Помимо этого, RAD COP организовал в рамках конференции сессию безопасной разработки. В ходе сессии эксперты рассмотрели комплекс проблем, связанных с безопасностью разработки.
После открывающего доклада Рустама Гусейнова об эволюции регуляторных требований и принципиальных подходов к управлению отраслью, сессия продолжилась докладами по отдельным прикладным вопросам БРПО, AppSec и DevSecOps.
На примере Security Champions в докладе эксперта Светланы Газизовой была рассмотрена проблема кадрового голода и разобраны типичные ошибки менеджмента и HR в мотивации разработчиков больше думать об информационной безопасности. В докладе Александра Моисеева зрители ознакомились с особенностями и требованиями, присущим разработке в промышленных организациях, проблематике «унаследованного» ПО. Илья Шаров на примере компании МТС продемонстрировал возможные стратегии внедрения DevSecOps в организации и разобрал вопросы обоснования экономической целесообразности подобного внедрения, его подводные камни. Александр Поликарпов поделился опытом сертификации разработок в испытательных лабораториях, ответив на вопросы: как, когда, в какой срок и зачем это приходится делать, а главное, как это сделать лучше? В завершении секции Александр Бакин рассказал о синтезе практик безопасной разработки и Agile-методологий, подобно рассмотрев сценарий реализации на примере требований Профиля Защиты Банка России.
Секция закончилась бурным обсуждением докладов со зрителями, которые пожелали задержаться в зале на 15 минут и уточнить ряд актуальных вопросов, связанных с сочетанием требований к БРПО и ЗОКИИ, в соответствии с 187-ФЗ.
Презентации по докладам сессии безопасной разработки:
- История эволюции практик безопасной разработки: от Common Criteria к «импортозамещению» и актуальным требованиям ФСТЭК России
Рустам Гусейнов, Эксперт АБИСС, Председатель кооператива RAD COP
- Мифические Security Champion’ы или как не сойти с ума в мире безопасной разработки
Светлана Газизова, Руководитель направления аудита безопасной разработки, Swordfish Security
- Особенности реализации требований к безопасной разработке ПО в промышленных организациях
Александр Моисеев, Эксперт АБИСС, Главный консультант по информационной безопасности AKTIV.CONSULTING
- DevSecOps: почему он должен вас волновать и откуда начать
Илья Шаров, Руководитель направления безопасной разработки, МТС
- Безопасная разработка в процессе сертификации решений для КИИ
Александр Поликарпов, Старший системный аналитик, Лаборатория Касперского
- Регуляторные требования к безопасной разработке в эпоху Agile
Александр Бакин, Руководитель Группы защиты приложений Департамента консалтинга, Инфосистемы Джет