
Рустем Хайретдинов
Генеральный директор компании Атак Киллер, вице-президент компании Инфовотч.
- Выпускник Механико-математического факультета МГУ, кандидат экономических наук. В ИТ-индустрии почти 30 лет, в информационной безопасности с 2001 года
- Участвовал в создании и продвижении на рынок российских ИТ- и ИБ- продуктов, реализовал более сотни проектов масштаба предприятия.
- Автор курсов, посвящённых различным аспектам взаимодействия информационной безопасности и бизнеса.
- Преподает на курсах MBA в РАНХиГС при Президенте РФ, на курсах повышения квалификации сотрудников информационной безопасности ЦИБИТ, в корпоративных университетах.
Введение
Цифровизация привела к взрывному росту заказной разработки бизнес-приложений. Однако эта разработка совсем не похожа на классическую продуктовую разработку.
Разработка "для себя" (in-house) принесла в жертву скорости разработки и гибкости изменений многие процессы, привычные для продуктовой разработки:
- управление роадмапом (срочная фича может прилететь в любой момент),
- безопасность (пентестить каждую функцию – только замедлять выход на рынок)
- и даже подробное документирование программного обеспечения (только user stories).
Что делать, если вы хотите обеспечить безопасность заказных приложений, но у вас нет возможности перестроить процесс разработки? Затаиться до первого серьёзного инцидента и завести пластинку «а я вам говорил»! Или всё же можно что-то сделать as-is?
На мастер-классе будут рассмотрены подходы к безопасности приложений, реально применяющиеся как в компаниях, бизнес которых построен вокруг приложений (финтех, интернет-сервисы), так и в тех компаниях, где ИТ выполняет служебную роль (офлайн-ритейл, государственное управление).
Будет рассмотрена практика построения процессов безопасной разработки как в компаниях на ранних уровнях зрелости, так и в зрелых компаниях: от первых шагов – постановка задачи, работа с заданиями, выбор методик и инструментов и т.п. до полного встраивания функций безопасности в процесс разработки.
Содержание мастер-класса
Безопасная разработка
- Ландшафт бизнес-систем
- Ответственность не консолидирована
- Стоимость исправления уязвимостей на разных этапах разработки
- Как есть / Как надо
- Методология разработки: Waterfall / Agile
- Традиционные этапы
- Методология безопасной разработки
Снизу вверх:
- От процесса разработки к защите
- От защиты к безопасной разработке
Сверху вниз:
- Требования по безопасности в процессе разработки
- Техническое задание на разработку
- Роли и документы
- Подготовка конкурса
- Заключение договора
- Проектирование
- Разработка
- Тестирование
- Релиз
Образцы документов
- Модель угроз при безопасной разработке
- План внедрения мер по безопасной разработке
- Руководство по безопасной разработке ПО
Наш сайт использует cookie
Настоящий сайт использует файлы cookies. Используя настоящий сайт, вы соглашаетесь со сбором информации с помощью файлов cookies и условиями Политики конфиденциальности.
Код ИБ АКАДЕМИЯ
academy@codeib.ru
+7 (800) 511-07-26
авторизуйтесь