МойОфис, российский производитель офисного программного обеспечения для совместной работы с документами и коммуникаций, принял участие в форуме «Кибертех-2024», который состоялся 7 октября при поддержке Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации. Спикером на сессии «Безопасность приложений: эффективный старт инициатив и развитие практик безопасной разработки» стал генеральный директор МойОфис Вячеслав Закоржевский.
На конференции обсуждались подходы к определению зоны ответственности команд продуктовой безопасности. Участники сессии рассмотрели, как исполняются требования регуляторов и используются подходы к корреляции таких требований, а также в чьей зоне ответственности находится продуктовая безопасность и как выглядит команда продуктовой безопасности в целом. Спикеры также обсудили подходы к сертификации продуктов, включая контроль соответствия требованиям регуляторов, и отметили важность встроенных проверок безопасности в процесс разработки и внедрения системы «одного окна», которая облегчает взаимодействие разработчиков с командой по обеспечению безопасности.
Были представлены и интересные кейсы из практики и обсуждены вопросы использования продуктов DevSecOps и ответственности за WAF. Так, Вячеслав поделился опытом компании МойОфис прохождения обязательных проверок регулятора и подходах к инвентаризации сервисов и продуктов, а также рассказал об особенностях работы с рисками в рамках DevSecOps.
«В МойОфис зоны ответственности и инструменты разделены в соответствии с направлениями защиты — инфраструктурной и продуктовой разработкой. Также в компании назначены специалисты, ответственные за поддержку и использование средств анализа защищённости и информационной защиты. Не всегда все идет гладко, но такая система сдержек и противовесов, когда никто не превалирует, очень эффективна», – рассказал Вячеслав Закоржевский, генеральный директор МойОфис.
Мероприятие стало важной платформой для обмена опытом и идеями по улучшению безопасности приложений, а также для сотрудничества между командами разработки и ИБ.