13 февраля 2025 | конференция | 11:40 — 16:10 | Крокус Экспо | Зал 3

Мастер-трек "Подходы и инструменты управления процессом РБПО"

Основной трек в другом зале →

Трек мастер-классов: примеры работы с инструментами РБПО, средства и методики безопасной и качественной разработки, анализа защищенности информационных систем

Партнеры конференции

Сообщество РБПО

Генеральный партнер конференции

Стратегические партнеры конференции

Партнер мастер-трека

Мастер-трек РБПО

Фобос
Андрей Мирошкин, Гротек

Приветственное слово ведущих конференции

Сообщество энтузиастов РБПО под эгидой Центра компетенций ФСТЭК России и ИСП РАН

Дмитрий Пономарев, заместитель генерального директора  - директор департамента внедрения и развития РБПО в НТЦ Фобос-НТ, сотрудник ИСП РАН, преподаватель МГТУ им. Баумана кафедра ИУ10

Андрей Мирошкин, генеральный директор компании Гротек
 
Андрей Кузнецов, Фобос-НТ

Ведущий мастер-трека

Андрей Кузнецов, заместитель директора департамента внедрения и развития практик, НТЦ "Фобос-НТ”
Алексей Щербаков, Лукоморье
Ирина Филиппова, Лукоморье
Андрей Рождественский, Лукоморье

Применение отечественного ПО для автоматизации процессов разработки и ведения базы знаний

11:40 – 12:35
 
Алексей Щербаков, технический директор, "Лукоморье"
Ирина Филиппова, директор проектов Яга.Задачи, "Лукоморье"
Андрей Рождественский, директор проектов Яга.Статьи, "Лукоморье"
 
Во время мастер-трека Алексей Щербаков расскажет о технологиях, реализованных в Яге в соответствии со стандартами безопасности, Ирина Филиппова погрузит слушателей в продуктовую часть модуля Яга.Задачи, а Андрей Рождественский покажет реальный кейс, реализованный для руководства Ростелеком. 
 
Анатолий Карпенко, Luntry

Основы анализа СЗИ в контейнерном исполнении с помощью Luntry

12:40 – 13:25
 
Анатолий Карпенко, инженер по автоматизации, Luntry

Пройдем путь от полного неведения о попавшем нам в руки для анализа СЗИ в контейнерном исполнении до полного понимания, что это за средство, как оно устроено и насколько все хорошо с безопасностью.
Узнаем, как быстро понять исследуемое приложение с точки зрения его компонентов и активности, на какие аспекты образов контейнеров стоит обращать внимание с точки зрения информационной безопасности. Углубимся в свойства безопасности на уровне контейнеров и YAML файлов, описывающих их в Kubernetes.
 
Николай Казанцев, Securitm

Интеграция РБПО в управление информационной безопасностью компании

13:30 – 14:30
 
Николай Казанцев, CEO ООО "СЕКЪЮРИТМ" 
 
Домены и направления работы корпоративных служб ИБ хорошо описаны в регуляторике и  лучших практиках. РБПО как развивающееся направление тоже обрастает регуляторикой, своими лучшими практиками и подходами. Часто корпоративная ИБ и РБПО рассматриваются как отдельные направления, реализуются отдельными командами, дублируют или наоборот не пересекаются друг с другом. Строя единую систему управления ИБ следует объединять корп. ИБ и РБПО. О том как это может быть реализовано с использованием современных систем управления процессами в докладе.
 
Андрей Кузнецов, Фобос-НТ

Современная лаборатория - конвейеризация процессов анализа

14:35 – 15:20
 
Коллектив НТЦ Фобос-НТ под руководством заместителя директора департамента внедрения и развития практик РБПО Андрея Кузнецова: Елена Быханова, Артем Буркэ, Андрей Слепых, Леонид Ревякин, Евгения Ремезова.

Современная лаборатория это всё меньше про "бумажную безопасность", и всё больше про передовые практики анализа систем и кода, участие в развитии инструментов, построение процессов РБПО у заказчиков. В докладе расскажем про все основные практики нашей работы и про то, как объединить их в единый конвейер. 
 
Павел Довгалюк, ИСП РАН

Определение поверхности атаки сложных систем

15:25 – 16:10
 
Павел Довгалюк, инженер "ИСП РАН"
 
Анализ поверхности атаки необходим для тестирования и сертификации ПО. Одна из частей поверхности атаки — это потенциально уязвимые функции и модули, обрабатывающие пользовательский ввод или чувствительные данные. Эти части программного кода могут быть найдены экспертно или с помощью средств статического и динамического анализа.
 
Айдеко

Тема

12:40 – 13:05

Спикер
 
Владимир Тележников, Астра

Разработка безопасной ОС Astra Linux: вызовы и решения

13:05 – 13:30
 
Владимир Тележников, директор Департамента анализа безопасности, Группа Астра

Применение практик РБПО для ОС Astra Linux обладает определенной спецификой, что связано с большим объемом исследуемого кода и наличием широкого круга сценариев эксплуатации. Рассмотрим некоторые особенности, проблемы и пути их решения. Вместе с тем затронем такие вопросы как: моделирование угроз, формирование безопасной конфигурации ядра ОС и системного ПО, опыт взаимодействия с технологическими партнерами и Центром исследования безопасности системного ПО и т.д.
 
Валерий Попов, Postgres Professional

Как мы научились сертифицировать по 40 релизов постгреса в год

13:30 – 13:55
 
Валерий Попов, руководитель отдела ИБ, Postgres Professional

Начиная еще с 2018 года, со 131 Приказа ФСТЭК о Требованиях доверия, через все стадии принятия неизбежного, мы начали выстраивать в компании Postgres Professional процессы безопасной разработки. Несмотря на изначально работающие в сообществе PostgreSQL подходы к безопасной разработке, мы сначала бережно подхватили их, а потом начали развивать и обогащать различными методиками. Преодолевать инерцию (зачем все это?) помогала поддержка руководства компании, испытательная лаборатория, и постепенное понимание, что РБПО реально способна улучшить качество наших продуктов. На этом пути были перепробованы различные способы организации статического анализа, фаззинга, композиционного анализа, других процессов по методике ВУ и НДВ, сертификационных испытаний.
Сейчас мы находимся на этапе, когда наши процессы работают, автоматизация испытаний позволяет нам ежеквартально выпускать по 10 мажорных релизов сертифицированных версий СУБД, и еще больше обычных версий, а также много дополнительных продуктов.
 
Кирилл Стуженов, Гарда

Тема

13:55 – 14:20
 
Кирилл Стуженов, начальник отдела безопасной разработки,  группа компаний "Гарда"
 
БЕЛЛСОФТ

Тема

14:40 – 15:00

Спикер
 
Дмитрий Шаньгин
Конфидент

Баланс скорости разработки и безопасности: конфликт интересов бизнеса и специалистов РБПО

15:00 – 15:20
 
Дмитрий Шаньгин, технический директор Центра защиты информации ГК "Конфидент"
 
Станислав Воскресенский, руководитель центра компетенций Центра защиты информации ГК "Конфидент"
 
Ильмар Хабибулин, NGR Softlab

Дорога навстречу Великому и Ужасному РБПО

15:20 – 15:40
 
Ильмар Хабибулин, заместитель директора по разработке NGR Softlab

Почему мы вообще решили сделать разработку “безопасной”
Практики РБПО: что мы делали, с какими сложностями столкнулись и что у нас получилось в итоге
Что надо знать, если вы тоже идете навстречу РБПО: рекомендации и лайфхаки от тех, кто уже с этим столкнулся


Александр Дубинин, YADRO

Управление недостатками/уязвимостями в процессе РБПО - взгляд со стороны разработчика

15:40 – 16:00
 
Александр Дубинин, эксперт по информационной безопасности, YADRO

  • Конструктивизм и функциональный минимализм.
  • Особенности управления уязвимостями и недостатками на этапе "Сопровождение и эксплуатация" в жизненном цикле безопасного продукта.
  • Инструменты РБПО - источники информации об уязвимостях/дефектах;
  • Процесс выпуска хот-фиксов (для критических уязвимостей) и регулярных патч-релизов - SymVer, особенности Enterprise;
  • "Прошивка" vs. приклад+ОС (не мы одни такие, встроенным ПО много кто занимается, кроме ОС общего назначения есть куча специального ПО);
  • "Побочка" SCA: Меньше компонентов - меньше уязвимостей, меньше тестирования, меньше расход ресурсов на сопровождение продукта;
  • Управление дефектами и SCA - как дерево зависимостей на практике позволяет сократить объем тестирования патч-релизов, исправляющих дефекты;
  • Изолированная воспроизводимая сборка и средства кросс-компиляции - (Yocto/OE, Buildroot, T2SDE, etc.) как способ выпускать "правильные" hot fixes.
 
Сергей Груздев, Аладдин Р.Д.

Инфраструктура доверия. Ключевые компоненты для построения безопасной доверенной ИТ-инфраструктуры

14:25 – 14:45
 
Сергей Груздев, генеральный директор, АО "Аладдин Р.Д."
 
Ольга Гурулева, Группа Астра

Особенности построения систем защиты на основе сертифицированных операционных систем

14:45 – 15:05
 
Ольга Гурулева, директор департамента информационной безопасности, ПАО "Группа Астра"
Елена Маньжова, директор департамента сертификации и контроля безопасности разработки, ПАО "Группа Астра"
 
Айбек Абдыманап, RTT

Жесткое экранозамещение или опыт разработки межсетевого экрана на российском процессоре

15:05 – 15:25
 
Айбек Абдыманап, исполнительный директор RTT
 
Дмитрий Шевцов, ФСТЭК России

Подведение итогов

15:25 – 15:40
 
Дмитрий Шевцов, начальник управления ФСТЭК России
 

*Темы выступлений, презентации и фотографии предоставлены докладчиками

Есть о чем рассказать?

Демонстрируйте экспертизу компании, современние решения и эффективные технологии

Выступить в программе