Меню Закрыть

Разработка безопасного ПО ГОСТ Р 56939­-2024

Разработка безопасного программного обеспечения в соответствии с требованиями ГОСТ Р 56939­-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»
Код: 006

Длительность курса: 3 рабочих дня

Ближайший курс:

Стоимость: 60 000 рублей

Для кого этот курс: специалисты по информационной безопасности, аудиторы информационной безопасности, эксперты испытательных лабораторий и органов по сертификации различных систем сертификации средств защиты информации, разработчики программного обеспечения.

Цель курса: дать теоретические основы и практические навыки внедрения стандарта ГОСТ Р56939-­2024.

Требования к предварительной подготовке: базовая подготовка в области информационных технологий и информационной безопасности, наличие общего представления об основных видах угроз безопасности информации и методах защиты от этих угроз.

Программа:

День 1

  1. Введение в разработку безопасного программного обеспечения (далее – РБПО), краткий обзор ГОСТ Р 56939­-2024. Сравнительный анализ требований ГОСТ Р 56939­-2024 и ГОСТ Р 56939­-2024. Обзор основных понятий, процессов и действий;
  2. Обзор угроз безопасности информации для программного обеспечения (атаки настройки форматирования, переполнение буфера, атаки на веб­-приложения).
  3. Формирование требований к программному обеспечению, моделирование угроз безопасности информации.
  4. Управление конфигурациями при разработке безопасного программного обеспечения.

День 2

  1. Внедрение мер по РБПО в привязке к этапам жизненного цикла разработки программного обеспечения (переход от SDLC к SSDLC);
  2. Виды и классификация тестирования в рамках ГОСТ Р 56939­-2024:
    • Теоретическая часть по статическому анализу исходного кода программы. Поиск ошибок и дефектов программного обеспечения при помощи автоматизированных средств. Ручная разметка результатов тестирования;
    • Теоретическая часть по экспертизе исходного кода программы (ручной анализ кода). Использование стандартов кодирования безопасного программного обеспечения;
    • Теоретическая часть по композиционному анализу кода программы.
  3. Практика применения автоматизированных средств при проведении статического анализа исходного кода на примере использования статического анализатора. Разбор дефектов и ручная разметка результатов статического анализатора.
  4. Практика применения автоматизированных средств при проведении композиционного анализа. Поиск известных уязвимостей.
  5. Разработка документации и регламентов для подтверждения внедренных мер РБПО.

День 3

  1. Виды и классификация тестирования в рамках ГОСТ Р 56939­-2024:
    • Теоретическая часть по нефункциональному тестированию (тестированию на проникновение). Введение в OWASP Top 10. Разбор наиболее опасных уязвимостей веб-приложений. Обеспечение безопасности используемых секретов;
    • Теоретическая часть по функциональному тестированию. Обзор функциональных требований безопасности.
    • Теоретическая часть по динамическому анализу кода и фаззинг-тестированию.
  2. Практика применения автоматизированных средств (инструментов) при проведении тестирования на проникновение на примере уязвимого веб-приложения («Cross Site Scripting», «Cross Site Request Forgery», «SQL injection», «Path traversal»).
  3. Практика применения автоматизированных средств при проведении динамического анализа кода на примере инструмента динамического анализа. Проведение инструментации кода, сбор информации о выполнении программы.
  4. Подведение итогов, тест.

Условия обучения: слушателям представляются раздаточные материалы. По окончании курса слушателям выдается Удостоверение о повышении квалификации установленного образца и Сертификат учебного центра.

Результат обучения: знание теоретических основ и практических навыков внедрения стандарта ГОСТ Р 56939-­2024.