Журнал "Information Security/ Информационная безопасность" #3, 2023
• 41 БезОпасная разраБОтКа www.itsec.ru Марк Коренберг, CTO ООО “Айдеко” Организация: российский производитель межсетевых экранов, активный участник российских сообществ по без- опасной разработке Ключевые направления деятельности: межсетевой экран Ideco UTM, программно-аппаратные комплексы и про- граммные решения Не нужно ждать, когда грянет гром. Начинайте заранее по чуть-чуть имплементировать SDL, тогда в будущем вы столкнетесь с куда меньшим объемом рисков и куда проще и менее болезненно сможете построить SDL. Всту- пайте в сообщества, там много дружелюбных людей, кото- рые помогут советом и сильно сэкономят вам время. Ну и не стоит рассматривать SDL как обузу. На самом деле выполнение этих требований значительно повышает без- опасность продуктов, которые вы делаете. Оксана Новослугина, начальник управления информационной безопасности, Санкт-Петербургский инфор- мационно-аналитический центр Организация: разработка и реализация информационных и информационно-аналитических проектов в различных пред- метных областях Ключевые направления деятельности: создание, сопровождение и системная интеграция информационных и информационно-аналитических систем Санкт-Петербурга Один из советов: не попадать в "отраслевые колодцы". А именно: понимать, что все процессы взаимосвязаны и обмен информацией между различными службами и под- разделениями очень важен при создании качественного продукта и поддержания высокого уровня сервиса. Карина Нападовская, руководитель Центра сертификации и соответствия стандартам АО “Лаборатория Касперского” Организация: международная компания, работающая в сфере информационной безопасности и цифровой приватности более 25 лет Ключевые направления деятельности: передо- вая защита конечных устройств, специализированные решения и сервисы для борьбы со сложными киберугро- зами Давайте вместе идти в правильное, безопасное буду- щее! У нас все есть: технологии, люди, нормативка. Главное – желание. Безопасная разработка требует вовлеченности всей организации. Поддержка руководства критична, она демонстрирует, что безопасность является приоритетом на всех уровнях компании. У каждого из нас должно быть общее понимание безопасности, чтобы идти к единой цели. Наличие "чемпионов безопасности" в каждом подразделении укрепляет эту культуру, обес- печивая наличие специалистов, которые поддерживают и продвигают безопасность на практике. Нам нужна без- опасная разработка! И я надеюсь, что в скором времени она будет играть ключевую роль для культуры безопас- ности в каждой организации! Иван Панченко, заместитель генерального директора ООО “Постгрес Профессиональный” Организация: российский разработчик СУБД Ключевые направления деятельности: СУБД Postgres Pro Важно, чтобы внедрение SDL было осмысленным. Вы можете потратить на него огромные ресурсы без какого- либо полезного выхода. Надо не забывать про анализ поверхностей атаки и построение модели угроз, на осно- вании которой можно оптимально спланировать меро- приятия SDL. Владимир Пономарев, заместитель генерального директора компании “Гарда Технологии” Организация: российский разработчик систем инфор- мационной безопасности и высокоскоростной обработки трафика Ключевые направления деятельности: DBF, маски- рование, DCAP, DLP, NDR, anti-DDoS, Threat Intelligence, Гарда Deception, Гарда Аналитика, DPI, PCEF У тех, кто читает наше обсуждение, скорее всего, уже есть понимание процесса или даже внедренный SDL, иначе уже слишком поздно (шутка). Тем не менее если вы решили, что SDL вам действительно нужен, то важно знать, что это не бесплатно. По моим оценкам, можно смело прибавлять 7–10% к текущим затратам на разработку. Смотрите на безопасную разработку как на неотъемлемую часть всего процесса, вовлекайте ваши команды, усили- вайте экспертизу – положительный результат не заставит себя ждать.
Made with FlippingBook
RkJQdWJsaXNoZXIy Mzk4NzYw