Код ИБ  АКАДЕМИЯ 

Мастер-классы Код ИБ Академии: анонсы и записи

Как построить процесс безопасной разработки?

Рустем Хайретдинов

Генеральный директор компании Атак Киллер, вице-президент компании Инфовотч.

  • Выпускник Механико-математического факультета МГУ, кандидат экономических наук. В ИТ-индустрии почти 30 лет, в информационной безопасности с 2001 года
  • Участвовал в создании и продвижении на рынок российских ИТ- и ИБ- продуктов, реализовал более сотни проектов масштаба предприятия. 
  • Автор курсов, посвящённых различным аспектам взаимодействия информационной безопасности и бизнеса.
  • Преподает на курсах MBA в РАНХиГС при Президенте РФ, на курсах повышения квалификации сотрудников информационной безопасности ЦИБИТ, в корпоративных университетах.

Введение

Цифровизация привела к взрывному росту заказной разработки бизнес-приложений. Однако эта разработка совсем не похожа на классическую продуктовую разработку. 


Разработка "для себя" (in-house) принесла в жертву скорости разработки и гибкости изменений многие процессы, привычные для продуктовой разработки: 

  • управление роадмапом (срочная фича может прилететь в любой момент),
  • безопасность (пентестить каждую функцию – только замедлять выход на рынок) 
  • и даже подробное документирование программного обеспечения (только user stories).

Что делать, если вы хотите обеспечить безопасность заказных приложений, но у вас нет возможности перестроить процесс разработки? Затаиться до первого серьёзного инцидента и завести пластинку «а я вам говорил»! Или всё же можно что-то сделать as-is? 


На мастер-классе будут рассмотрены подходы к безопасности приложений, реально применяющиеся как в компаниях, бизнес которых построен вокруг приложений (финтех, интернет-сервисы), так и в тех компаниях, где ИТ выполняет служебную роль (офлайн-ритейл, государственное управление).


Будет рассмотрена практика построения процессов безопасной разработки как в компаниях на ранних уровнях зрелости, так и в зрелых компаниях: от первых шагов – постановка задачи, работа с заданиями, выбор методик и инструментов и т.п. до полного встраивания функций безопасности в процесс разработки.

Содержание мастер-класса

Безопасная разработка

  • Ландшафт бизнес-систем
  • Ответственность не консолидирована
  • Стоимость исправления уязвимостей на разных этапах разработки
  • Как есть / Как надо
  • Методология разработки: Waterfall / Agile
  • Традиционные этапы
  • Методология безопасной разработки

Снизу вверх:

  • От процесса разработки к защите
  • От защиты к безопасной разработке

Сверху вниз:

  • Требования по безопасности в процессе разработки
  • Техническое задание на разработку
  • Роли и документы
  • Подготовка конкурса
  • Заключение договора
  • Проектирование
  • Разработка
  • Тестирование
  • Релиз

Образцы документов

  • Модель угроз при безопасной разработке
  • План внедрения мер по безопасной разработке
  • Руководство по безопасной разработке ПО

Оформить доступ

Для просмотра записи данного мастер-класса, вам необходимо быть авторизованным на платформе, и оплатить доступ.


Срок доступа к материалам - 1 год с момента оплаты.

Счет на оплату по реквизитам вы сможете сформировать на странице оплаты



Для того чтобы оставить комментарий —
авторизуйтесь

Связанные статьи

Наш сайт использует cookie

Настоящий сайт использует файлы cookies. Используя настоящий сайт, вы соглашаетесь со сбором информации с помощью файлов cookies и условиями Политики конфиденциальности.