Языки с большим количеством уязвимостей
С другой стороны, среди самых уязвимых языков программирования, первый, который мы собираемся найти, C. И это очевидно, поскольку это один из языков программирования, на котором написано больше кода (особенно старого), поэтому вероятность обнаружения уязвимостей в этом коде очень высока. Из общего числа обнаруженных уязвимостей 47% находятся в коде, написанном на этом языке программирования. Однако ошибок как таковых, специфичных для языка, было найдено только два: ошибка буфера и различные проблемы проверки.
PHP является одним из наиболее используемых языков в веб-программировании (бэкэнд) и, следовательно, одним из самых ярких для хакеров. Это второй язык программирования с наибольшим количеством уязвимостей (17% от общего числа), и что самое поразительное, это то, что этот язык является единственным, который имеет критические уязвимости, такие как SQL-инъекция, и который также может быть использован в XSS. Две уязвимости, эксплуатируемые в сети, и которые трудно устранить.
И, конечно, мы не могли закончить, не говоря о Java. Мультиплатформенный язык программирования, который так использовался несколько лет назад, также является одной из самых скрытых уязвимостей внутри из-за своей сложности. 12% уязвимостей обнаруживаются в этом языке программирования, который, хотя в последнее время довольно сильно потерял популярность, по-прежнему остается одной из основных опор. Android.
И это еще не всё
Только плакатами, блогом по ИБ, тренингами и руководствами мы не ограничиваемся. Вспомним о курсах по разработке безопасных приложений, которые необходимо пройти Аркадию. Сначала мы предполагали, что сделаем один общий курс для абстрактного разработчика, который подойдет всем. На практике оказалось, что лучше сделать несколько индивидуальных курсов: для разработчиков приложений для Android; для разработчиков приложений для iOS; для тех, кто разрабатывает приложения на C++; отдельный курс для облака и общий курс для веб-разработчиков, который основан на OWASP Top 10 и тех уязвимостях, которые чаще всего нам попадаются на SEC-аудитах.
Для визуализации материалов из курсов мы приглашаем художников, которые рисуют картинки, комиксы, а иногда даже создают мультфильмы. Вот как мы проиллюстрировали одну из уязвимостей race condition.
Тема безопасной разработки достаточно сложная, но тем не менее художникам удалось найти персонажа, с которым можно проассоциировать этот процесс. Узнали? Это доктор Эмметт Браун из фильма «Назад в будущее». Если помните, у героев этой картины тоже были проблемы с доступом к объектам в разных потоках.
Дорожная карта по ESG-переходу
Базовые принципы ESG-перехода одинаковы, однако работа в этом направлении для каждой организации будет разной, поскольку зависит от специфики ее деятельности и амбиций.
Тем не менее, можно составить универсальную дорожную карту по ESG-переходу, выделив ключевые шаги на пути к достижению целей устойчивого развития.
Шаг 1. Начало работы и определение приоритетов
Для того чтобы сделать первый шаг к внедрению ESG-принципов, необходимо сформировать надежную команду из профессионалов, разобраться в проблеме в целом, систематизировать информацию и затем определить наиболее близкие по духу и соответствующие бизнес-профилю цели устойчивого развития.
Шаг 2. Планирование, выявление рисков и возможностей
На данном этапе проводится анализ проблемных области компании по всем сферам (водопотребление, утилизация отходов, управление кадрами, безопасность труда, финансовая составляющая и т. д.), определяются их причины и выявляется вероятность наступления рисков от ESG-перехода и новые возможности. К примеру, модернизация существующих производственных цепочек и использование наилучших технологий принесут экономическую выгоду компании в долгосрочной перспективе и повысят ее привлекательность для потребителей и инвесторов.
Шаг 3. Генерация, оценка и расстановка приоритетов и вариантов стратегии
После всестороннего анализа деятельности организации рассматриваются все возможные варианты развития компании с учетом ESG-принципов и оценки успешного опыта других компаний. Не нужно стараться охватить сразу все цели устойчивого развития. Приоритеты расставляются максимально четко, определяются главные направления с учетом потребностей компании на текущий момент. Менее важные моменты можно будет перенести на следующий этап стратегического планирования.
Шаг 4. Реализация стратегии
Для реализации выбранной оптимальной стратегии необходимо разработать план, детально прописав в нем обязанности каждого подразделения компании для достижения результата. Также на этом этапе следует позаботиться о создании профильной компетенции и обучении кадров, чтобы они смогли реализовать утвержденную стратегию. Организационная структура, которая будет курировать внедрение ESG-стратегии, может быть представлена на предприятии специально созданным подразделением или рабочей группой, состоящей из менеджеров компании различных направлений, а также уже действующим исполнительным или управленческим органом.
Шаг 5
Внешний и внутренний мониторинг
В процессе реализации ESG-стратегии важно проводить регулярный мониторинг как внутренних результатов компании, так и внешних процессов
При внутреннем мониторинге особое внимание уделяется пробелам в ESG-стратегии и сдерживающим факторам, при внешнем мониторинге — отслеживанию тенденции в области регулирования ESG. На данном этапе необходимо также проводить оценку успешных результатов внедрения этой стратегии на других предприятиях и своевременно реагировать на законодательные и государственные инициативы
Предложенные выше инструменты являются базовыми алгоритмами, которые позволят плавно и безболезненно перейти к новой концепции и достичь более высокого уровня ESG политики как новичкам бизнеса, так и крупным корпорациям. Ведь рано или поздно устойчивое развитие и ESG неизбежно затронут всех, причем каждый из вовлеченных участников получит свою выгоду от «устойчивой» и «зеленой» трансформации. Поэтому в настоящее время в России ESG — это не просто модный западный тренд и не эфемерный призрак грядущего дня. Это действительность современного бизнеса, без которой невозможно достичь экономического роста и построить благополучное будущее.
Анализ бинарников/сборок
BinScope Binary Analyzer
Недаром мы уделяем много времени обходу защит DEP и ASLR. Это действительно серьезный барьер для создателей сплойтов, который кардинальным образом влияет на возможность эксплуатации найденной уязвимости. Чтобы понимать, что представляют собой требования SDL, вот в качестве примера одно из них: «Любое приложение должно быть в обязательном порядке защищено как DEP, так и ASLR». Для этого исходник должен быть собран соответственно с флагами /NXCOMPAT и /DYNAMICBASE. Но это лишь одно из требований, а с помощью анализатора Binscope SDL можно выяснить, использует ли приложение все рекомендации и требования SDL. Программа проверяет, были ли установлены требуемые правилами SDL флаги компилятора/сборщика, использовались ли самые последние версии инструментария и так далее. Помимо этого Binscope сообщает об использовании опасных конструкций, который являются запрещенными или нежелательными (к примеру, использование указателей на глобальные функции).
AppVerifier
Application Verifier — это тоже анализатор, но предназначен для динамического исследования native-кода и обнаружения программерских ошибок, которые сложно отловить во время обычной процедуры тестирования приложения. Динамический подход подразумевает, что программа анализируется прямо во время ее выполнения (это называется runtime-тестированием). AppVerif отслеживает работу программы и проверяет, не выполняет ли оно действий, опасных с точки зрения безопасности. Например, если исследуемое приложение создаст объект без дескриптора безопасности или небезопасным образом передает параметры в API, то выдается предупреждение.
Attack Surface Analyzer Beta
Определение поверхности атаки — задачка для Attack Surface Analyzer. Это один из самых последних инструментов из лаборатории Microsoft, о котором я рассказывал в «Колонке редактора» прошлого номера. Анализатор позволяет отследить изменения в системе, произошедшие в результате каких-то определенных действий. Например, сделав snapshot’ы до и после установки исследуемого приложения и сравнив их, можно определить все произошедшие изменения: появление новых файлов, ключей реестра, сервисов, ActiveX-компонентов, открытых портов, изменения в ACL-списках и так далее.
Преступление без наказания
В каждой стране есть свои законодательные ограничения на применение различных технологий взлома смартфонов и ответственность за их нарушение. В России это предусматривается ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ». Максимальное наказание за совершение этого преступления — семь лет лишения свободы.
В России шпионские программы запрещены. Для использования криминалистического софта сотрудниками правоохранительных органов и силовых ведомств существует определённый порядок действий, регламентированный законом, пояснил RT эксперт Group-IB.
«Если специальное ПО применяется в рамках следственной деятельности, это оформляется специальными протоколами. Несанкционированно это сделать достаточно проблематично, — рассказал эксперт. — При проведении негласных оперативных действий человека никто не ставит в известность о проверке его устройств. В случае гласных действий его могут попросить разблокировать телефон, дальше сотрудники скопируют необходимые им данные и вернут устройство владельцу».
«При помощи мобильного комплекса по сбору и анализу цифровых данных UFED в 6370 случаях из мобильных устройств была извлечена информация, имеющая значение для уголовного дела», — говорится в сообщении ведомства.
Российские силовые структуры закупали Cellebrite до марта 2021 года. А потом компания объявила, что прекращает продажи в РФ, из-за того что её софт использовался российскими спецслужбами для преследования оппозиционеров, ЛГБТ-активистов и представителей этнических меньшинств.
Однако без использования Cellebrite в следственных действиях число преступлений может возрасти, в связи с тем что доказать вину преступников будет сложнее.
«Телефоны используют не только оппозиционеры, но и криминальные элементы. И сейчас правоохранительные органы лишены возможности исследовать их устройства. Часть людей, которых стоило бы наказать, не накажут. Отрезав Россию от передовых технологий, нам усложнили возможность бороться в том числе с отечественным киберкриминалом и защищать другие государства от действий российских преступников», — утверждает специалист Group-IB.
Авторское вознаграждение за программное обеспечение
Если работодатель в течение трех лет со дня, когда служебное произведение было предоставлено в его распоряжение, начнет использование служебного произведения или передаст исключительное право другому лицу, автор имеет право на вознаграждение. Автор приобретает указанное право на вознаграждение и в случае, когда работодатель принял решение о сохранении служебного произведения в тайне и по этой причине не начал использование этого произведения в указанный срок. Размер вознаграждения, условия и порядок его выплаты работодателем определяются договором между ним и работником, а в случае спора – судом (абз.3 п.2 ст.1295 ГК РФ).
Авторское вознаграждение подлежит уплате независимо от условий начисления и выплаты заработной платы. Оплата труда работника осуществляется за выполнение трудовых обязанностей, в них может входить создание результатов интеллектуальной деятельности по служебному заданию работодателя. Однако правовые отношения по поводу результата интеллектуальной деятельности (РИД) регулируются гражданским правом.
Поскольку всякий РИД имеет добавленную стоимость с учетом возможности его последующего тиражирования или масштабирования независимо от труда автора, гражданское законодательство предписывает в случае передачи прав работодателю выплачивать автору соразмерное авторское вознаграждение.
Поэтому все статьи ГК РФ о договорах на создание произведений по заказу ссылаются на приведенную выше норму о выплате авторского вознаграждения работнику.
Таким образом, авторское вознаграждение за служебное произведение должно выплачиваться работнику наряду с заработной платой. При этом вознаграждение может выплачиваться одновременно с зарплатой. Главное четко согласовать размер авторского вознаграждения, чтобы была возможность доказать факт его получения автором.
Законодательство не содержит ограничений по суммам авторского вознаграждения работников за служебные произведения.
В данном случае стороны должны договариваться об авторском гонораре самостоятельно.Поскольку процесс создания результатов интеллектуальной деятельности и их оборот относится к гражданским отношениям, желательно данные условия согласовывать в рамках договора о распределении прав на служебные объекты, носящего гражданско-правовой характер. Во избежание негативных последствий такой договор следует подписывать со всяким творческим работником в момент трудоустройства.
Что такое информационная безопасность: немного истории
Информационная безопасность – это система мер, направленная на предотвращение несанкционированного доступа, раскрытия, использования или уничтожения информации, представленной в электронном или любом другом виде. Например, сохраняемой на бумажных носителях, передаваемой в ходе телефонных переговоров или посредством радиосвязи.
Главная задача системы обеспечения информационной безопасности – это обеспечение разумного баланса конфиденциальности, целостности и доступности данных. Проще говоря, если закрыть данные полностью, хранить «за семью замками» и никого к ним не подпускать, тогда данные будут в целости и сохранности. Однако пользоваться какой-либо информацией в таком закрытом режиме будет затруднительно, а то и вовсе невозможно.
Поэтому, когда речь идет об информационной безопасности, нужно помнить, что безопасность данных – это не самоцель, а лишь средство достижения цели, которой служат данные. Любые данные собирают для чего-либо, для какого-то дела, и успех дела не должен страдать из-за искусственно затрудненного доступа. Тем более успех дела не должен страдать из-за несанкционированной утечки данных.
Поиск способов обеспечения информационной безопасности ведется с тех самых времен, как люди начали передавать друг другу информацию способами, не предполагающими личную беседу. Анналы истории и многотомник «Жизнь двенадцати Цезарей» сохранил свидетельства изобретения римским императором Гаем Юлием Цезарем собственного «шифра Цезаря» .
Параллельно с системами шифрования развивались системы дешифровки зашифрованных сообщений, а также их перехвата при пересылке. С появлением почты правительства стран начали создавать специальные организации, занятые просмотром (перлюстрацией) писем граждан.
Для справки: перлюстрация – это просмотр корреспонденции втайне от отправителя и получателя.
В Англии организация, занятая перлюстрацией? называлась «Тайная канцелярия». Истории этой структуры посвящена книга The evolution of British Sigint 1653-1939 Unknown Binding . В России аналогичные функции выполняли так называемые «черные кабинеты». Об их истории рассказывает книга «Черные кабинеты»: история российской перлюстрации. XVIII – начало XX века .
Однако самой важной нуждающейся в защите информацией традиционно является военная тайна. Войны, подготовка к военным действиям стимулируют развитие систем обеспечения информационной безопасности
Шифровальная машина «Энигма», которая использовалась гитлеровской Германией в ходе Второй мировой войны, стала предметом интереса не только специалистов, но и кинематографистов.
В 1979 году мир увидел киноленту «Секрет Энигмы» режиссера Романа Венчика, в 2001 году вышел фильм «Энигма» режиссера Майкла Аптеда, а в 2014 году появился новый киношедевр «Игра в имитацию» режиссера Мортена Тильдума, также посвященный «Энигме».
Об истории развития всего, что связано с системами информационной безопасности, можно говорить до бесконечности. Однако пора перейти к наполнению понятия информационной безопасности
Учитывая то, что мы живем в цифровую эпоху, мы будем уделять повышенное внимание кибербезопасности, ее составляющим и всему, что с ней связано
Библиотеки
Anti-Cross Site Scripting (Anti-XSS) Library
Многие из уязвимостей можно заранее предупредить, если предложить разработчикам соответствующие инструменты. К примеру, Anti-XSS разработана специально для того, чтобы уменьшить вероятность осуществления XSS-атак на веб-приложения
Важно, что решение включает в себя что-то вроде WAF (файрвол для веб-приложения) — так называемый Security Runtime Engine (SRE). Это движок, запущенный в виде HTTP-модуля, который обеспечивает дополнительный уровень защиты для веб-приложения без необходимости перекомпилирования
SiteLock ATL Template
Если ты читал статью Алексея Синцова «Глумимся над объектами: взлом ActiveX», то должен хорошо понимать, чем грозят ошибки в ActiveX-компонентах. Библиотека SiteLock Active Template не поможет избавиться от оставленных в коде багов, зато на порядок снизит риск их эксплуатации. Дело в том, что с помощью ATL можно ограничить запуск ActiveX-компонентов, используя заранее определенный список доменных имен и зон безопасности. Можно сделать так, чтобы ActiveX-компонент выполнялся только в интранете (то есть в локальной сети), но не работал на страничках в интернете. Ограничивая возможности по эксплуатации уязвимостей, мы заметно снижаем поверхность возможной атаки.
banned.h
Если говорить о разработке на C/C++, то особый риск в коде представляют команды, позволяющие выполнить buffer overflow и другие похожие типы атак. Таких команд очень много: функции для работы со строками (xstrcpy(), strcat(), gets(), sprintf(), printf(), snprintf(), syslog()), системные команды (access(), chown(), chgrp(), chmod(), tmpfile(), tmpnam(), tempnam(), mktemp()), а также команды системных вызовов (exec(), system(), popen()). Вручную исследовать весь код (особенно если он состоит из нескольких тысяч строк) довольно утомительно. Это проверяют статические анализаторы, но есть еще один вариант — использовать специальный заголовочный файл, который не допустит использования функций, давно не рекомендуемых к использованию (и, естественно, запрещенных SDL).
Как разработать задания, актуальные для использующихся в компании технологий
Здесь есть несколько этапов. Давайте их рассмотрим.
1. Готовим код с уязвимостями. Чтобы добавить собственное задание в Security Gym, необходимо сначала найти общий код с проблемами. Мы в «Яндексе» идеи для заданий не выдумываем специально, а просто смотрим на заведенные тикеты, на то, что нам присылают в Bug Bounty и что мы находим в своих аудитах. Оттуда отбираем паттерны, которые могут быть интересны большей части сотрудников, и на их основе готовим коды с уязвимостями. Ниже пример одного из наших кодов.
2. Пишем функциональные тесты.
3. Пишем security-тесты. Надо проверить, действительно ли уязвимость исправлена правильно. Здесь есть интересный нюанс: для большинства уязвимостей написать такие тесты несложно, особенно если мы хотим дать разработчику возможность исправить ошибку разными способами. В нашем случае необходимо проверить, что корзина не переполняется.
4. Проверяем ожидаемое решение. На этом этапе лучше самостоятельно решить задание и проверить корректность работы тестов.
5. Готовим Docker-образ, в котором можно запустить тесты.
6. Пишем теорию и описание задания в Markdown.
Сейчас в Security Gym загружены задачи по таким языкам программирования, как Go, JavaScript, Java и Python, а также по 10 типам уязвимостей. Еще есть API, который показывает статистику прохождения заданий. Основываясь на этих данных, мы награждаем наших лучших сотрудников виртуальными медальками. Когда Аркадий правильно решит все задания по одному из языков, он тоже получит медаль, чтобы все коллеги знали, какой он молодец :).
Инструменты Agile
Обычно Agile-инструментами называют скорее социальные технологии — ретроспективы, ежедневные встречи команды и прочее. Но к ним относятся и некоторые физические артефакты.
Чаще всего Agile ассоциируется со стикерами и досками задач, называемых также канбан-досками. Такая ассоциация верна лишь отчасти — важны не сами доски и стикеры, а то, как вы их применяете. В первую очередь это инструменты коллаборации. Они позволяют эффективнее проводить встречи, использовать приемы вроде мозговых штурмов или работы в малых группах.
Доски задач являются инструментом визуализации. Они обеспечивают прозрачность, позволяя команде эффективно без помощи менеджера распределять задачи между собой, находить узкие места в производственном процессе и быстрее проводить летучки.
Также в Agile распространены различные графики и доски с метриками, на основании которых команда определяет свой прогресс и принимает решения. Их часто размещают на стенах в помещении, в котором работает команда. Такой инструмент называется информационным радиатором. Он непрерывно транслирует команде информацию, как бы работает «командной памятью».
Существует множество цифровых аналогов этих инструментов с впечатляющим функционалом. Однако при перемещении красочных досок и флипчартов с графиками в диджитал-пространство обычно теряется эффект «радиации» информации.
У нас и так очень много каналов в телефоне и компьютере — и часто полезная информация с досок проигрывает конкуренцию другим каналам вроде почты и мессенджеров. В итоге участникам снова нужно тратить силы на поиск и восприятие этой информации.
В случае, если у вас команда находится в одном помещении (или вы можете их собрать в одном помещении), эффективность физических досок и других информационных радиаторов выше. Однако если у вас распределенная команда, цифровые инструменты вам просто необходимы, и ни в коем случае не стоит на них экономить.
6. «Iterative Model» (итеративная или итерационная модель)
Итерационная модель жизненного цикла не требует для начала полной спецификации требований. Вместо этого, создание начинается с реализации части функционала, становящейся базой для определения дальнейших требований. Этот процесс повторяется. Версия может быть неидеальна, главное, чтобы она работала. Понимая конечную цель, мы стремимся к ней так, чтобы каждый шаг был результативен, а каждая версия — работоспособна.
На диаграмме показана итерационная «разработка» Мона Лизы. Как видно, в первой итерации есть лишь набросок Джоконды, во второй — появляются цвета, а третья итерация добавляет деталей, насыщенности и завершает процесс. В инкрементной же модели функционал продукта наращивается по кусочкам, продукт составляется из частей. В отличие от итерационной модели, каждый кусочек представляет собой целостный элемент.
Примером итерационной разработки может служить распознавание голоса. Первые исследования и подготовка научного аппарата начались давно, в начале — в мыслях, затем — на бумаге. С каждой новой итерацией качество распознавания улучшалось. Тем не менее, идеальное распознавание еще не достигнуто, следовательно, задача еще не решена полностью.
Когда оптимально использовать итеративную модель?
- Требования к конечной системе заранее четко определены и понятны.
- Проект большой или очень большой.
- Основная задача должна быть определена, но детали реализации могут эволюционировать с течением времени.
Почему инфраструктурным инженерам важно дружить с безопасниками (и наоборот)
IT-инфраструктура — основа всего технического стека, поэтому отдел безопасности очень плотно взаимодействует с подразделением, которое занимается инфраструктурой.
Инфраструктурные инженеры должны понимать, как устроены механизмы безопасности в системе, которую они обслуживают, но зачастую, конечно, их фокус направлен на совсем другое — на задачи по поддержанию стабильной работы своих систем. Поэтому разбираться в механизмах безопасности IT-инфраструктуры команда информационной безопасности и команда IT-инфраструктуры должны вместе.
Kubernetes, операционные системы, сетевое оборудование, облачные провайдеры — сейчас во все компоненты IT-инфраструктуры заложено огромное количество встроенных механизмов безопасности, и чаще всего это довольно сложные сущности — гораздо сложнее кнопок «Вкл» и «Выкл». Так что в них тоже нужно серьёзно вникать, разбираться, как они работают, — чтобы понимать пользу и негативные последствия включения каждого механизма.
Однако, хотя инфраструктурные инженеры и должны разбираться в безопасности своих платформ, драйвером включения или настройки механизмов защиты, как правило, всё равно выступает служба кибербезопасности. Просто потому что при включении компонентов защиты IT-инфраструктуры их приходится поддерживать, а это не всегда хочется делать эксплуатирующему подразделению.
Так что и в большой, и в маленькой инфраструктуре IT-специалист должен дружить с безопасностью. Хотя в большой компании могут быть тысячи серверов, а в компании поменьше — десятки, но и там и там будут ресурсы, которые нужно защищать.
И это еще не всё
Только плакатами, блогом по ИБ, тренингами и руководствами мы не ограничиваемся. Вспомним о курсах по разработке безопасных приложений, которые необходимо пройти Аркадию. Сначала мы предполагали, что сделаем один общий курс для абстрактного разработчика, который подойдет всем. На практике оказалось, что лучше сделать несколько индивидуальных курсов: для разработчиков приложений для Android; для разработчиков приложений для iOS; для тех, кто разрабатывает приложения на C++; отдельный курс для облака и общий курс для веб-разработчиков, который основан на OWASP Top 10 и тех уязвимостях, которые чаще всего нам попадаются на SEC-аудитах.
Для визуализации материалов из курсов мы приглашаем художников, которые рисуют картинки, комиксы, а иногда даже создают мультфильмы. Вот как мы проиллюстрировали одну из уязвимостей race condition.
Тема безопасной разработки достаточно сложная, но тем не менее художникам удалось найти персонажа, с которым можно проассоциировать этот процесс. Узнали? Это доктор Эмметт Браун из фильма «Назад в будущее». Если помните, у героев этой картины тоже были проблемы с доступом к объектам в разных потоках.
Модель зрелости BSIMM
Подход к процессу безопасной разработки Bercut основывается на модели зрелости BSIMM (Building Security In Maturity Model) версии 12, на текущий момент, являющейся самым актуальным индустриальным срезом в области безопасности приложений (Aplication Security). Модель опирается на практический опыт и данные, полученные от 128 организаций по всему миру. BSIMM включает в себя меры по повышению безопасности приложений путем обнаружения, исправления и предотвращения уязвимостей.
В основе методологии — разделение процесса Application Security на 4 группы практик (далее «домен»), каждая из которых отвечает за определенные операционные процессы:
- Governance — организация, управление и оценка эффективности инициативы Application Security;
- Intelligence — сбор и консолидация знаний в области информационной безопасности внутри организации;
- SSDL Touchpoints — анализ и оценка конкретных артефактов и процессов в рамках производства ПО;
- Deployment — взаимодействие с подразделениями сетевой и инфраструктурной безопасности и службами технической поддержки.
Каждый домен содержит в себе 12 практик, в совокупности насчитывающих 122 активности. Для активностей предусмотрены 3 уровня зрелости: начальный, средний и продвинутый. Сложная специфика отрасли и продуктов делает модель зрелости BSIMM наиболее релевантной для построения подхода к безопасной разработке в Bercut.
Использование BSIMM позволяет: Использовать best practices, управлять активностями за счет удобной и понятной иерархии; Следить за уровнем зрелости процесса в организации; Составлять дорожные карты и обдуманно внедрять процессы безопасной разработки в командах.
|
Выбор активностей, которые будут включены в план по реализации, обуславливается спецификой отрасли и продуктов Bercut, а также систем, приложений и сервисов инфраструктуры, попадающих в контур разработки безопасного ПО. Анализ активностей позволяет сфокусироваться на наиболее приоритетных. Далее формируются требования к стеку инструментов и комплекс мер по обеспечению разработки ПО, включая требования по информационной безопасности.
Экологическая политика на предприятии в системе ESG: квинтэссенция
Необходимым условием следования ESG-принципам и достижения целей устойчивого развития является экологическая политика предприятия.
Главное условие достижения успеха в экологической политике — реализующие ее люди, обладающие высокой социальной культурой и экологическим сознанием. Поэтому первым шагом на пути к зеленому переходу должна стать организация таких условий работы для сотрудников предприятия, чтобы они могли качественно и эффективно способствовать реализации концепции устойчивого развития и экологической политики компании.
Организация комфортных условий труда обеспечивается путем создания зеленых рабочих мест. Этот процесс может осуществляться разными способами в силу возможностей компании и специфики рабочего процесса. Деятельность компании в этом направлении также оценивается рейтинговыми агентствами.
Один из новичков такого рейтинга — офис на заводе L’Oreal Vorsino, где внедрены самые передовые технологии. Завод на территории индустриального парка Ворсино в Калужской области использует различные решения по энергоэффективности: солнечные панели, которые позволяют компенсировать более 10% потребляемой энергии, рекуперация тепла на производстве, умная система освещения LED на складе и в офисе. Помимо этого на предприятии осуществляется очистка и рекуперация до 70% воды, а также поставлена амбициозная цель по достижению нулевых выбросов СО2.
Философия устойчивого развития, которая здесь называется Sharing Beauty with All («Поделись красотой с каждым»), является центром корпоративной культуры. Кроме того, разработана и активно исполняется специальная программа вовлечения сотрудников в проблемы состояния окружающей среды. В рамках этой программы для сотрудников проводятся лекции по устойчивому развитию и концепции бережливого офиса/производства, организована система коммуникаций по зеленой тематике. В офисах, столовой и административно-бытовых помещениях завода установлены контейнеры для сбора использованной бумаги и пластика. Для сотрудников создана атмосфера естественной среды обитания — организована зеленая зона, пешеходная зона, сад, тренажеры, настольные игры и мини-гольф, а также предусмотрена комната отдыха для психологической разгрузки.
Благодаря применению эффективных и экологичных методов проектирования и строительства, а также приверженности компании принципам устойчивого развития производственная площадь завода L’Oréal в Калужской области получила сертификат зеленого строительства LEED.
Сертификация LEED (англ. Leadershipin Energyand Environmental Design — Руководство по энергоэффективному и экологическому проектированию) — добровольная система сертификации зданий, относящихся к зеленому строительству.
Первый российский консультант, сертифицировавший объект по LEED, — компания EcoStandard group.
Неотъемлемым фактором в поддержании эффективной работоспособности и нормальной производственной деятельности компании является создание комфортных и безопасных условий труда.
Только когда на предприятии выстроена система организации комфортного рабочего процесса и безопасности труда, появляется возможность для внедрения и реализации экологической политики. Хотя она и подразумевает общие цели в движении к устойчивому развитию, тем не менее каждой организацией воспринимается и реализуется неповторимым путем, имеет свои уникальные черты и специфику.
Цели кибербезопасности
Основной целью кибербезопасности является предотвращение кражи или компрометации информации. Важную роль в достижении этой цели играет триада безопасной IT-инфраструктуры — конфиденциальность, целостность и доступность. Под конфиденциальностью в данном контексте подразумевается набор правил, ограничивающих доступ к информации. Целостность гарантирует, что информация является точной и достоверной. Доступность, в свою очередь, отвечает за надежность доступа к информации уполномоченных лиц. Совместное рассмотрение принципов триады помогает компаниям разрабатывать политики безопасности, обеспечивающие надежную защиту.