Роман Жуков
Директор центра компетенций в Гарда Технологии
Член экспертных и рабочих групп при Минкомсвязи и ЦБ РФ, спикер профильных конференций по информационной безопасности, автор статей для отраслевых СМИ. Опыт работы в сфере информационной безопасности – более 10 лет.
Свою карьеру начинал на стороне заказчика. Реализовал несколько крупных проектов по ИБ, работая в региональном интеграторе, прошел путь от инженера до начальника подразделения. Руководил коммерческим ИБ-направлением в телеком-операторе, решал задачи по развитию бизнеса в 13 регионах, выводил на рынок новые продукты.
В данный момент руководит центром компетенций в отечественной компании – производителе средств защиты информации, участвует в формировании глобальной стратегии развития компании, оказывает экспертную поддержку ключевым клиентам на территории России и за рубежом.
Компетенции:
- Построение процессов информационной безопасности в организациях.
- Проектирование и внедрение систем защиты персональных данных и государственных информационных систем.
- Экспертное сопровождение ИБ-проектов и поддержка выстраивания стратегии кибербезопасности в крупных компаниях.
- Комплексное управление внутренними потоками данных.
- Поведенческая аналитика (UEBA).
- Защита хранилищ данных.
- Защита от DDOS-атак.
- Безопасная разработка программного обеспечения (Security Development Lifecycle).
- Соответствие российскому и международному законодательству в области обеспечения информационной безопасности.
Введение
Разработка безопасного программного обеспечения – объективное требование времени. В этом вопросе ориентироваться нужно, вне сомнений, на передовой опыт крупных игроков: Microsoft, Cisco, Google.
Однако, производство софта – основной бизнес далеко не для всех компаний, да и на ИБ в целом бюджеты не безграничны. А еще постоянно ощущается «дыхание» регуляторов, которые ужесточают требования к безопасности программных продуктов. При этом ваши разработчики не будут рады вмешательству ИБ в процесс.
Как соблюсти интересы всех сторон и построить SDLC в минимально приемлемом виде и силами двух безопасников?
Содержание мастер-класса
- Кому вообще нужна безопасная разработка. Примеры.
- Как понять, что безопасная разработка нужна именно вам. Критерии.
- Стандарты и лучшие практики. На что в первую очередь посмотреть, от чего отталкиваться обязательно, а что можно упростить. Пример.
- Как «правильно принять» решение о внедрении SDLC. Диалоги с разработчиками, продавцами, ИТ и даже юристами.
- Принято решение запускать SDLC. Первые шаги, с чего начать. Организационные вопросы.
- Какие бизнес-практики в компании помогают органичному внедрению SDLC. Ищем поддержку.
- Классика: интервью, аудит и понимание принятого процесса разработки. Инвентаризация инструментов разработки и автоматизации. Хорошие практики.
- Планирование ресурсов. Что придется делать самим, а что можно отдать на аутсорс.
- Мы – в России. Отталкиваемся от ГОСТ Р 56939-2016. Разобьем на 10 ключевых активностей и далее разберем каждый из них, с примерами инструментов и маппинга на существующий процесс разработки.
- Bug bounty. Базовая мера. Серьезно? Вполне возможно.
- Как и зачем проходить внешние аудиты и проверки в части SDLC.
- Работа с запросами клиентов. У вас дыра в безопасности?
- Реальные бенефиты от внедрения SDLC.
- Вошли во вкус или расширили бюджет? Варианты развития SDLC.
Наш сайт использует cookie
Настоящий сайт использует файлы cookies. Используя настоящий сайт, вы соглашаетесь со сбором информации с помощью файлов cookies и условиями Политики конфиденциальности.
Код ИБ АКАДЕМИЯ
academy@codeib.ru
+7 (800) 511-07-26
авторизуйтесь