Если вы каким-либо образом связаны со сферой разработки программного обеспечения, то скорее всего вы знакомы с таким понятием как цикл безопасной разработки (Secure Software Development LifeCycle). Специалисты компании ООО «БСС-Безопасность» более 20 лет работают рука об руку с разработчиками такого сложного ПО как ДБО. Мы знаем о процессе безопасной разработки практически все, и готовы помочь вам выстроить процессы разработки ПО в соответствии с лучшими мировыми практиками.

Какие проблемы разработчика решает внедрение SDLC:

• Ошибки программирования. Ошибки, которые не просто приводят к техническим сбоям и неисправностям, но и позволяют злоумышленникам ими охотно воспользоваться.
• Программные закладки. Данную проблему зачастую обнаруживают в следствие возникающего инцидента по информационной безопасности после обновления программного обеспечения. Злоумышленник может входить в команду разработчиков и умышленно оставить закладку в исходном коде продукта для получения системных привилегий или иных вредоносных действий.
• Увеличение и расширение функциональных возможностей продукта без заботы об ИБ. Современный мир диктует свои правила. Сроки реализации того или иного функционала всегда в приоритете относительно безопасности.
• Непреднамеренное встраивание функций для обхода механизмов защиты. Перед тем, как поступить в продуктивную (промышленную) среду компании, программное обеспечение проходит большой этап тестирования и отладки приложений. Данные функции встраивают для более быстрого прохождения данного этапа, но к сожалению, отключить в финальной версии не всегда вспоминают.
• Тренд на обеспечение безопасной разработки ПО со стороны регуляторов. Применительно к финансовой отрасли нет такого понятия, как регуляции в отношении разработчиков программного обеспечения. Если вспоминать вопрос про анализ уязвимостей ОУД4, то в данном случае регулятором в отношении банков (не разработчиков!) выступает ЦБ РФ. Однако существует определенный тренд, о котором говорят — безопасная разработка и введение периодических проверок компаний разработчиков по требованиям и лучшим практикам безопасности.

Наша компания предлагает следующее решение — анализ вашего процесса разработки и внедрение цикла безопасной разработки. Проект достаточно комплексный и состоит из следующих этапов:

1. Аудит процесса разработки. Полностью распишем ваш процесс AS IS (как есть). Проведем опрос всех ключевых лиц и соберем обратную связь.
2. GAP-анализ. Сравним вашу текущую ситуацию с лучшими мировыми практиками и нашей методологией. Сформируем перечень необходимых изменений (как с организационной, так и с технической точки зрений).
3. Формирование roadmap (дорожной карты). Практически невозможно моментально изменить критически важный процесс компании, не повлияв на операционную эффективность деятельности компании в целом, а также не повлияв на плановые сроки релизов. Совместными усилиями расставим приоритеты и подсветим наиболее узкие места, на которые следует обратить внимание в первую очередь.
4. Непосредственно само внедрение. От нас — полноценное сопровождение, от вас — содействие. Вместе достигнем желаемого результата.