Контакты
Подписка 2025
Новости
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 17-18 июня на Форуме ITSEC 2025
Регистрируйтесь и участвуйте!

Регуляторная повестка ФСТЭК России в области разработки безопасного ПО на Форуме ITSEC

02/06/25

Ирина Гефнер, заместитель начальника Управления Федеральной службы по техническому и экспортному контролю, выступит на конференции «Проектирование и защита API» в рамках Форума ITSEC 17 июня 2025. Два дня Форума = лучшие практики, подходы и инструменты для обеспечения безопасности разработки. Программа и регистрация →

На конференции «Проектирование и защита API» обсудим вопросы нормативно-правового регулирования, актуальные уязвимости и способы защиты API. Поговорим о том, как создавать безопасную API-архитектуру с нуля, внедрять защиту в CI/CD-процессы без замедления разработки, а также какие инструменты наиболее эффективны для мониторинга и предотвращения атак.

Заместитель начальника Управления ФСТЭК России Ирина Гефнер расскажет, как нормативно-правовое регулирование в области разработки безопасного программного обеспечения формирует фундамент качественной и эффективной разработки ПО.

Ключевые темы конференции:

  • Роль регуляторов. Как нормативная база влияет на разработку защищённого ПО.
  • Проектирование безопасных API. Обсудим, как создавать API, учитывая требования безопасности и бизнес-задачи.
  • Уязвимости API. Разберём инъекции, IDOR, ошибки аутентификации и избыточные права доступа, которые встречаются как в публичных, так и во внутренних API. Рассмотрим проверенные методы их обнаружения и эффективные способы защиты.
  • Инструменты защиты. Поговорим о современных протоколах аутентификации и авторизации (OAuth 2.0, OpenID Connect), применении API Gateway и Web Application Firewall (WAF), а также об автоматическом мониторинге и логировании, которые позволяют оперативно выявлять подозрительную активность.
 
Игорь Бессчастный, лидер платформы API, замначальника управления развития технологических платформенных решений ПАО ВТБ, расскажет, как финансовые организации проектируют и защищают API в условиях высоких требований к безопасности, конфиденциальности и соответствию регуляторным нормам.
 
Артём Костючек, старший эксперт по AppSec АО «Альфа-Банк»,
разберёт ключевые уязвимости из OWASP API Top 10 и их причины, и покажет на примерах, как неочевидные ошибки конфигурации и проектирования API могут привести к серьёзным инцидентам. 
 

С технологической экспертизой выступят:

Темы докладов:

  • Нормативно-правовое регулирование в области РБПО как фундамент качественной и эффективной разработки ПО;
  • Безопасность разработки API в банках;
  • Исследование поверхности атаки, скрывающейся за публичным API;
  • Час пик: постройка системы проверки API, которая успевает за частыми релизами;
  • Защита API от атак типа IDOR (Insecure Direct Object References);
  • Аутентификация API. Подходы и практики;
  • Инвентаризация и харденинг API: лучшие рецепты;
  • Безопасность API приложений в DevOps процессах.
В рамках панельной дискуссии обсудим защиту API на стыке технологий, процессов и регуляторики с Романом Паниным, руководителем направления архитектуры ИБ ПАО «МТС»Дмитрием Тараненко, CISO ООО «Инновационная медицина» (СберЗдоровье), Игорем Бессчастным, лидером платформы API ПАО ВТБ, Александром Трифановым, ведущим инженером ООО «Авито», Дмитрием Марюшкиным, руководителем группы продуктовой безопасности ООО «Интернет Решения» (Ozon Fintech), Алексеем Морозовым, руководителем направления прикладной безопасности ООО «Умное пространство» (Ecom.tech, ex. Samokat.tech), Павлом Довгалюком, инженером ИСП РАН.
 

Зачем участвовать?

  • Вы узнаете, как проектируют и защищают API в ведущих российских компаниях;
  • познакомитесь с лучшими практиками для защиты API, чтобы минимизировать риски утечек данных;
  • получите ответы на свои вопросы напрямую от практиков, готовых поделиться опытом по самым актуальным и сложным проблемам;
  • установите новые профессиональные связи с экспертами в области IT и ИБ из банков, телекоммуникаций и e-commerce.

Кому будет интересно:

  • Специалистам по Application Security (AppSec);
  • Security Champions в командах разработки;
  • Экспертам и инженерам по информационной безопасности;
  • DevOps- и DevSecOps-инженерам;
  • Руководителям команд разработки.
ФСТЭК России выступит на конференции по защите API на Форуме ITSEC
17-18 июня 2025
Москва, Radisson Blu Belorusskaya 
 
Темы:APIITSEC 2025
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 18 июня 2025 →
Статьи по темеСтатьи по теме

  • Методология построения и защиты API простыми словами
    Тимофей Горбунов, продуктовый маркетолог “Вебмониторэкс”
    Задумайтесь, какое количество "толстых" клиентов вы используете уже сегодня? Какие тренды зарубежного технологического рынка сформировались за последние годы и дойдут до нас в полном объеме в ближайшее время?
  • Защита API от бот-атак и эксплуатации уязвимостей
    Роман Иванченко, руководитель направления RED Security Antibot
    Почти каждое современное приложение содержит уязвимости, эксплуатация которых, зачастую, приводит к прерыванию бизнес-процессов компании.
  • Защита API – это не просто WAF и блокировки
    Лука Сафонов, руководитель продукта “Гарда WAF”, группа компаний “Гарда”
    Еще в 2021 г. аналитики Gartner предсказывали, что атаки на API станут самым частым вектором взлома веб-приложений. Этот прогноз сбылся – за последние годы произошел ряд резонансных утечек данных через уязвимости API. По исследованиям, практически 99% организаций столкнулись с проблемами безопасности API за последние 12 месяцев.
  • Реалии и вызовы защиты API. Мнение экспертов о ключевых проблемах
    Для успешной защиты API важно учитывать факторы, которые могут повлиять на эффективность, производительность и совместимость ИБ>решений с существующей инфраструктурой. Редакция журнала "Информационная безопасность" задала экспертам вопросы об основных сложностях и вызовах, с которыми могут столкнуться компании при внедрении и использовании средств защиты API.
  • ПроAPI: принципы построения идеального API
    Лев Палей, Начальник отдела защиты информации СО ЕЭС
    В России идет бум разработки с учетом требований импортонезависимости. Надо много и быстро разрабатывать под совершенно разные нужды. А когда нужно быстро, понятия оптимизации, безопасности и корректности уходят на задний план. И возвращаются только когда наступает стадия масштабирования и подстройки системы под более жесткие требования.
  • WAAP для защиты веб-приложений и API
    Лука Сафонов, руководитель продукта “Гарда WAF”, группа компаний “Гарда”
    Cовременные системы все чаще используют API для интеграции со сторонними сервисами, мобильными приложениями и другими платформами. Традиционные средства защиты, как правило, не уделяли должного внимания безопасности API, не учитывали этот важный вектор атак и не предлагали эффективных механизмов противодействия.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 17-18 июня →

Еще темы...

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности