Меню Закрыть

004.2 Сертификация программного обеспечения по требованиям безопасности информации. Практика

Для кого этот курс:  эксперты испытательных лабораторий различных систем сертификации средств защиты информации.

Цель курса:  предоставить практические основы проведения сертификационных испытаний с учётом требований современной нормативной базы.

Требования к предварительной подготовке:  базовая подготовка в области информационных технологий и информационной безопасности, в том числе:

  • наличие общего представления об основных понятиях информационной безопасности, основных типах угроз, каналах утечки информации;
  • об основных методах защиты от угроз нарушения конфиденциальности, целостности и доступности информации;
  • практический опыт использования средств защиты от несанкционированного доступа;
  • практический опыт использования средств межсетевого экранирования;
  • представление о языках программирования С/С++ в объеме, достаточном для понимания общей структуры программного обеспечения;
  • знание принципов организации межсетевого взаимодействия, принципов организации и структуры кадров основных протоколов стека TCP/IP.

Код: 004.2

Форма обучения: очно

Длительность курса:  24 ак.ч

Ближайший курс: 9-11 октября

Стоимость:  60 000 рублей

Результат обучения:  умение проводить сертификационные испытания:

  • на отсутствие недекларированных возможностей;
  • по требованиям защищенности от НСД к информации;
  • межсетевых экранов по требованиям безопасности информации с использованием специализированного программного обеспечения;
  • проводить инспекционный контроль с использованием специализированного программного обеспечения;
  • оформлять материалы сертификационных испытаний.

Программа:

1 день

  • Виды и классификация тестирования в рамках сертификационных испытаний:
    • Теоретическая часть по анализу уязвимостей (тестирования на проникновение). Введение в OWASP Top 10. Разбор наиболее опасных уязвимостей веб-приложений;
    • Теоретическая часть по анализу уязвимостей (анализ по открытым источникам);
  • Структура документации для проведения сертификационных испытаний по требованиям доверия согласно приказу ФСТЭК России
    от 2 июня 2020 г. № 76;
  • Виды и классификация тестирования в рамках сертификационных испытаний:
    • Теоретическая часть по функциональному тестированию.
  • Структура протокола испытаний в части анализа уязвимостей и функционального тестирования по требованиям доверия;
  • Структура протокола испытаний в части функционального тестирования по требованиям доверия.

2 день

  • Виды и классификация тестирования в рамках сертификационных испытаний.
    • Теоретическая часть по статическому анализу кода;
    • Теоретическая часть по code review;
    • Теоретическая часть по динамическому анализу (фаззинг-тестирование).
  • Практическая часть по статическому анализу кода: практика применения автоматизированных средств при сертификационных испытаниях на примере использования анализатора исходных текстов «АК-ВС 3». Разбор дефектов и ручная разметка результатов статического анализатора.
  • Практическая часть по динамическому анализу кода: практика применения автоматизированных средств при сертификационных испытаниях на примере использования «АК-ВС 3». Проведение инструментации кода, сбор информации о выполнении программы.
  • Структура протокола испытаний в части статического анализа кода по требованиям доверия;
  • Структура протокола испытаний в части динамического анализа кода по требованиям доверия.

3 день

  • Практическая часть по анализу уязвимостей: проведение тестирования на проникновение на примере уязвимого веб-приложения. Практика применения автоматизированных средств (инструментов) при сертификационных испытаниях.
  • Практика выявления уязвимостей при проведении сертификационных испытаний класса:
    • «Cross Site Scripting»;
    • «Cross Site Request Forgery»;
    • «SQL injection»;
    • «Path traversal».
  • Заключение, тест.

Условия обучения

Участникам предоставляются раздаточные материалы.

Слушателям, прошедшим обучение по модулям 004.1 и 004.2 – выдается Удостоверение о повышении квалификации (72 ак.ч)

Слушателям, прошедшим обучение с курса 004.1 по 004.4 – выдается Удостоверение о повышении квалификации (102 ак.ч.)