Привет, меня зовут Алина Богомолова, я project-manager в IT-компании Pitch. Сегодня я хочу поделиться нашей экспертизой в сфере создания сайтов для медучреждений.
Государство предъявляет к их содержанию повышенные требования. Эти требования описаны в 5 Федеральных законах и в более чем 10 приказах, постановлениях правительства и иных подзаконных актах. Делается это для того, «чтобы не вводить пациентов в заблуждение относительно предоставляемых медицинских услуг». Но мы знаем что государство все стандартизирует. Небольшая частная клиника или городской диспансер — соответствуйте единым требованиям. А требований много. Очень много :-)
Для любого медучреждения альтернатива очевидна. Если соблюдать все требования регулятора — есть риск того, что сайт станет непонятным и неудобным для пользователей. Если игнорировать — можно получить штраф в размере 5 миллионов рублей. Много.
В идеальном мире команды безопасности — это компетентные специалисты, которые занимаются анализом рисков, моделированием угроз, защитой от целевых атак, расследованием инцидентов и другой важной работой. В том же идеальном мире разработчики ПО — это люди и команды, которые создают продукты и выполняют проекты в срок и с наилучшим качеством. В их продуктах не бывает уязвимостей, и иногда им всего лишь нужно пройти «эту дурацкую приемку» по безопасности у крупных заказчиков.
Конечно, в реальности эти команды и их взаимодействие могут быть далеко не такими идеальными — безопасность часто не хочет вникать в специфику разработки, а разработчикам нет дела до требований безопасности. Меня зовут Сергей Волдохин, я директор компании «Антифишинг». Я побывал по обе стороны — больше семи лет отвечал за безопасность в международной компании, а сейчас занимаюсь разработкой собственных продуктов и отвечаю за их безопасность перед крупными заказчиками. В этой статье я расскажу, как научить разработчиков говорить на одном языке с безопасностью. И как сделать так, чтобы продукты выходили в релиз вовремя и оставались максимально защищенными.