Регуляторная повестка ФСТЭК России в области разработки безопасного ПО на Форуме ITSEC

На конференции «Проектирование и защита API» обсудим вопросы нормативно-правового регулирования, актуальные уязвимости и способы защиты API. Поговорим о том, как создавать безопасную API-архитектуру с нуля, внедрять защиту в CI/CD-процессы без замедления разработки, а также какие инструменты наиболее эффективны для мониторинга и предотвращения атак.

Заместитель начальника Управления ФСТЭК России Ирина Гефнер расскажет, как нормативно-правовое регулирование в области разработки безопасного программного обеспечения формирует фундамент качественной и эффективной разработки ПО.

Ключевые темы конференции:

• Роль регуляторов. Как нормативная база влияет на разработку защищённого ПО.
• Проектирование безопасных API. Обсудим, как создавать API, учитывая требования безопасности и бизнес-задачи.
• Уязвимости API. Разберём инъекции, IDOR, ошибки аутентификации и избыточные права доступа, которые встречаются как в публичных, так и во внутренних API. Рассмотрим проверенные методы их обнаружения и эффективные способы защиты.
• Инструменты защиты. Поговорим о современных протоколах аутентификации и авторизации (OAuth 2.0, OpenID Connect), применении API Gateway и Web Application Firewall (WAF), а также об автоматическом мониторинге и логировании, которые позволяют оперативно выявлять подозрительную активность.

Важное место в программе занимают доклады экспертов из крупных российских банков, где требования к безопасности особенно высоки, а надёжная защита API необходима, чтобы предотвратить мошенничество и кражу данных клиентов.

 

Игорь Бессчастный, лидер платформы API, замначальника управления развития технологических платформенных решений ПАО ВТБ, расскажет, как финансовые организации проектируют и защищают API в условиях высоких требований к безопасности, конфиденциальности и соответствию регуляторным нормам.

 

разберёт ключевые уязвимости из OWASP API Top 10 и их причины, и покажет на примерах, как неочевидные ошибки конфигурации и проектирования API могут привести к серьёзным инцидентам. 

 

С технологической экспертизой выступят:

• Павел Довгалюк, инженер ФГБУН «ИСП РАН»,
• Александр Трифанов, ведущий инженер ООО «Авито», 
• Артём Костючек, старший эксперт по AppSec АО «Альфа-Банк»,
• Дмитрий Марюшкин, руководитель группы продуктовой безопасности ООО «Интернет Решения» (Ozon Fintech),
• Алексей Морозов, руководитель направления прикладной безопасности ООО «Умное пространство» (Ecom.tech),
• Ирина Блажина, архитектор информационной безопасности ООО «Оператор Газпром ИД».

Зачем участвовать?

• Вы узнаете, как проектируют и защищают API в ведущих российских компаниях;
• познакомитесь с лучшими практиками для защиты API, чтобы минимизировать риски утечек данных;
• получите ответы на свои вопросы напрямую от практиков, готовых поделиться опытом по самым актуальным и сложным проблемам;
• установите новые профессиональные связи с экспертами в области IT и ИБ из банков, телекоммуникаций и e-commerce.

Кому будет интересно:

• Специалистам по Application Security (AppSec);
• Security Champions в командах разработки;
• Экспертам и инженерам по информационной безопасности;
• DevOps- и DevSecOps-инженерам;
• Руководителям команд разработки.