Спрос на безопасную разработку (иначе — DevSecOps) в России стал увеличиваться сравнительно недавно, в то время как на Западе этот тренд уже достаточно зрелый. Бизнес активнее стал обращается к практикам DevSecOps на фоне двух параллельных процессов: роста интереса к отечественному программному обеспечению и увеличения количества кибератак.
«В последнее время можно регулярно слышать об инцидентах, связанных с внедрением вредоносных закладок. Например, в NPM-модули, Python-библиотеки. <…> Одним из решений для нейтрализации угроз и минимизации рисков является внедрение безопасной разработки, которая среди прочего охватывает цепочку поставок»
– Станислав Соболь, эксперт Центра кибербезопасности УЦСБ
В январе прошлого года вступили в силу требования приказа ФСТЭК России от 25.12.2017 к безопасности ПО, применяемого на объектах критической информационной инфраструктуры (ОКИИ). Под их действие попало прикладное ПО различного назначения: ERP, АБС, SCADA, биллинг, системы мониторинга, медицинские и информационно-аналитические системы, а также системы управления сетями. При этом выполнение предписаний регулятора стало обязательным для всех: не только непосредственных разработчиков, но и для внешних компаний, которым передана задача разработки ПО.
Эксперты Центра кибербезопасности УЦСБ в рамках открытого вебинара дали рекомендации, на что нужно обращать внимание при реализации практик DevSecOps, разрабатывая ПО для значимых объектов КИИ. Мы собрали основные тезисы для вас:
- Важно определить ответственных за выполнение и контроль мер безопасности в процессе разработки. При этом ответственность должна быть распределена между специалистами по безопасности и разработчиками.
- Стоит регулярно проводить анализ угроз и рисков, определять компенсирующие меры по их минимизации или предотвращению.
- Уделять внимание периодическому формированию и актуализации документации, включающей в числе прочего требования по безопасности.
- Осуществить контроль этих требований помогут как специальные инструменты (например, статического и динамического анализа кода, фаззинг-тестирование), так и организационные меры.
- Среду разработки необходимо защитить от несанкционированного доступа, а также обеспечить резервное копирование и регистрацию событий безопасности.
- Немаловажным при внедрении практик DevSecOps является повышение компетенций разработчиков в сфере ИБ — с этим способны помочь специальные курсы и тренажёры.
- Также для обеспечения безопасной разработки рекомендуется вести регулярный анализ обращений пользователей об обнаруженных ошибках и уязвимостях, уведомлять пользователей о вносимых изменениях.
Подробнее о рекомендациях и подходах DevSecOps — в полной записи вебинара «Безопасная разработка ПО для значимых объектов КИИ».
