Совершенствование процессов безопасной разработки в девелоперской компании с использованием моделей в нотации BPMN

Звонорева Анна Ивановна
Выпускник группы MBA CIO-72
Школы IT-менеджмента Института ЭМИТ
РАНХиГС при Президенте РФ

В современном мире вопрос утечки данных становится острее и актуальнее с каждым днем, так как информация становится одним из ключевых активов для большинства компаний. Утечки персональных данных могут привести не только к репутационным рискам для компаний, но и к значительным финансовым потерям, а также к административной и уголовной ответственности.
В 2023 году Роскомнадзор, российский федеральный орган, ответственный за надзор в области связи, информационных технологий и массовых коммуникаций, выявил 168 утечек персональных данных, в результате которых в открытый доступ попали более 300 миллионов записей о клиентах различных компаний. Последствия этих утечек привели к тому, что суды рассмотрели 87 дел, на основании которых были наложены штрафы на общую сумму свыше 4,6 миллиона рублей.
Данные факты подчеркивают необходимость для компаний не только внедрять комплексные меры по защите персональных данных, но и соблюдать существующие законодательные и регуляторные требования в этой сфере. В ответ на растущее число инцидентов, связанных с утечкой данных, 4 декабря 2023 года в Государственную Думу РФ были внесены поправки в Кодекс Российской Федерации об административных нарушениях (КоАП) и Уголовный кодекс (УК), направленные на ужесточение ответственности за нарушения, связанные с обработкой персональных данных. Поправки включают увеличение размеров штрафов для юридических и физических лиц, а также введение более строгих мер наказания, включая возможность уголовного преследования за серьёзные нарушения в области защиты персональных данных. Такие изменения в законодательстве направлены на повышение уровня ответственности компаний за сохранность персональных данных и стимулирование внедрения более эффективных мер по их защите.
Соответственно, усиление законодательных мер в этой области подчеркивает важность комплексного подхода к информационной безопасности, а также необходимость регулярной оценки угроз и уязвимостей в системах обработки данных. Компании должны активно работать над улучшением своих систем защиты информации, проводить регулярные аудиты и обучение персонала, чтобы минимизировать риски утечек данных и соответствовать ужесточающимся требованиям законодательства.
Целью аттестационной работы является разработка рекомендаций по совершенствованию текущего процесса безопасной разработки программного обеспечения, а также оптимизация процесса внесения изменений в средство защиты информации сертифицированного во ФСТЭК России.
Для достижения цели определены следующие задачи:
1. Провести и сделать SWOT-анализ компании
2. Провести анализ и сделать оценку текущего состояния компании по методологии BSIMM (Building Security In Maturity Model)
3. Рассмотреть текущий процесс безопасной разработки программного обеспечения
4. Разработать рекомендации по улучшению процесса безопасной разработки программного обеспечения
5. Разработать модель будущего процесса безопасной разработки программного обеспечения в нотации BPMN.
6. Проанализировать возможные риски и особенности внедрения полученных рекомендаций, а также рассмотреть способы управления рисками.
В работе рассмотрены теоретические основы процесса безопасной разработки программного обеспечения: жизненный цикл разработки программного обеспечения, описание методологии DevSecOps, а также проведен анализ в области безопасной разработки приложений по методологии BSIMM (Building Security In Maturity Model). Результаты анализа представлены в таблице. Далее проведен SWOT-анализ. Результаты исследования позволили выявить зоны роста компании.
В рамках данной работы было принято решение рассмотреть реализацию текущего процесса безопасной разработки программного обеспечения и смоделировать его в нотации BPMN. Далее был смоделирован усовершенствованный процесс и предложены рекомендации с учетом особенностей и рисков внедрения: сопротивление сотрудников, увеличение времени поставки релизов заказчикам, репутационные риски при утечке данных, а также предложены меры по смягчению рисков.
Совершенствование процесса безопасной разработки программного обеспечения позволит не только внедрить эффективные меры защиты и сделать продукты надежнее, но и повысить уровень ответственности рассматриваемой компании за сохранность персональных данных, а также предотвратить возможные штрафные санкции и наказания в соответствии с Кодексом Российской Федерации об административных нарушениях и Уголовным кодексом.