Применение модели SecDevOps – решение по информационной безопасности для организаций

29 ноября 2024 года представители MISA поделились практическим опытом построения культуры SecDevOps для повышения информационной безопасности организаций на семинаре «Изучите DevSecOps — технологии и решения по контролю безопасности», организованном BIDV Insurance - BIC.

В семинаре приняли участие ведущие специалисты в области информационных технологий и информационной безопасности. Со стороны МИСиС – директор по информационной безопасности Нгуен Куанг Хоанг и начальник отдела информационной безопасности Буй Дык Труонг.

В рамках семинара г-н Буй Дук Труонг, руководитель отдела информационной безопасности MISA, представил модель SecDevOps, поделившись опытом применения SecDevOps к продуктам для поддержки организаций в повышении осведомленности в области информационной безопасности и защиты информации.

Согласно каталогу общих уязвимостей и рисков (CVE) Paloalto Network за период с ноября 2022 года по январь 2023 года, уязвимости в приложениях часто возникают из-за небезопасного программирования. Поэтому организациям необходимо интегрировать безопасность во весь процесс разработки программного продукта. В частности, применение модели SecDevOps к программному обеспечению позволяет ускорить процесс разработки продукта, минимизируя 40–50% уязвимостей в исходном коде, по словам Джеймса Ратта из CIO Insight.

SecDevOps — это модель разработки, объединяющая безопасность, разработку и эксплуатацию, аналогичная DevSecOps. Однако ключевое отличие заключается в том, что SecDevOps ставит безопасность во главу угла в мышлении каждого сотрудника и на каждом этапе процесса разработки программного обеспечения. Кроме того, эта модель делает акцент на рабочем процессе и культуре «одной команды», которые помогают сотрудникам тесно взаимодействовать друг с другом, обеспечивая приоритет безопасности на всех этапах.

Для эффективного применения модели SecDevOps организациям необходимо строго учитывать три фактора: персонал, процессы и технологии. Что касается персонала, организациям необходимо повышать квалификацию команды информационной безопасности, налаживать связи между командой Sec и командой DevOps, а также проводить обучение программированию и обеспечивать безопасное развертывание. Что касается процесса, организации могут применять модель жизненного цикла продукта Secure – Software Development Life Cycle (SSDLC) для разработки безопасного программного обеспечения. Что касается технологий, организации могут использовать следующие методы и инструменты безопасности для обнаружения и устранения уязвимостей: статический анализ (SAST); динамический анализ (DAST); интерактивный анализ (IAST); анализ композиции программного обеспечения (SCA).

По словам г-на Труонга, программисты должны проходить обучение по вопросам безопасности и безопасного программирования, чтобы предотвратить появление уязвимостей на более поздних этапах процесса разработки программного обеспечения.

Будучи ведущим технологическим предприятием, предоставляющим программное обеспечение как услугу во Вьетнаме, и инициатором альянса CYSEEX, MISA стремится сопровождать организации во внедрении передовых решений безопасности, защищая данные и информационные системы от кибератак.