Сегодня стандарты регуляторов, предписывающие внедрение процесса безопасной разработки на промышленных предприятиях, содержат достаточно общие формулировки требований безопасности.
Возникает вопрос: откуда специалистам по ИБ брать информацию, если открытых примеров и референсов, учитывающих современные особенности разработки, средства CI/CD, оркестрации контейнеров, а также отраслевую специфику, накладывающую серьезные ограничения, крайне мало?
На вебинаре ведущий консультант по ИБ Александр Моисеев рассмотрел отраслевую специфику и нюансы внедрения БРПО для предприятий из сфер промышленности, а также подробно разобрал:
- какие методологии необходимо принять во внимание при безопасной разработке;
- какие нюансы есть у технической реализации проверок;
- как встроить проверки безопасности в цикл разработки ПО;
- как получить свидетельства по безопасности от команд заказной разработки и вендоров.
Среди рекомендуемого набора мер для обеспечения безопасности при разработке эксперт выделил:
- управление доступом к среде разработки;
- формирование рекомендаций по безопасному программированию;
- установление требований ИБ в отношении сторонних компонентов и коллективов разработки;
- управление уязвимостями в сегменте разработки и продуктовой среде;
- тестирование на проникновение;
- фаззинг.