Выстраивание механизмов информационной безопасности при реализации культуры и практик DevOps в организации

Целер В.З.

Выпускник группы MBA CSO-19

Школа IT-менеджмента

РАНХиГС при Президенте РФ

В настоящее непростое время уже недостаточно быть крупным банком, нужно прежде всего стремиться стать крупнейшей, динамично развивающейся ИТ компанией.

Для выхода на рынок ИТ технологий, для формирования предложений с такой же скоростью, как передовые ИТ компании Appleи Google, банк прежде всего должен пересмотреть свои подходы и процессы в производстве новых продуктов, изменить свою структуру и принять передовые практики в своей повседневной деятельности.

В таких условиях, даже при явной поддержке топ-менеджеров необходимо, чтобы проводимые изменения были приняты не только сотрудниками ИТ подразделений, бизнеса, но и в том числе должна быть готовность принять участие в проводимых изменениях подразделений кибербезопасности.

Наш банк прошел непростой путь трансформаций, от каскадной модели производства, через принятия Agileпрактик до реализации DevOpsтрансформации. Реализация практик DevOpsстала продолжением Agile трансформации не только банка, но и его дочерней ИТ компании.

В работе показан анализ проводимых изменений в банке, выбор и встраивание требований и контролей кибербезопасности в процессе реализации проводимых изменений.

На момент принятия решения о применении DevOps культуры и практик, в банке существовала не очень высокая культура взаимодействия между подразделениями разработки, тестирования, внедрения и эксплуатации программного продукта и подразделений кибербезопасности что приводило к значительному увеличению времени вывода продуктов как во внутреннюю, так и внешнюю эксплуатацию.

Соглашения о правилах ведения разработки не являлись обязательными для команд, что часто приводило к написанию неоптимального, трудно сопровождаемого кода, затрудняло приемку разработанных продуктов в эксплуатацию и приводило к выявлению критичных недоработок в части выполнения требований кибербезопасности.

Отсутствовали регламентированные процедуры проведения автотестирования, не были в полной мере реализованы возможности выполнения smoke, системных, интеграционных, модульных тестов и тестов кибербезопасности на стороне разработки, что зачастую приводило к обнаружению ошибок кодирования в программных продуктах непосредственно перед передачей в эксплуатацию.

Проверка качества и безопасности кода при сборке не являлась обязательной. Поэтому в итоге был большой риск получить небезопасный (с уязвимостями) и неоптимальный код, что увеличивало нагрузку на сопровождение и повышало операционные риски банка.

Значительной проблемой была ситуация с несовпадением целей сотрудников различных подразделений. Разработчиков и бизнес аналитиков заботила только передача своих разработок в эксплуатацию, бизнес подразделение, только реализованный функционал, подразделение эксплуатации только бесперебойное функционирование данной разработки и только сотрудники кибербезопасности задавались вопросом комплексного функционирования не только передаваемой в эксплуатацию разработки, но встраиванием данной разработки в целостные процессы Банка и корректным взаимодействием между различными системами задействованными в процессе.

В работе проведено теоретическое исследование, включающее определение роли кибербезопасности при реализации масштабных ИТ проектов и общей реорганизации крупного банка.

В работе определены наиболее важные этапы проводимой трансформации, определены риски проводимых изменений, а также разработаны механизмы кибербезопасности направленные на минимизацию данных рисков. Определены цели и задачи кибербезопасности, произведен анализ необходимых ролей и функций, которые должны выполняться различными подразделениями кибербезопасности.

В работе дано описание целевого процесса по проведению автотестирования, выделены этапы проведения кибертестирования на соответствие требованиям кибербезопасности, предложен абсолютно новый подход к проведению автоматизированного тестирования бизнес функционала автоматизированных систем на предмет соответствия его требованиям кибербезопасности.

Описанные в работе меры кибербезопасности контроли и механизмы в настоящее время уже одобрены руководством банка и проходит их внедрение в рамках целевого процесса DevOps трансформации. Выполнение данного проекта позволит не только сократить ресурсы на приемку и вывод в эксплуатацию более чем несколько раз, но и позволит выводить на рынок продукты, соответствующие требованиям кибербезопасности в минимальные сроки.

Реализация данного проекта позволит банку не только упрочнить свои лидирующие позиции на рынке банковских услуг, но и стать крупнейшей ИТ компанией в России.