в версии 1.4 ⛄️:
🟢Поддержка QEMU выделена в отдельный SDK. Теперь поставляется три SDK: Qemu, RaspberryPi4b, RadxaRock3a
🟢Расширен список поддерживаемых драйверов для платформ Raspberry Pi 4 Model B и Radxa ROCK 3A. Например, добавлена поддержка FrameBuffer для запуска решений с графикой
🟢Добавлен компонент Dump Collector, который позволяет при аварийном завершении процесса формировать дампы
🟢Добавлен компонент Kaspersky Control Flow Monitor, предназначенный для мониторинга и контроля работоспособности процессов посредством контроля потока управления
🟢Добавлена поддержка USB-камеры и USB-модема
🟢Реализована поддержка терминала через компонент Toybox, который представляет собой вариант реализации утилиты командной строки toybox, адаптированный для работы в KasperskyOS
🟢и многое другое ⭐️

Более детально с новой функциональностью KasperskyOS Community Edition SDK 1.4 можно ознакомиться в документации
➡️https://support.kaspersky.com/help/KCE/1.4/ru-RU/whats_new.htm.

Заходите на наш сайт, скачивайте новую версию SDK и пробуйте с ней работать.
Уверены, это будет увлекательно! 🎅

8-9 октября 2025 года состоялась конференция «Встраиваемые системы реального времени 2025», где с докладом «Применение шаблона проектирования ПО Policy Enforcement Point в операционных системах» выступил Андрей Щурихин, разработчик команды KasperskyOS Community Edition «Лаборатории Касперского».

Шаблон Policy Decision Point предполагает инкапсуляцию вычисления решений на основе методов моделей безопасности в отдельный компонент системы, который обеспечивает выполнение этих методов безопасности в полном объеме и в правильной последовательности.

В докладе:
▪️Что такое Policy Enforcement Point (PEP)
▪️Как реализован PEP в операционных
системах
▪️Реализация PEP в userspace
▪️Реализация PEP в «Нейтрино»

Смотрите видео на RuTube
Презентация 👉 по ссылке

💯 Сказ о том, как мы научили преподавателей генерировать учебные задачи на кибериммунную разработку, чтобы усложнить и без того нелегкую жизнь студентов.

Оказывается, стрелочка с нейронками в обучении поворачивается в обе стороны! 😄 И в декабре мы провели обучающую сессию для преподавателей, которые учат студентов создавать безопасные системы. И да, тема была не про пароли и двухфакторку. Речь — о конструктивной информационной безопасности: как придумывать учебные задачи по проектированию систем с конструктивной информационной безопасностью.

Ладно, тяжело в учении — легко потом создавать кибериммунные системы, где защита встроена с самого начала, а не прикручена в конце как «антивирус на флешке».

✨Гвоздём программы был телеграм-бот, который по одной фразе (с использованием модной LLM технологии) предлагал уже готовую идею учебной задачи. В этой заготовке бот описывал целевую систему, контекст, активы, ущербы, возможную архитектуру (в формате plantuml) и даже набросок программной реализации на Python!

Преподаватели, которые в этот раз были в роли студентов, смогли попрактиковаться в применении нового инструмента: каждый из участников адаптировал задачи под свой курс, а некоторые сразу же протестировал идею на кошках своих студентах 🤪.

Мы получили получили 100% оценку «полезно» и «очень полезно» от участников обучающей сессии. Что, признаться, греет душу 🤗.

Что дальше?
🟢Улучшаем бота: добавим поддержку разных уровней сложности, шаблоны для экзаменов, интеграцию с LMS
🟢Думаем о механизмах стимулирования: ведь чем больше качественных задач — тем интереснее учиться
🟢Планируем серию воркшопов для других вузов и колледжей

➡️Следите за новостями и пишите, если хотите узнать, как внедрить такой инструмент у себя.

Тема конструктивной информационной безопасности перестает быть лишь академическим концептом. Сегодня это — практический инструмент для тех, кто разрабатывает конструктивно-защищенные системы, в том числе для объектов КИИ.

⚡️На ближайшей молодежной подсекции конференции «Нефть и Газ» открыт приём докладов по теме: «Применение методов конструктивной безопасности для повышения защищенности КИИ в ТЭК. Адаптация подходов для систем автоматизации».

⏰ СРОК ДО 28 ДЕКАБРЯ
Подробности — на сайте: https://neftegaz.gubkin.ru/o-forume/neftigaz

Если
➕вам до 35 лет включительно,
➕вы учащийся среднего, средне-специального и высшего образовательных учреждений,
🟰вы можете выступить на Конференции в качестве автора и/или соавтора доклада.

Для этого необходимо заполнить заявку на участие по ссылке и прикрепить тезисы доклада и статью (при наличии). Результаты отбора и Программа конференции будут опубликованы на сайте до 01 марта 2026 года.

А, если вам пока нечего сказать на эту тему, но есть желание послушать, вы можете присоединиться к Конференции в качестве «Слушателя» до 07 апреля 2026 г.

💪 Давайте уже сместим фокус обсуждения с «как мы ловим хакеров» на «как мы строим системы, которые они не могут сломать».

Подать заявку по ссылке: https://neftegaz.gubkin.ru/o-forume/neftigaz

🎅 Под занавес 2025 — немного науки про кибериммунитет
Кибериммунный подход — это не только обучение и хакатоны. В этом году у ребят было много именно научных активностей: статьи, доклады, демонстрации и инженерная практика.

⛄️ Что делали наши герои в 2025 году:
🔴подготовили научную публикацию про применение кибериммунного подхода при проектировании автономного робота доставки «Новые компетенции цифровой реальности» (как secure-by-design влияет на архитектуру и сценарии атаки);

🔴подготовили работу про киберустойчивую систему визуальной навигации для автономной робототехники (когда важна устойчивость системы даже при компрометации отдельных компонентов);

🔴представляли лабораторию кибериммунного подхода своего ВУЗа и результаты на крупной профильной площадке «РЕЛАВЭКСПО-2025» — показывали, как кибериммунность переводится из принципов в инженерные решения;

🔴делали доклад на конференции по автоматизации/ИТ в промышленности и энергетике «FRUCT-35»: где кибериммунный подход помогает не “догонять угрозы”, а изначально ограничивать поверхность атаки и последствия компрометации;

🔴участвовали в инженерной практике/соревнованиях по кибериммунной автономности «Архипелаг‑2025» (там, где нужно доказать устойчивость решения не словами, а работой системы в условиях ограничений и угроз).

✨ Важная новость про CPI
Теперь CPI начисляются не только за обучение/курсы/хакатоны, но и за научные выступления и публикации по теме кибериммунитета. И логика простая: чем выше уровень площадки (мероприятия) или журнала — тем больше CPI.

🎅 А теперь — вопрос к вам, читатель: а что вас лично цепляет в кибериммунном подходе — наука или практика, или и то и другое?

Например: формализация процесса синтеза ценностей и негативных сценариев, построение архитектуры с требуемым уровнем изоляции, default deny во взаимодействиях или что-то другое.

Расскажите 2–3 предложениями — реально интересно собрать живой опыт 👇

2025, давай! До свидания!
А точнее — прощай 👋

Это был очень насыщенный год:
🟢ЛЦТ.Фест 2025
🟢Архипелаг
🟢Национальная технологическая олимпиада
🟢Хакатон мэра Москвы
🟢и много-много тренингов и учебных олимпиад в разных ВУЗах России 👍

И, знаете, 2026 обещает быть не менее интересным! 🙋‍♀️
Ведь с каждым годом важность компетенции «Конструктивная безопасность» и кибериммунного подхода к проектированию систем только растет!

Ну, а мы всегда рядом: и подскажем, и научим, и объясним, почему это должно быть так, а не иначе!
До встречи в наступающем 2026 году 😎

Хей! Да-да, ты, кто нашел в себе силы подняться из-за стола и полистать ленту в телеге — ты герой 🫵

Привет!!! В этом году еще не виделись! Поиграем? 😉

Мы попросили ИИ нарисовать картинку по актуальным инфоповодам из мира кибербеза и ключевым шаблонам СКИБ. Вышло… неоднозначно 🤓

Сможешь разгадать:
1️⃣— какой инфоповод тут зашифрован?
2️⃣— какой шаблон/принцип СКИБ (или несколько) он иллюстрирует?
Ждём ваши версии в комментариях 🍿

Автор лучшей расшифровки получит мерч ✨
Итоги подведем в первый рабочий день нового года.

😄 оригинальный запрос был, конечно, другим:

Нарисуй новогоднюю деревню с проводным интернетом и довольным сисадмином, обыграй в картинке монитор безопасности как шаблон проектирования систем с конструктивной информационной безопасностью

но версия Юрия Шишкина, нашего менеджера образовательных программ (и по совместительству технаря-перфекциониста), которой мы поделились выше, — шикарна! Недаром именно он — наш внутренний «переводчик со СКИБ на человеческий» 😄

Но мерч ему не достанется, потому что это наш сотрудник 😜

А у вас до 12.01 еще есть все шансы! Видим, что все ещё входите в рабочий режим после праздников, а потому — держите вторую картинку — чуть более прицельный ребус.

Условия те же, мерч — тот же 😄🎁

Не будем вас мучить и дадим верный ответ — ТЗ, которое мы поставили перед ИИ, и которую он трансформировал в картинку 🙃.

Это визуальная метафора шаблона «Безопасное обновление» и иллюстрация атаки на цепочку поставок:
🟢Дед Мороз = доверенный поставщик/вендор и (условно) сервер обновлений.
🟢Коробка с печатью/пломбой = подписанный, проверяемый артефакт обновления (целостность/аутентичность/актуальность).
🟢Лис, который крадётся, чтобы подменить коробку = нарушитель, пытающийся выполнить подмену обновления (подмена поставки).
🟢Коробка «с вирусом» = зловредное/некорректное обновление, которое система должна отвергнуть, сохранив безопасное состояние.
🟢В стандарте есть отдельный шаблон А.10 «Безопасное обновление»: он «предназначен для организации безопасного обновления … через канал связи с удаленным сервером обновлений», а цели безопасности включают «обеспечение целостности и аутентичности данных обновлений … при доставке через сети общего доступа».

То есть «подарок-обновление, доставленный по неидеальному каналу» — буквально иллюстрация назначения и ЦБ шаблона.

Какие требования СКИБ зашиты в сюжете:
1️⃣Подмена обновления должна ломаться о проверку подлинности и целостности
2️⃣Шаблон «Безопасное обновление» требует, чтобы реализация:
🟢аутентифицировала сервер обновлений,
🟢проверяла целостность, аутентичность и актуальность обновления
🟢и поддерживала откат.

Сюжет ровно об этом: лис пытается подменить артефакт, но «правильная» система не поставит обновление, пока не пройдены проверки.

Почему это именно про кибериммунитет (а не просто антивирус)?
Ключевое здесь: система должна быть устроена так, чтобы при атаке на поставку/канал не происходило перехода в опасное состояние. ГОСТ вводит понятие «доверенной системы»: это система, для которой обосновано соответствие целям безопасности при условии выполнения предположений безопасности.

А в шаблоне «Безопасное обновление» даже указано, что «предположения безопасности отсутствуют» — то есть он проектируется так, чтобы опираться на проверяемые механизмы, а не на «надежду, что по дороге никто не подменит».

И еще одна картинка для конкурса: ответ на задачу скрыт за двумя ключиками под ковриком 😉

Вопрос тот же:
Мы попросили ИИ нарисовать картинку по актуальным инфоповодам из мира кибербеза и ключевым шаблонам СКИБ:
1️⃣— какой инфоповод тут зашифрован?
2️⃣— какой шаблон/принцип СКИБ (или несколько) он иллюстрирует?
Ждём ваши версии в комментариях 🍿

Автор лучшей расшифровки получит мерч ✨