Журнал "Information Security/ Информационная безопасность" #3, 2023

• 39 БезОпасная разраБОтКа www.itsec.ru Валерий Богдашов, исполнительный директор компании R-Vision Организация: разработчик систем кибербезопасности Ключевые направления деятельности: системы TIP, TDP, SOAR, SGRC, CERS, UEBA, Endpoint Главный совет: не стоит бояться и откладывать внедрение практик безопасной разработки, тем более на первых эта- пах этот процесс не требует больших ресурсов. И для нивелирования основных угроз можно обойтись без доро- гостоящих коммерческих инструментов, которые исполь- зуются в процессе безопасной разработки, применяя Open Source (например, сканеры кода, ПО для фаззинга и др.). Чем раньше начнется внедрение практик безопасной раз- работки, тем менее затратной будет реализация и управ- ление жизненным циклом ПО, ведь исправлять обнару- женные уязвимости на стадии разработки продукта намного проще и дешевле, чем исправлять их уже в разработанном функционале. Роман Борзов, ведущий инженер ООО НТЦ “Фобос-НТ” Андрей Кузнецов, Заместитель руководителя центра внедрения и развития практик РБПО ООО НТЦ “Фобос-НТ” Организация: испытательная лаборатория ФСТЭК, ФСБ, МО Ключевые направления деятельности: внедрение процедур разработки безопасного ПО, подготовка продуктов к сертификации, сертификационные испытания Периодичный аудит процессов безопасной разработки как внутренний, так и внешний выявляет актуальность существую- щих процессов, дает возможность не застаиваться и разви- ваться уже внедренным процедурам и практикам, не позволяя им превратиться в болото бесконечных совещаний. Екатерина Вайц, заместитель заведующего кафедрой ИУ10 “Защита информации” МГТУ им. Н.Э. Баумана Организация: кафедра ИУ10 "Защита информации" МГТУ им. Н.Э. Баумана, испытательная лаборатория ФСТЭК России Ключевые направления деятельности: подготовка и переподготовка специалистов по направлению "Техническая защита информации" Внедрение практик SDL, улучшение используемых инструментов и методик возможны только благодаря достаточному количеству квалифицированных кадров в масштабах нашей страны. Мы как университет работаем над этой задачей. Но без качественного вклада промышленности в учебный процесс за счет привлечения практикующих профильных специа- листов преподавателями наших усилий будет недостаточно. Цель у нас общая, и мы призываем двигаться к ней вместе, ведь сложно поспорить с тем, что "кадры решают все". Сергей Деев, руководитель продукта по управлению безопасной разработкой компании МТС RED Организация: экосистема технологий, сервисов и услуг кибербезопасности для решения задач в части снижения киберрисков Ключевые направления деятельности: сервисы SOC, Anti-DDoS, Continuous Penetration Testing, Digital Forensics В последний год мы видим, что отечественные органи- зации (государственные и коммерческие) находятся под прицелом злоумышленников по региональному признаку. Утрачено доверие к иностранным решениям и Open Source из-за многочисленных случаев внедрения НДВ, активируемых в России, и одностороннего прекращения сотрудничества. В ответ на это компании прибегают как к усилению мер ИБ, так и к применению практик безопасной разработки. Здесь важно не оставлять организации наедине с пробле- мами. Регуляторы уже многое делают для обеспечения компаний методической поддержкой. При этом экс- пертам отрасли ИБ важно делиться опытом с коллега- ми, которые только встали на путь внедрения SDL. Прекрасным примером такого сотрудничества является сообщество "Безопасная разработка". Участники круглого стола