Регуляторная повестка ФСТЭК России в области разработки безопасного ПО на Форуме ITSEC

Ирина Гефнер, заместитель начальника Управления Федеральной службы по техническому и экспортному контролю, выступит на конференции«Проектирование и защита API» в рамках Форума ITSEC 17 июня 2025. Два дня Форума = лучшие практики, подходы и инструменты для обеспечения безопасности разработки. Программа и регистрация →

На конференции «Проектирование и защита API» обсудимвопросы нормативно-правового регулирования, актуальные уязвимости и способы защиты API. Поговорим о том, как создавать безопасную API-архитектуру с нуля, внедрять защиту в CI/CD-процессы без замедления разработки, а также какие инструменты наиболее эффективны для мониторинга и предотвращения атак.

Заместитель начальника Управления ФСТЭК России Ирина Гефнер расскажет, как нормативно-правовое регулирование в области разработки безопасного программного обеспечения формирует фундамент качественной и эффективной разработки ПО.

Ключевые темы конференции:

• Роль регуляторов. Как нормативная база влияет на разработку защищённого ПО.
• Проектирование безопасных API. Обсудим, как создавать API, учитывая требования безопасности и бизнес-задачи.
• Уязвимости API. Разберём инъекции, IDOR, ошибки аутентификации и избыточные права доступа, которые встречаются как в публичных, так и во внутренних API. Рассмотрим проверенные методы их обнаружения и эффективные способы защиты.
• Инструменты защиты. Поговорим о современных протоколах аутентификации и авторизации (OAuth 2.0, OpenID Connect), применении API Gateway и Web Application Firewall (WAF), а также об автоматическом мониторинге и логировании, которые позволяют оперативно выявлять подозрительную активность.

Важное место в программе занимают доклады экспертов из крупных российских банков, где требования к безопасности особенно высоки, а надёжная защита API необходима, чтобы предотвратить мошенничество и кражу данных клиентов.

Игорь Бессчастный, лидер платформы API, замначальника управления развития технологических платформенных решений ПАО ВТБ, расскажет, как финансовые организации проектируют и защищают API в условиях высоких требований к безопасности, конфиденциальности и соответствию регуляторным нормам.

Артём Костючек, старший эксперт по AppSec АО «Альфа-Банк»,

разберёт ключевые уязвимости из OWASP API Top 10 и их причины, и покажет на примерах, как неочевидные ошибки конфигурации и проектирования API могут привести к серьёзным инцидентам. 

С технологической экспертизой выступят:

• Павел Довгалюк, инженер ФГБУН «ИСП РАН»,
• Александр Трифанов, ведущий инженер ООО «Авито», 
• Артём Костючек, старший эксперт по AppSec АО «Альфа-Банк»,
• Дмитрий Марюшкин, руководитель группы продуктовой безопасности ООО «Интернет Решения» (Ozon Fintech),
• Алексей Морозов, руководитель направления прикладной безопасности ООО «Умное пространство» (Ecom.tech),
• Ирина Блажина, архитектор информационной безопасности ООО «Оператор Газпром ИД».

Темы докладов:

• Нормативно-правовое регулирование в области РБПО как фундамент качественной и эффективной разработки ПО;
• Безопасность разработки API в банках;
• Исследование поверхности атаки, скрывающейся за публичным API;
• Час пик: постройка системы проверки API, которая успевает за частыми релизами;
• Защита API от атак типа IDOR (Insecure Direct Object References);
• Аутентификация API. Подходы и практики;
• Инвентаризация и харденинг API: лучшие рецепты;
• Безопасность API приложений в DevOps процессах.

В рамках панельной дискуссии обсудим защиту API на стыке технологий, процессов и регуляторики с Романом Паниным, руководителем направления архитектуры ИБ ПАО «МТС», Дмитрием Тараненко, CISO ООО «Инновационная медицина» (СберЗдоровье), Игорем Бессчастным, лидером платформы API ПАО ВТБ, Александром Трифановым, ведущим инженером ООО «Авито», Дмитрием Марюшкиным, руководителем группы продуктовой безопасности ООО «Интернет Решения» (Ozon Fintech), Алексеем Морозовым, руководителем направления прикладной безопасности ООО «Умное пространство» (Ecom.tech, ex. Samokat.tech),Павлом Довгалюком, инженером ИСП РАН.

Зачем участвовать?

• Вы узнаете, как проектируют и защищают API в ведущих российских компаниях;
• познакомитесь с лучшими практиками для защиты API, чтобы минимизировать риски утечек данных;
• получите ответы на свои вопросы напрямую от практиков, готовых поделиться опытом по самым актуальным и сложным проблемам;
• установите новые профессиональные связи с экспертами в области IT и ИБ из банков, телекоммуникаций и e-commerce.

Кому будет интересно:

• Специалистам по Application Security (AppSec);
• Security Champions в командах разработки;
• Экспертам и инженерам по информационной безопасности;
• DevOps- и DevSecOps-инженерам;
• Руководителям команд разработки.

Форум ITSEC 2025: безопасная разработка

17-18 июня 2025
Москва, Radisson Blu Belorusskaya