13 февраля 2025 | конференция | 10:00 — 17:00 | Крокус Экспо | Синий зал (Конференц-зал 4)

Эксперты и экспертиза РБПО. Вызовы нашего времени

Мастер-трек в другом зале →

Опыт внедрения практик безопасной и качественной разработки, первые итоги аттестации экспертов, запущенной ФСТЭК России в декабре 2024, вопросы подготовки кадров, средства и методики безопасной разработки, анализа защищенности информационных систем.

Генеральный партнер конференции

Стратегические партнеры конференции

Партнеры конференции

Сообщество РБПО

Дмитрий Пономарев, НТЦ Фобос-НТ
Андрей Мирошкин, Гротек

Приветственное слово ведущих конференции

Сообщество энтузиастов РБПО под эгидой Центра компетенций ФСТЭК России и ИСП РАН

Дмитрий Пономарев, заместитель генерального директора  - директор департамента внедрения и развития РБПО в НТЦ Фобос-НТ, сотрудник ИСП РАН, преподаватель МГТУ им. Баумана кафедра ИУ10

Андрей Мирошкин, генеральный директор компании Гротек
 
Степан Харитонов, КСБ-Софт

Путешествие к безопасному ПО: идти медленно одному или далеко вдвоем?

10:20 – 10:45
 
Степан Харитонов, Начальник отдела безопасной разработки и сертификации, КСБ-СОФТ

Типовые проблемы при внедрении РБПО. Самостоятельное внедрение vs привлечение сторонних ресурсов. Истории про путешествия: типовые сценарии построения процессов РБПО в компании. Участие в исследовании безопасности системного ПО, вклад в образовательную и научную деятельность. Построение процессов РБПО с командой КСБ-СОФТ: преимущества и выгоды.
 
Дмитрий Карасовский, Базис
Натали Дуботолкова, Базис

Выстраивание РБПО при разработке инфраструктурных решений

10:45 – 11:10
 
Дмитрий Карасовский, архитектор, группа обеспечения безопасности платформенных сервисов, Базис
Натали Дуботолкова, ведущий инженер DevSecOps, Базис
 
Алексей Смирнов, CodeScoring

Построение процесса безопасной разработки: от общего к частностям

11:10 – 11:35
 
Алексей Смирнов, генеральный директор CodeScoring
 
Построение безопасной разработки это не только найм специалистов, закупка и установка инструментов, но и налаживание процессов. Доклад представляет собой разбор ключевых шагов и возможных подводных камней, о которые легко споткнуться, если недооценить свои силы. Взгляд вендора, в том числе на себя, на боли и проблемы внедрения и как успех от внедрения РБПО помогает с развитием общей культуры разработки.
 
Николай Костригин, Базальт СПО

РБПО на конвейере: как Hantis избавляет исследователя от рутины

11:50 – 12:15
 
Софья Платонова, менеджер по работе с коммерческими партнерами, Базальт СПО

Николай Костригин, начальник отдела безопасности разработки ПО, Базальт СПО
 

В докладе мы рассмотрим, какие подходы к РБПО-исследованиям применяет команда "Базальт СПО" и как конвейер автоматизации Hantis помогает минимизировать число рутинных операций, превращая поиск и устранение уязвимостей в понятный и менее утомительный процесс.

 
Сергей Анненков, АМИКОН

Делаем ядро безопасным: как не заблудиться в уязвимостях ядра Linux

12:15 – 12:40
 
Сергей Анненков, руководитель отдела исследования уязвимостей ПО, АМИКОН

Варианты получения списка уязвимостей. Готовые базы CVE для Linux и их особенности. Как мы отфильтровывали нерелевантные уязвимости. Интересные CVE, мимо которых вы могли пройти.
 
Марк Коренберг, Ideco

Как SDL формирует будущее компании

12:40 – 13:05

Марк Коренберг, технический директор ООО "Айдеко"
 
Внедрение SDL - сложный и трудоемкий процесс, но именно этот процесс позволяет нам последовательно и эффективно реализовывать идеи, превращая их в успешные продукты. Используя SDL, мы можем предугадывать и реагировать на изменения в потребностях клиентов, что способствует созданию инновационных решений. В конечном итоге, SDL становится основой для формирования будущего компании, обеспечивая стабильный рост и развитие в динамичной бизнес-среде.
 
Владимир Тележников, Астра

Разработка безопасной ОС Astra Linux: вызовы и решения

13:05 – 13:30
 
Владимир Тележников, директор Департамента анализа безопасности, Группа Астра

Применение практик РБПО для ОС Astra Linux обладает определенной спецификой, что связано с большим объемом исследуемого кода и наличием широкого круга сценариев эксплуатации. Рассмотрим некоторые особенности, проблемы и пути их решения. Вместе с тем затронем такие вопросы как: моделирование угроз, формирование безопасной конфигурации ядра ОС и системного ПО, опыт взаимодействия с технологическими партнерами и Центром исследования безопасности системного ПО и т.д.
 
Валерий Попов, Postgres Professional

Как мы научились сертифицировать по 40 релизов постгреса в год

13:30 – 13:55
 
Валерий Попов, руководитель отдела ИБ, Postgres Professional

Начиная еще с 2018 года, со 131 Приказа ФСТЭК о Требованиях доверия, через все стадии принятия неизбежного, мы начали выстраивать в компании Postgres Professional процессы безопасной разработки. Несмотря на изначально работающие в сообществе PostgreSQL подходы к безопасной разработке, мы сначала бережно подхватили их, а потом начали развивать и обогащать различными методиками. Преодолевать инерцию (зачем все это?) помогала поддержка руководства компании, испытательная лаборатория, и постепенное понимание, что РБПО реально способна улучшить качество наших продуктов. На этом пути были перепробованы различные способы организации статического анализа, фаззинга, композиционного анализа, других процессов по методике ВУ и НДВ, сертификационных испытаний.
Сейчас мы находимся на этапе, когда наши процессы работают, автоматизация испытаний позволяет нам ежеквартально выпускать по 10 мажорных релизов сертифицированных версий СУБД, и еще больше обычных версий, а также много дополнительных продуктов.
 
Кирилл Стуженов, Гарда_sq

Проблемы и сложности внедрения безопасной разработки, или страх и ненависть РБПО

13:55 – 14:20
 
Кирилл Стуженов, начальник отдела безопасной разработки, группа компаний "Гарда"
 
Расскажем о ключевых сложностях, возникающих при выстраивании процессов безопасной разработки. Разберем проблемы, с которыми столкнулись при применении статического анализа, фаззинг-тестирования и компонентного анализа, а также поделимся подходами к их решению
 
Алексей Захаров, Axiom JDK

РБПО с AXIOM JDK

14:40 – 15:00

Алексей Захаров, директор по технологическому консалтингу Axiom JDK
 
Внедрение процессов РБПО в рамках национального стандарта ГОСТ Р 56939-2024 требует комплексного подхода, охватывающего все этапы жизненного цикла ПО. Для этого необходимо глубокое знание спецификаций, кодовой базы и архитектуры продуктов. В ходе реализации РБПО при разработке защищенной Java-платформы в Axiom JDK были выстроены механизмы многоуровневого тестирования, включая статический, динамический и регрессионный анализ, а также фаззинг. Дополнительно были обеспечены проверка цепочки поставок и автоматизация выпуска релизов. Методология показала эффективность и выявила области для дальнейшего улучшения, в том числе с поддержкой сообщества.
 
Дмитрий Шаньгин
Станислав Воскресенский Конфидент

Баланс скорости разработки и безопасности: конфликт интересов бизнеса и специалистов РБПО

15:00 – 15:20
 
Дмитрий Шаньгин, технический директор Центра защиты информации ГК "Конфидент"
 
Станислав Воскресенский, руководитель центра компетенций Центра защиты информации ГК "Конфидент"
 
  • Конфликт интересов бизнеса и специалистов по РБПО на производстве СЗИ, перечень острых углов и проблем
  • Выбор инструментов
  • Сложности формирования команд
  • Автоматизация и механизмы повышения эффективности
 
Ильмар Хабибулин, NGR Softlab

Дорога навстречу Великому и Ужасному РБПО

15:20 – 15:40
 
Ильмар Хабибулин, заместитель директора по разработке NGR Softlab

Почему мы вообще решили сделать разработку “безопасной”. Практики РБПО: что мы делали, с какими сложностями столкнулись и что у нас получилось в итоге. Что надо знать, если вы тоже идете навстречу РБПО: рекомендации и лайфхаки от тех, кто уже с этим столкнулся


Александр Дубинин, YADRO

Управление недостатками/уязвимостями в процессе РБПО - взгляд со стороны разработчика

15:40 – 16:00
 
Александр Дубинин, эксперт по информационной безопасности, YADRO

Конструктивизм и функциональный минимализм. Особенности управления уязвимостями и недостатками на этапе "Сопровождение и эксплуатация" в жизненном цикле безопасного продукта. Инструменты РБПО - источники информации об уязвимостях/дефектах, Процесс выпуска хот-фиксов (для критических уязвимостей) и регулярных патч-релизов - SymVer, особенности Enterprise. "Прошивка" vs. приклад+ОС (не мы одни такие, встроенным ПО много кто занимается, кроме ОС общего назначения есть куча специального ПО). "Побочка" SCA: Меньше компонентов - меньше уязвимостей, меньше тестирования, меньше расход ресурсов на сопровождение продукта. Управление дефектами и SCA - как дерево зависимостей на практике позволяет сократить объем тестирования патч-релизов, исправляющих дефекты. Изолированная воспроизводимая сборка и средства кросс-компиляции - (Yocto/OE, Buildroot, T2SDE, etc.) как способ выпускать "правильные" hot fixes.
 
Фото РБПО

Круглый стол "Эксперты и экспертиза"

16:00 – 17:20
 
Участники: Андрей Кузнецов (НТЦ Фобос-НТ), Артем Павлов (ЦБИ), Егор Погорелко (МГТУ им. Н. Э. Баумана), Александр Гетьман (ИСП РАН), Владимир Карантаев (НТИ МЭИ), Татьяна Билык (Ассоциация ФинТех)
 
На традиционном итоговом круглом столе обсудим важнейшую проблему - требования  к современному эксперту и к системе подготовки современного эксперта. Запущенный ФСТЭК России процесс аттестации экспертов испытательных лабораторий и органов по сертификации предъявляет качественно новый уровень требований к квалификации экспертов.  Акцент смещается от чистого знания нормативно-правовой базы в область практических навыков в фаззинг-тестировании, статическом анализе и иных видах исследований кода и программного обеспечения. Отвечающие вызовам времени требования к эксперту в области ИБ и РБПО практически не оставляют шансов быть таким экспертом без знания основ программной инженерии, без понимания того "как работает компилятор", что в свою очередь требует выстраивания соответствующих учебных программ и объединения усилий множества организаций. Обсудить всё вышесказанное в формате круглого стола соберутся:
 
  • эксперты испытательных лабораторий НТЦ Фобос-НТ и ЦБИ, одними из первых успешно прошедшие аттестацию
  • представители кафедры ИУ10 МГТУ им. Н. Э. Баумана, готовящей специалистов ФСТЭК России и являющейся площадкой для проведения аттестации
  • представители отечественного экспертного сообщества из НТИ МЭИ и ИСП РАН, вовлеченные в процессы развития и популяризации учебных программ
  • представители сообщества Ассоциация ФинТех, решающие аналогичные задачи в своем сегменте.

К участию в круглом столе приглашены представители 2 управления ФСТЭК России.

Сергей Груздев, Аладдин Р.Д.

Инфраструктура доверия. Ключевые компоненты для построения безопасной доверенной ИТ-инфраструктуры

14:25 – 14:45
 
Сергей Груздев, генеральный директор, АО "Аладдин Р.Д."
 
Ольга Гурулева, Группа Астра

Особенности построения систем защиты на основе сертифицированных операционных систем

14:45 – 15:05
 
Ольга Гурулева, директор департамента информационной безопасности, ПАО "Группа Астра"
Елена Маньжова, директор департамента сертификации и контроля безопасности разработки, ПАО "Группа Астра"
 
Айбек Абдыманап, RTT

Жесткое экранозамещение или опыт разработки межсетевого экрана на российском процессоре

15:05 – 15:25
 
Айбек Абдыманап, исполнительный директор RTT
 
Дмитрий Шевцов, ФСТЭК России

Подведение итогов

15:25 – 15:40
 
Дмитрий Шевцов, начальник управления ФСТЭК России
 

*Темы выступлений, презентации и фотографии предоставлены докладчиками

Есть о чем рассказать?

Демонстрируйте экспертизу компании, современние решения и эффективные технологии

Выступить в программе