Статический анализ — один из самых эффективных способов повышения качества программного обеспечения уже на этапе его разработки. Но сегодня всё чаще говорят не просто о статическом анализе, а именно о регулярной практике его применения.

В условиях новых нормативных требований к безопасности и надёжности ПО однократного анализа перед релизом уже недостаточно. Необходима системная, встроенная в процесс повторяющаяся практика, которая своевременно позволит выявлять ошибки и уязвимости.

21 мая в 12:00 — практический вебинар от ГК «Инсек» и PVS-Studio
Тема: «Регулярный статический анализ по ГОСТу: как ускорить CI и выявлять уязвимости раньше»

На вебинаре вы узнаете:

На портале Hightech опубликована аналитическая статья основателя ГК ИНСЕК Алексея Бегаева, в которой описаны распространенные ошибки при построении системы менеджмента информационной безопасности (СМИБ) в российских и зарубежных компаниях.

В статье описаны типовые просчёты в стратегии, технической реализации, правовом обеспечении и кадровой политике организаций. Отдельное внимание уделено ошибкам, актуальным для госсектора, критической инфраструктуры и компаний, обрабатывающих персональные данные.

«Безопасность, сделанная “для галочки”, не защищает. СМИБ — это не просто политика,а экосистема. Без стратегии, процессов и культуры даже самая дорогая система не спасёт от утечки», — отметил Алексей Бегаев в комментарии к публикации.

Среди кейсов, рассмотренных в материале:

В статье представлены рекомендации по построению устойчивой системы ИБ на базе стандартов ISO 27001, NIST CSF и требований регуляторов РФ (ФСТЭК, ФСБ,152-ФЗ), включая работу с подрядчиками, аудит уязвимостей, вовлечение топ-менеджмента и формирование киберкультуры.

В условиях ожидаемого повышения ключевой ставки российский бизнес сталкивается с серьезными угрозами для своего существования. По словам Алексея Бегаева, основателя ИНСЕК, «новые производства и расширение рынков сбыта становятся практически невозможными из-за стремительно возросших затрат на сырье и оплату труда, а также из-за высокой стоимости кредитования».

Особенно уязвимы компании с высокой долговой нагрузкой: им фактически не на что рассчитывать без господдержки. «Выжить в текущих условиях смогут только те, у кого есть государственная поддержка, — подчеркивает Бегаев. — Чисто частный бизнес при таком уровне ставки и долговой нагрузки останавливает свое развитие».

Отдельную тревогу вызывают застройщики: «Их стабильность может быть сохранена лишь при наличии целевой господдержки. Какие именно механизмы заработают, пока сказать сложно», — отмечает эксперт.

В сегменте облигаций наибольшие риски связаны с бумагами частных компаний. «Если говорить об облигациях федерального займа, там поддержка сохранится, — подчеркивает Бегаев. — А вот держатели облигаций коммерческих компаний могут столкнуться с дефолтом и невыплатами по погашению».

Компания InSeq, российский лидер в области информационной безопасности, стала участником главного события года в сфере цифровизации и автоматизации бизнеса — Global Tech Forum 2024. Основатель компании, Алексей Бегаев, выступил с докладом на тему безопасной разработки программного обеспечения, подчеркнув важность интеграции инструментов безопасной разработки на всех этапах жизненного цикла ПО.

В своём выступлении Алексей Бегаев затронул актуальные проблемы, которые стоят перед бизнесом:

• Рост кибератак. Количество атак на информационные системы постоянно увеличивается. Особую угрозу представляют атаки на цепочки поставок, когда уязвимости проникают в системы через сторонних подрядчиков.

• Нехватка специалистов. Компании сталкиваются с дефицитом кадров, способных внедрять эффективные методы защиты.

• Высокая стоимость утечек данных. Нарушения безопасности оборачиваются серьёзными финансовыми и репутационными потерями.

«Сегодня, чтобы защитить свои цифровые активы, компаниям необходимо внедрять безопасность уже на этапе проектирования и разработки. Это не только снижает риски, но и позволяет значительно оптимизировать процессы в долгосрочной перспективе», — отметил Б

InSeq RBPO: новый стандарт безопасности разработки ПО

На форуме был представлен продукт InSeq.RBPO, — это уникальная платформа для безопасной разработки ПО, которая упрощает внедрение современных подходов к информационной безопасности. Среди ключевых возможностей системы:

• Интеграция автоматизированных тестов безопасности приложений (SAST, DAST, IAST, FUZZ);
• Поддержка разработчика при выполнении требований ГОСТ 56939 для разработки безопасного ПО;
• Гибкая настройка под бизнес-процессы и масштаб компании.

Решение позволяет компаниям сократить время на анализ ПО на наличие уязвимостей, минимизировать риски и формировать культуру информационной безопасности внутри команды.

InSeq RBPO: новый стандарт безопасности разработки ПО

Global Tech Forum 2024 собрал более 50 спикеров и 80 ведущих IT-компаний, разработчиков, поставщиков комплексных IT-решений и представителей бизнеса. Главные треки мероприятия включали HR Tech, Client Tech, Marketing Tech и Management Tech.

InSeq выступила в числе основных партнёров форума, предоставив экспертную поддержку в рамках трека Management Tech, где обсуждались лучшие стратегии для повышения эффективности бизнес-процессов. Выступление Алексея Бегаева вызвало большой интерес у профессионального сообщества, благодаря практическому подходу и готовым решениям для автоматизации процессов безопасности, и стало важной частью дискуссии о безопасности цифровой экономики.

8 ноября 2024 года в Москве прошел важный форум, организованный «Деловой Россией» и Ассоциацией инновационных регионов России (АИРР), на тему «Технологическое лидерство: бизнес, наука и государство». В мероприятии приняли участие ведущие представители власти, включая Максима Орешкина, заместителя руководителя Администрации Президента РФ, Максима Решетникова, министра экономического развития РФ, и Валерия Фалькова, министра науки и высшего образования РФ.

Алексей Репик, председатель «Деловой России», в своем выступлении подчеркнул, что успех в технологическом лидерстве невозможен без участия частного бизнеса, и отметил, что предприниматели нуждаются в четких ориентировках для эффективного взаимодействия с государственными структурами.

Важным моментом форума стала «Биржа контактов», в рамках которой предприниматели и представители власти обсудили пути реализации совместных проектов, создания новых партнерств и улучшения бизнес-климата в различных регионах России. Евгений Дружинин, генеральный директор ООО «ОПЕН СИТИ», отметил, что такие мероприятия создают «атмосферу доверия», а также помогают предпринимателям строить долгосрочные планы.

Алексей Бегаев, основатель АО «Инсек», отметил важность инвестиций и кадрового потенциала для реализации успешных инновационных проектов в России. В своих комментариях он поделился своим видением того, как преодолеть основные барьеры, с которыми сталкиваются компании, занимающиеся разработкой передовых технологий.

«На форуме был затронут актуальный вопрос финансирования бизнеса со стороны государства. Особый интерес вызвало обсуждение развития венчурного инвестирования в нашей стране. Это направление инвестиционной деятельности показывает определённый прогресс, и я верю, что культура венчурного инвестирования сможет выйти на качественно новый уровень, способствуя стремительному развитию отечественных компаний.

Однако нельзя не отметить, что проблема недофинансированности остается одной из главных реалий нашей экономики. Хотя некоторые участники форума утверждали, что отсутствие финансирования не является ключевой проблемой для бизнеса, я придерживаюсь другой точки зрения. Без надлежащих финансовых ресурсов невозможно решить такие важные задачи, как привлечение квалифицированных специалистов, создание передовых разработок и обеспечение необходимых ресурсов для развития бизнеса.

Наша экономика нуждается в существенном увеличении объёмов инвестиций в бизнес. Без этого многие перспективные инициативы останутся на стадии идей, не имея возможности воплотиться в жизнь.» (Алексей Бегаев)

Алексей Бегаев подчеркнул, что для успешного развития высокотехнологичных проектов в России крайне важно не только привлечение инвестиций, но и создание системы, которая будет обеспечивать стабильный поток ресурсов и квалифицированных кадров. 

Он отметил, что несмотря на существующие сложности, есть все предпосылки для долгосрочного технологического прогресса в России, если будут созданы правильные условия для поддержки стартапов и технологических компаний.

Участники сошлись во мнении, что для полноценного достижения технологического лидерства в России необходимо активно поддерживать инновационные проекты и развивать систему венчурного финансирования. Важно, чтобы частный бизнес был вовлечен в этот процесс, а государственные структуры предоставляли четкие ориентиры и меры поддержки для развития новых технологий.

В Москве 19 ноября 2024 года прошла третья конференция  День безопасной разработки ПО, организованная АРПП «Отечественный софт» при поддержке компании Positive Technologies. Мероприятие собрало более 90 участников очно и свыше 100 участников онлайн, среди которых впервые в истории выступили представители ИЦК и ЦКР, что подчеркивает растущий интерес к вопросам безопасности разработки ПО и защите данных в условиях усиленных требований и растущих киберугроз.

Алексей Бегаев, основатель компании InSeq, стал одним из главных спикеров конференции. В своем докладе «Делаем разработку безопасной без сноса несущих конструкций» он рассказал о том, как эффективно внедрить инструменты безопасной разработки на всех этапах разработки ПО, не разрушая уже существующую инфраструктуру и процессы. Это решение особенно актуально для компаний, которые стремятся улучшить безопасность своих продуктов, не теряя времени на переоборудование и значительные изменения инфраструктуры.

Безопасность, как неотъемлемая часть разработки.

В ходе выступления Алексей Бегаев подчеркнул, что для успешного создания безопасных программных продуктов необходимо не только внедрить дополнительные меры обеспечения безопасности, но и интегрировать их на всех этапах разработки. Успешная реализация мер информационной безопасности и инструментов безопасной разработки не требует разрушительных изменений в инфраструктуре компании-разработчика. Вместо этого важно грамотно выстроить и документировать все процессы разработки.

«Нельзя построить хороший дом на плохом фундаменте. Если процессы разработки слабо организованы, не стоит ожидать, что продукт будет качественным и безопасным. Мы предлагаем интегрировать безопасность, не разрушая уже выстроенные конструкции.»

Проблемы безопасности ПО и способы их решения.

Алексей Бегаев отметил, что одной из ключевых проблем безопасности ПО является использование заимствованных компонентов, которые могут содержать уязвимости. Для решения этой проблемы компания InSeq предлагает проводить независимую оценку безопасности критически важных компонентов и систем. Это поможет минимизировать риски и обеспечить защиту данных на всех уровнях.

«Многие уязвимости в ПО выявляются в заимствованных компонентах, что увеличивает риски для безопасности ПО. Важно внедрять независимую проверку для критически важных элементов системы и подключать к процессу внешних экспертов.»

Автоматизация, сдвиг влево и важность раннего тестирования.

Особое внимание Алексей Бегаев уделил внедрению принципа сдвига влево (shift-left) и автоматизации процессов тестирования. Он подчеркнул, что автоматизация проверки кода на уязвимости позволяет значительно ускорить выявление и устранение рисков, снижая вероятность ошибок, связанных с человеческим фактором.

«По нашему опыту, предложенный подход является наиболее адекватным вариантом решения вопросов обеспечения безопасности ПО в типовых случаях, когда частота релизов установлена один раз в две недели, а процесс подтверждения безопасности релиза занимает порядка полугода. Автоматизация большинства тестов безопасности и внедрение мер ИБ в производственный цикл разработки позволяют минимизировать риски и ускорить процессы устранения уязвимостей.»

Конференция “День безопасной разработки ПО” стала важной для обсуждения актуальных проблем и решений в области информационной безопасности. Участники конференции обсудили новейшие подходы к разработке безопасного ПО, в том числе автоматизацию процессов, сертификацию ПО и внедрение DevSecOps. Презентованные кейсы и инструменты продемонстрировали реальные примеры успешной интеграции инструментов в процессы разработки безопасного ПО.

Ренат Лашин, исполнительного директора АРПП, отметил, что тренд на безопасную разработку софта (РБПО) сегодня набирает обороты: «Заказчики все чаще говорят о важности РБПО. Мы это видим и по обращениям, поступающим в Ассоциацию, и по особому вниманию регуляторов к этому вопросу».

Основатель компании InSeq и член совета Московского регионального отделения «Деловой России» Алексей Бегаев дал экспертный комментарий изданию «Известия» на тему влияния ключевой ставки Центрального банка на экономику и бизнес.

В опубликованной статье, посвящённой замедлению роста корпоративного кредитования, Алексей Бегаев подчеркнул риски, связанные с ограничением финансирования предпринимателей, и возможные последствия для отраслей экономики.

«При высоких процентных ставках кредитов существенно возрастают риски для бизнеса, и встаёт вопрос о самой возможности выполнять те или иные задачи, в том числе поставленные государством. Если забрать у бизнеса и без того сложное кредитное финансирование, это может привести к коллапсу мелких, средних и в некоторых ситуациях даже крупных игроков, что, в свою очередь, может привести к системному кризису во многих отраслях», — отметил Алексей Бегаев.

Почему это важно?

Компания InSeq является профессионалом в области системной интеграции, информационной безопасности и автоматизации процессов на производстве. Экспертное мнение её владельца отражает не только глубокое понимание текущей экономической ситуации, но и прямую связь с тем, как финансовая нестабильность влияет на ключевые сферы бизнеса, включая безопасность и технологическое развитие.

В условиях высокой ключевой ставки компании, специализирующиеся на автоматизации и кибербезопасности, сталкиваются с новыми вызовами. Однако InSeq продолжает предлагать устойчивые решения для бизнеса, помогая клиентам минимизировать риски и повышать эффективность процессов.

14 августа 2024 года представители АО «ИНСЕК» приняли участие в Международном военно-техническом форуме «Армия-2024».

В рамках форума Алексей Бегаев, владелец АО «ИНСЕК» выступил в качестве эксперта на стратегической сессии, посвященной информационной безопасности, модератором которой выступил Маслов В.А., директор департамента цифровых технологий ТПП РФ.

На сессии были обсуждены ключевые аспекты, связанные с информационной безопасностью в промышленности, включая важные вопросы импортозамещения и рисков, с которыми сталкиваются компании, участвующие в выполнении государственного оборонного заказа (ГОЗ), а также комплексные решения для обеспечения защиты данных.

Алексей Бегаев, владелец АО «ИНСЕК», акцентировал внимание на серьезной проблеме атак на системы ОПК и на утечке конфиденциальной информации. Он выделил несколько основных причин, способствующих таким атакам, включая устаревшие процессы передачи и хранения ПО, медленное внедрение разработчиками процессов и инфраструктуры безопасной разработки ПО, и предложил возможные шаги для решения проблем, включая внедрение инфраструктуры INSEQ.rbpo и сопутствующих инструментов и процессов разработки.

ФСТЭК организует и занимается обеспечением безопасности информации в системах телекоммуникационной и информационной инфраструктуры, оказывающих влияние на безопасность государства в информационной сфере. Плановые и внеплановые проверки предприятий являются частью системы контрольных мероприятий, выполняемых ФСТЭК России.

Сертификат выдается Федеральным органом по сертификации, которым является ФСТЭК России, после положительного завершения работ по сертификации программного или программно-аппаратного продукта. Сертификат является подтверждением того, что применяемые программы, программно-аппаратные комплексы и средства защиты информации соответствуют требованиям и нормам безопасности.

Самый действенный способ – это обратиться за консультацией в аккредитованную испытательную лабораторию. Список лабораторий можно найти на сайте ФСТЭК России. Необходимо подать заявку в Федеральный орган по сертификации совместно с испытательной лабораторией с предоставлением необходимых данных об изделии, после чего будут проводиться сертификационные испытания, по результату которых будет приниматься решение о выдаче сертификата.

Аттестат выдается на объект информатизации и является подтверждением того, что объект информатизации соответствует требованиям по безопасности информации.

Необходимо обратиться в организацию-лицензиат ФСТЭК России. Организация, которая обладает лицензией ТЗКИ с указанными разрешенными видами работ на проведение аттестации, выполнит для вас все работы. Комплекс работ по подготовке объекта информатизации может включать поставку и настройку необходимых технических средств и разработку организационно-распорядительных документов для объекта. В рамках работ по аттестации объекта выполняется разработка программы и методики испытаний, проводятся аттестационные испытания на объекте, оформляются результаты и выдается аттестат соответствия.

Если компания обрабатывает на объекте информацию конфиденциального характера, не попадающую под требования обязательной аттестации (персональные данные, коммерческая тайна), в собственной информационной системе, то она сама выбирает проводить ли аттестацию своего объекта. Таким образом, в некоторых случаях можно обойтись без аттестата. Однако, в случае спорных моментов, которые могут возникнуть при проверке объекта информатизации, наличие аттестата, выданного сторонней экспертной организацией, будет являться существенным преимуществом для организации.

Несоблюдение требований законодательства и Федеральных органов по аттестации может повлечь за собой административную и уголовную ответственность.

В мероприятии, проходившем в очном формате, приняло участие более 750 участников и 85 спикеров.
В рамках деловой программы форума состоялись четыре конференции: PRO расследования инцидентов, PRO обнаружение угроз, PRO управление уязвимостями и PRO безопасную разработку.
Наша компания стала партнером мероприятия, а основатель и идейный вдохновитель компании Алексей Бегаев выступил с уникальной темой: «Как сделать разработку безопасной без сноса несущих конструкций?»

Представленное компанией АО «ИНСЕК» решение InSeq Secure Development Pipeline System (ISSDPS) объединяет знакомые разработчикам «open source»-инструменты разработки, скомпонованные в органичный CI/CD-конвейер.
Представленное решение дает разработчикам преимущества не только при разработке качественного программного обеспечения, но и готовый набор подобранных мер для соответствия требованиям нового ГОСТ 56939-2024 по безопасной разработке ПО.

ISSDPS выводится на рынок в виде программно-аппаратного комплекса на базе отказоустойчивого кластера, и в виде облачного сервиса. Представленное решение вызвало живой интерес у участников.