20 февраля 2026 | Конференция | 10:00 — 18:00

Подходы и инструменты управления процессом РБПО. Долгая дорога — эффективный бизнес

Мастер-трек в другом зале →

РБПО-сообщество ФСТЭК России и ИСП РАН

Дмитрий Пономарев, заместитель генерального директора - директор департамента внедрения и развития РБПО в НТЦ Фобос-НТ, сотрудник ИСП РАН, преподаватель МГТУ им. Н.Э. Баумана кафедра ИУ10

Андрей Мирошкин, генеральный директор компании Гротек

10:20 — 10:45

Александр Каверин, руководитель Центр обеспечения автоматизации производства ПАО "ГК "Базис"

Как за год выстроили масштабируемые процессы РБПО: от пилотного продукта к десяткам команд.
Переход от разрозненных решений к единому workflow разработки с автоматизацией и CI/CD.
Интеграция безопасности в жизненный цикл продукта: SBOM, воспроизводимые сборки, контролируемая цепочка поставок.
Изменение роли РБПО: от контрольной функции к партнёрству с командами разработки.
Переход от сертификации отдельных продуктов к сертификации процессов безопасной разработки.
Организационные факторы успеха и практическая ценность сертификации РБПО для бизнеса.

10:45 — 11:25

Алексей Смирнов, генеральный директор CodeScoring

Современные стандарты РБПО и опыт российского рынка только и говорят, что о процессах безопасной разработки. Сам процесс не появляется в один день после прочтения больших "карт внедрения" инструментов и найма нужных специалистов. Доклад посвящен поэтапному внедрению политик безопасной разработки, которое должно уберечь от лишних разрушительных действий как саму службу безопасной разработки, так и R&D.

11:45 — 12:10

Степан Харитонов, руководитель центра экспертизы по безопасной разработке, ООО "КСБ-СОФТ"

1) Проблемы и боли при внедрении и развитии процессов РБПО.

2) РБПО as a Service: траектория создания безопасного ПО.

3) Модель безопасного тестового контура в рамках разработки и сопровождения ПО.

4) Участие в исследовании безопасности системного ПО, вклад в образовательную и научную деятельность.

5) Построение процессов РБПО с командой КСБ-СОФТ: преимущества и выгоды.

6) От слов к действию: 5 простых шагов для успешной реализации РБПО.

12:10 — 12:35

Роман Разов, начальник отдела исследования уязвимостей программного обеспечения ООО "АМИКОН"

Краткое описание: Рассказ о том как хороший pipeline сборки ПО убил небольшую стаю «обезьян», сделал дедлайны более управляемыми и неожиданно оставил время на исследование безопасности ПО.

12:35 — 13:00

Марк Коренберг, технический директор Ideco.

РБПО — это непрерывный процесс, встроенный в жизненный цикл системы, а не набор документов. Архитектурные решения напрямую влияют на управляемость и соответствие требованиям. Управление изменениями строится на атомарности, воспроизводимости и контроле состояния. CI/CD и автоматизация становятся элементами безопасности. Open source требует аудита и контроля цепочки поставок. Правильные интерфейсы снижают риск ошибок администратора и повышают прозрачность. Все это – составные части РБПО.

13:00 — 13:25

Дмитрий Ткачев, директор по разработке ПО, UserGate

Компании, работающие в области ИБ и и микроэлектроники, не могут воспринимать РБПО только как формальное требование. Для UserGate это каркас производственных процессов, для обеспечения устойчивого, прозрачного и безопасного конвейера разработки.
Путь от декларации намерений, стандартизировать процессы под требования РБПО, до результата, UserGate прошел за полтора года.
Учитывая большую кодовую базу и количество продуктов, эти сроки потребовали существенного перестроения процессов компании.
В ходе доклада расскажем путь компании, и сделаем акцент на основных сложностях, и способах их решений.

13:25 — 13:50

Мария Матвейчук, старший инженер по ИБ, Postgres Professional

Валерий Попов, руководитель отдела ИБ, Postgres Professional

Разберем реальный кейс успешного аудита, который показал: ключ к успеху — в демонстрации живой, работающей системы, которая ежедневно создает ценность для бизнеса.

В фокусе доклада:

Что убеждает сильнее? Безупречный регламент или живой процесс?

Стратегия вместо протокола. Как подготовить команду — от методолога до архитектора — не к стрессовому «допросу», а к уверенной демонстрации своих сильных сторон и рабочих практик.

Аудит как диалог. Как превратить формальную проверку в совместный с аудитором поиск точек роста, сохранив комфорт и продуктивную атмосферу для команды.

13:50 — 14:15

Антон Прокофьев, руководитель центра технологической экспертизы AppScreener, ГК Солар

Уязвимости в веб-приложениях вызывают больше половины кибератак. SQL-инъекции и XSS приводят к многомиллионным убыткам компаний. Команда Solar appScreener анонсирует новые AI-модули DerCodeFix и DerTriage, прошедшие 7-летнее обучение. На данный момент мы достигли отличных результатов: более 95% ложноположительных срабатываний фильтруется автоматически, а большинство рекомендаций по исправлению кода принимаются без доработок. При этом наши модули работают в периметре заказчика без доступа к интернету.

14:15 — 14:40

Владимир Тележников, директор Департамента анализа безопасности, Группа Астра.

OC Astra Linux прошла длинный путь по дороге РБПО, продолжает идти: не сворачивая, а лишь наращивая темп. Оценим результат с позиции достижения главной цели - повышения защищенности ОС Astra Linux. А так же рассмотрим, как это помогает в решении амбициозной задачи построения экосистемы безопасного инфраструктурного ПО "Группы Астра".

14:40 — 15:05

Антон Гаврилов, владелец продукта Шерлок, ООО "Аксель Про"

Проанализируем, с какими сложностями сталкиваются команды при реализации ключевых процессов безопасной разработки (на примере поиска секретов, статического и композиционного анализов), и как использование централизованного подхода может эти сложности решить.

15:15 — 15:35

Кирилл Пихтовников, заместитель генерального директора по производству — технический директор ПАО “Ростелеком”

За прошедшие 3 года, ИТ-кластер Ростелеком прошел путь от нескольких независимых репозиториев open-source артефактов, со своими правилами использования артефактов в разработке, до единого централизованного хранилища артефактов, который в итоге стал OSA/SCA решением «Безопасный репозиторий РТК-Феникс».
В выступлении будет рассказан наш путь повышения безопасности разработки во внутренней практике на 3+ тысячи разработчиков, покажем текущую статистику по блокировке артефактов и разберем наиболее сложные вызовы, которые у нас были, а также как мы их решали.

15:35 — 15:55

Евгений Дужак, Руководитель группы разработки СЗИ, ООО "СВД ВС"

Чем сложен рынок встраиваемых ОС? Как жить с зоопарком процессорных архитектур? Есть ли место РБПО в этом зоопарке? Как для встраиваемой системы обеспечивать наличие актуальных инструментов, если никто кроме вас не делает инструментов для этой встраиваемой ОСи? Как строить конвейер сборки для такой ОС? Где тут место динамическому анализу? На эти вызовы реального инженерного опыта мы представим практические ответы, основанные на многолетней работе над ЗОСРВ "Нейтрино".

16:15 — 16:35

Александр Дубинин, эксперт по информационной безопасности, YADRO (ООО "КНС ГРУПП")

В докладе расскажем про безопасную разработку нашей мобильной ОС на базе AOSP - kvadraOS. Развеем некоторые мифы и легенды вокруг AOSP, кратко опишем архитектуру безопасности и расскажем, с какими вызовами пришлось столкнуться в применении практик РБПО при ее разработке.

16:40 – 18:00

Поговорим о том, как инвестиции в РБПО превратились из обязательной практики в источник реальной бизнес-ценности.

Участники обсудят, как компании научились зарабатывать на инженерных процессах, запускать новые направления, повышать эффективность и качество разработки, и превращать безопасность и надежность в конкурентное преимущество. Фокус — не на регуляторике, а на практическом опыте, технологиях и бизнес-first подходе: что работает, что масштабируется и как РБПО становится драйвером роста.