Как строить базовые элементы SDLC?

Разработка безопасного программного обеспечения – объективное требование времени. В этом вопросе ориентироваться нужно, вне сомнений, на передовой опыт крупных игроков: Microsoft, Cisco, Google. Однако, производство софта – основной бизнес далеко не для всех компаний, да и на ИБ в целом бюджеты не безграничны. А еще постоянно ощущается «дыхание» регуляторов, которые ужесточают требования к безопасности программных продуктов. При этом ваши разработчики не будут рады вмешательству ИБ в процесс. Как соблюсти интересы всех сторон и построить SDLC в минимально приемлемом виде и силами двух безопасников? 

1.  Кому вообще нужна безопасная разработка. Примеры.

2.  Как понять, что безопасная разработка нужна именно вам. Критерии.

3.  Стандарты и лучшие практики. На что в первую очередь посмотреть, от чего отталкиваться обязательно, а что можно упростить. Пример.

4.  Как «правильно принять» решение о внедрении SDLC. Диалоги с разработчиками, продавцами, ИТ и даже юристами.

5.  Принято решение запускать SDLC. Первые шаги, с чего начать. Организационные вопросы.

6.  Какие бизнес-практики в компании помогают органичному внедрению SDLC. Ищем поддержку.

7.  Классика: интервью, аудит и понимание принятого процесса разработки. Инвентаризация инструментов разработки и автоматизации. Хорошие практики.

8.  Планирование ресурсов. Что придется делать самим, а что можно отдать на аутсорс.

9.  Мы – в России. Отталкиваемся от ГОСТ Р 56939-2016. Разобьем на 10 ключевых активностей и далее разберем каждый из них, с примерами инструментов и маппинга на существующий процесс разработки.

10.  Bug bounty. Базовая мера. Серьезно? Вполне возможно.

11.  Как и зачем проходить внешние аудиты и проверки в части SDLC.

12.  Работа с запросами клиентов. У вас дыра в безопасности?

13.  Реальные бенефиты от внедрения SDLC.

14.  Вошли во вкус или расширили бюджет? Варианты развития SDLC.