Как строить базовые элементы SDLC?

Директор центра компетенций в Гарда Технологии

Член экспертных и рабочих групп при Минкомсвязи и ЦБ РФ, спикер профильных конференций по информационной безопасности, автор статей для отраслевых СМИ. Опыт работы в сфере информационной безопасности – более 10 лет. 

Свою карьеру начинал на стороне заказчика. Реализовал несколько крупных проектов по ИБ, работая в региональном интеграторе, прошел путь от инженера до начальника подразделения. Руководил коммерческим ИБ-направлением в телеком-операторе, решал задачи по развитию бизнеса в 13 регионах, выводил на рынок новые продукты. 

В данный момент руководит центром компетенций в отечественной компании – производителе средств защиты информации, участвует в формировании глобальной стратегии развития компании, оказывает экспертную поддержку ключевым клиентам на территории России и за рубежом. 

Компетенции: 

• Построение процессов информационной безопасности в организациях. 
• Проектирование и внедрение систем защиты персональных данных и государственных информационных систем. 
• Экспертное сопровождение ИБ-проектов и поддержка выстраивания стратегии кибербезопасности в крупных компаниях. 
• Комплексное управление внутренними потоками данных. 
• Поведенческая аналитика (UEBA). 
• Защита хранилищ данных. 
• Защита от DDOS-атак. 
• Безопасная разработка программного обеспечения (Security Development Lifecycle). 
• Соответствие российскому и международному законодательству в области обеспечения информационной безопасности.

Разработка безопасного программного обеспечения – объективное требование времени. В этом вопросе ориентироваться нужно, вне сомнений, на передовой опыт крупных игроков: Microsoft, Cisco, Google. 

Однако, производство софта – основной бизнес далеко не для всех компаний, да и на ИБ в целом бюджеты не безграничны. А еще постоянно ощущается «дыхание» регуляторов, которые ужесточают требования к безопасности программных продуктов. При этом ваши разработчики не будут рады вмешательству ИБ в процесс. 

Как соблюсти интересы всех сторон и построить SDLC в минимально приемлемом виде и силами двух безопасников? 

• Кому вообще нужна безопасная разработка. Примеры.
• Как понять, что безопасная разработка нужна именно вам. Критерии.
• Стандарты и лучшие практики. На что в первую очередь посмотреть, от чего отталкиваться обязательно, а что можно упростить. Пример.
• Как «правильно принять» решение о внедрении SDLC. Диалоги с разработчиками, продавцами, ИТ и даже юристами.
• Принято решение запускать SDLC. Первые шаги, с чего начать. Организационные вопросы.
• Какие бизнес-практики в компании помогают органичному внедрению SDLC. Ищем поддержку.
• Классика: интервью, аудит и понимание принятого процесса разработки. Инвентаризация инструментов разработки и автоматизации. Хорошие практики.
• Планирование ресурсов. Что придется делать самим, а что можно отдать на аутсорс.
• Мы – в России. Отталкиваемся от ГОСТ Р 56939-2016. Разобьем на 10 ключевых активностей и далее разберем каждый из них, с примерами инструментов и маппинга на существующий процесс разработки.
• Bug bounty. Базовая мера. Серьезно? Вполне возможно.
• Как и зачем проходить внешние аудиты и проверки в части SDLC.
• Работа с запросами клиентов. У вас дыра в безопасности?
• Реальные бенефиты от внедрения SDLC.
• Вошли во вкус или расширили бюджет? Варианты развития SDLC.