Наперегонки с хакерами: в InfoWatch собираются использовать методологию Agile
Наперегонки с хакерами: в InfoWatch собираются использовать методологию Agile

Рустэм Хайретдинов полагает, что разработка системы корпоративной безопасности должна происходить по методологии Agile


13:51 03.10.2016   |  Дмитрий Гапотченко |  Computerworld Россия

Рубрика Предприятие |   1325 прочтений



в InfoWatch собираются использовать методологию Agile в обеспечении информационной безопасности корпоративных систем.

 

Главной темой конференции Busines Information Security Summit 2016, прошедшей 23 сентября в Москве, стало обеспечение безопасности информационных систем в условиях постоянного изменения объектов защиты. Как отметил Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch, все чаще бизнес-приложения разрабатываются и модернизируются по методологии Agile, а изменения в них, пусть и небольшие, вносятся едва ли не ежедневно.

Информационная система предприятия состоит из множества в разной степени интегрированных подсистем, за их совершенствование и эксплуатацию отвечают разные подразделения. Уследить за всеми изменениями в приложениях и в их взаимодействии между собой невозможно, а между тем до 40% атак используют уязвимости в бизнес-логике корпоративных решений, традиционные средства защиты их вообще не замечают. Растут ресурсы атакующих, а если учитывать появление на поле кибервойн государственных структур, они фактически неограниченны.

Как полагает Хайретдинов, в этих условиях традиционная служба информационной безопасности, будучи не в силах разобраться в происходящем «на лету», фактически переходит в режим расследования произошедшего, да и расследования эти требуют все больше средств и все меньше помогают бизнесу решать проблемы «здесь и сейчас».

Поскольку обеспечить безопасное функционирование корпоративных решений по старой схеме «сначала создаем систему, потом боремся за ее защищенность» невозможно, то нужно и совершенствование средств информационной безопасности перевести на методологию Agile, сделать этот процесс непрерывным, интегрировать средства с объектами защиты.

От лица практиков, приверженных методологии Agile, выступил Райнхольд Вохнер, руководитель cлужбы информационной безопасности Raiffeisen Bank, рассказавший, как новый подход меняет взаимодействие структур банка друг с другом и с внешним миром. На подходе, по его словам, два «вызова» системам безопасности — финтех-компании и Интернет вещей.

Первый касается в большей степени финансовой отрасли, а вот от перехвата управления миллионами датчиков пострадать может кто угодно.

Несколько скептичнее по отношению к Agile оказался Станислав Витечек, исполнительный консультант по архитектуре и интеграции умного автомобиля и мобильных онлайн-сервисов в SkodaAutomotive. Он полагает, что применение скоростных методов к критически важным инфраструктуре и приложениям породит больше проблем, чем решит: слишком сложно отследить в них все взаимодействия, которые могут быть затронуты быстрым обновлением, в том числе средств информационной безопасности. А вот работу с пользовательскими приложениями и встроенными в автомобиль системами перевести на Agile можно. Как заметил Витечек, уязвимости будут всегда, идеальную систему безопасности не построишь. Главное — минимизировать ущерб.

Немного про импортозамещение

Пресс-конференция в рамках BIS Summit была, несколько неожиданно, посвящена не новым подходам в обеспечении безопасности, а работе Экспертного совета по российскому программному обеспечению при Минкомсвязи.

Cписок критериев «отечественности» ПО, имеющийся в утвержденных министерством «Правилах формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных», весьма краток и конкретен. Скажем, для «обычного» программного обеспечения, в составе которого нет функций, связанных с защитой конфиденциальной информации или с гостайной (попадание последних в реестр вообще не предусмотрено), их всего три. Софт, для того чтобы быть признанным российским, должен более чем на 50% принадлежать российским физическим или юридическим лицам, а суммы выплат за календарный год по лицензионным и иным договорам зарубежным обладателям прав на используемые в ПО технологии не должны превышать 30%. Ну и программное обеспечение должно быть «правомерно введено в гражданский оборот на территории Российской Федерации».

При всей простоте критериев, без конфликтов при определении «отечественности» ПО, не обошлось. Например, было отвергнуто решение WorksPad компании «МобилитиЛаб», входящей в группу «АйТи» как содержащее «ключевой функционал» иностранного производства. Тагир Яппаров, председатель совета директоров «АйТи», отметил, что его компания понесла в результате убытки, но не пошла в суд, а вступила в диалог с экспертами. Сейчас в реестре присутствует WorksPad One, один из продуктов семейства WorksPad.

Евгения Василенко, член Экспертного совета и исполнительный директор Ассоциации разработчиков программных продуктов «Отечественный софт», заверила, что каждый случай отказа теперь выносится на общее голосование, поскольку эксперты тоже с разной строгостью подходят к использованию зарубежных компонентов. И что, возможно, стоит выделить в отдельный класс «надстройки» над зарубежным ПО.

Идея плодотворная, поскольку, строго говоря, едва ли не любая программа из реестра может быть названа надстройкой над Windows.


Теги: Информационная безопасность Agile Импортозамещение InfoWatch Реестр российского ПО

На ту же тему: