Журнал "Information Security/ Информационная безопасность" #5, 2021

– Как совместить при- кладную функциональ- ность и безопасность? – Правильный ответ может быть лишь один: только инве- стируя деньги и время в без- опасность. Многим кажется, что уклон в сторону безопасности негативно сказывается на эффективности решений и удоб- стве пользователей. По нашему опыту, это совсем не так. Мы создаем приложения, которые дают разумный ком- промисс между функциональ- ностью и безопасностью. Этого можно добиться, если своевре- менно получать обратную связь от команд UX-/UI-дизайнеров, менеджеров продукта и разра- ботчиков. Поиск разумных ком- промиссов позволяет реализо- вывать механизмы безопасно- сти, способные предотвращать все основные варианты целевых атак без ущерба для комфорт- ной работы пользователей. – Каким образом вы собираете и приоритизи- руете требования по раз- витию механизмов обес- печения безопасности информации? – Мы применяем четыре основных подхода, которые поз- воляют создавать безопасные решения и предлагать их нашим пользователям: l требования, которые нам предъявляет рынок и регуляторы; l потребности наших заказчи- ков; l анализ современного ланд- шафта угроз безопасности; l моделирование угроз и веро- ятного нарушителя. Наши продукты эксплуати- руются в информационных системах с повышенными тре- бованиями по безопасности, поэтому мы также внимательно изучаем потребности наших заказчиков, как действующих, так и потенциальных. Этот фак- тор оказывает наибольшее влияние на приоритет тех или иных работ по развитию функ- циональности технологий без- опасности. Например, нам часто требуется обеспечить интегра- цию наших подсистем с учетом особых требований заказчиков в части обеспечения ИБ. Мы также понимаем, что зло- умышленники развиваются и постоянно совершенствуют свои навыки. Они стремятся находить и изобретать все более сложные способы компрометации про- граммного обеспечения и информационных систем. Про- ведение анализа современного ландшафта угроз безопасности позволяет эффективнее проти- водействовать существующим и потенциальным вызовам. – Как сделать разработ- чиков союзниками в сле- довании принципам без- опасной  разработки? Какие меры для этой цели лучше работают – органи- зационные, финансовые или технологические? – Если посмотреть на успеш- ные технологические компании, то можно заметить, что каждая из них пытается найти свой путь. Для МойОфис наиболее эффективным стало повышение осведомленности разработчи- ков и людей, которые причастны к созданию продуктов. Мы также серьезно занимаемся формированием института secu- rity-чемпионов в производствен- ных командах. Благодаря этому мы не только решаем формаль- ные задачи, но и помогаем сотрудникам с дальнейшим раз- витием в области информа- ционной безопасности. – Можно ли вырастить security-чемпиона в коман- де или лучше искать его на рынке труда? – На этот вопрос нет одно- значного ответа. С одной сто- роны, security-чемпионов необходимо растить именно внутри своей организации. Мой опыт показывает, что в коман- дах достаточно сложно прижи- ваются люди с иными задачами, отличающимися от основной ветки разработки. Например, если команда нацелена на мак- симально быстрый выпуск рели- зов, то внешнему человеку с экспертизой в области инфор- мационной безопасности будет тяжело адаптироваться в ней. Такой сотрудник будет испыты- вать трудности с приоритиза- цией задач, в результате чего станет хуже восприниматься командой. Другое дело, когда такой человек растет внутри команды и уже обладает некоторым уров- нем доверия со стороны коллег: он понимает, как устроен про- дукт, и стремится сделать его более безопасным. Человек с таким путем развития очень корректно и эффективно вос- принимает все новое, что пред- лагает компания. Поэтому командами с такими сотрудни- ками проще управлять, они работают эффективнее и спо- собны быстрее реализовывать нужные функции безопасности. – При каких условиях процесс  разработки можно считать гарантией безопасного продукта? – Наличие DevSecOps-прак- тик и инструментов в рамках производства значительно сни- жает количество ошибок, кото- рые связаны с информационной безопасностью. Но и при этом исключить их полностью не получится. Точно так же, как проведение пентестов и аудитов в рамках выходного тестирова- ния не снижает до нуля количе- ство возможных инцидентов и угроз. Чтобы сделать продукт по- настоящему безопасным, потре- буется перестроить процесс производства. Необходимо добиться ситуации, когда все участники процесса, владельцы бизнеса, менеджеры продукта и разработчики тех или иных функций будут одинаково хоро- шо понимать конкретную задачу информационной безопасности. Это поможет каждому из них лучше выполнять свою работу и, таким образом, улучшать параметры безопасности того продукта, который они делают совместно. Очевидно, что потребуются дополнительные инвестиции времени и усилий в выстраивание подобных про- цессов. Если компании удается добиться слаженного взаимо- действия подразделений в вопросах проектирования функ- ций безопасности, то постанов- ка задач значительно упроща- ется, особенно если необходимо проектировать интерфейсы с учетом возможных нарушений требований информационной безопасности. Отдельную роль в этом про- цессе играют подразделения информационной безопасности, которые должны стать в компа- нии звеном, связывающим все процессы в единую, сквозную историю. Только в таком случае можно будет говорить, что про- дукт соответствует самым высо- ким критериям качества с точки зрения информационной без- опасности. l • 49 БЕЗОПАСНАЯ РАЗРАБОТКА www.itsec.ru Мы создаем приложения, которые дают разумный компромисс между функцио- нальностью и безопас- ностью. Наличие DevSecOps- практик и инструментов в рамках производства значительно снижает коли- чество ошибок, которые свя- заны с информационной безопасностью. Необходимо добиться ситуации, когда все участни- ки процесса, владельцы бизнеса, менеджеры про- дукта и разработчики тех или иных функций будут одинаково хорошо понимать конкретную задачу инфор- мационной безопасности. Ваше мнение и вопросы присылайте по адресу is@groteck.ru