Для кого этот курс: эксперты испытательных лабораторий различных систем сертификации средств защиты информации.
Цель курса: предоставить практические основы проведения сертификационных испытаний с учётом требований современной нормативной базы.
Требования к предварительной подготовке: базовая подготовка в области информационных технологий и информационной безопасности, в том числе:
- наличие общего представления об основных понятиях информационной безопасности, основных типах угроз, каналах утечки информации;
- об основных методах защиты от угроз нарушения конфиденциальности, целостности и доступности информации;
- практический опыт использования средств защиты от несанкционированного доступа;
- практический опыт использования средств межсетевого экранирования;
- представление о языках программирования С/С++ в объеме, достаточном для понимания общей структуры программного обеспечения;
- знание принципов организации межсетевого взаимодействия, принципов организации и структуры кадров основных протоколов стека TCP/IP.
Код: 004.2
Форма обучения: очно
Длительность курса: 24 ак.ч
Ближайший курс: 16-18 апреля
Стоимость: 60 000 рублей
Результат обучения: умение проводить сертификационные испытания:
- на отсутствие недекларированных возможностей;
- по требованиям защищенности от НСД к информации;
- межсетевых экранов по требованиям безопасности информации с использованием специализированного программного обеспечения;
- проводить инспекционный контроль с использованием специализированного программного обеспечения;
- оформлять материалы сертификационных испытаний.
Программа:
1 день
- Виды и классификация тестирования в рамках сертификационных испытаний:
- Теоретическая часть по анализу уязвимостей (тестирования на проникновение). Введение в OWASP Top 10. Разбор наиболее опасных уязвимостей веб-приложений;
- Теоретическая часть по анализу уязвимостей (анализ по открытым источникам);
- Структура документации для проведения сертификационных испытаний по требованиям доверия согласно приказу ФСТЭК России
от 2 июня 2020 г. № 76; - Виды и классификация тестирования в рамках сертификационных испытаний:
- Теоретическая часть по функциональному тестированию.
- Структура протокола испытаний в части анализа уязвимостей и функционального тестирования по требованиям доверия;
- Структура протокола испытаний в части функционального тестирования по требованиям доверия.
2 день
- Виды и классификация тестирования в рамках сертификационных испытаний.
- Теоретическая часть по статическому анализу кода;
- Теоретическая часть по code review;
- Теоретическая часть по динамическому анализу (фаззинг-тестирование).
- Практическая часть по статическому анализу кода: практика применения автоматизированных средств при сертификационных испытаниях на примере использования анализатора исходных текстов «АК-ВС 3». Разбор дефектов и ручная разметка результатов статического анализатора.
- Практическая часть по динамическому анализу кода: практика применения автоматизированных средств при сертификационных испытаниях на примере использования «АК-ВС 3». Проведение инструментации кода, сбор информации о выполнении программы.
- Структура протокола испытаний в части статического анализа кода по требованиям доверия;
- Структура протокола испытаний в части динамического анализа кода по требованиям доверия.
3 день
- Практическая часть по анализу уязвимостей: проведение тестирования на проникновение на примере уязвимого веб-приложения. Практика применения автоматизированных средств (инструментов) при сертификационных испытаниях.
- Практика выявления уязвимостей при проведении сертификационных испытаний класса:
- «Cross Site Scripting»;
- «Cross Site Request Forgery»;
- «SQL injection»;
- «Path traversal».
- Заключение, тест.
Условия обучения
Участникам предоставляются раздаточные материалы.
Слушателям, прошедшим обучение по модулям 004.1 и 004.2 – выдается Удостоверение о повышении квалификации (72 ак.ч)
Слушателям, прошедшим обучение с курса 004.1 по 004.4 – выдается Удостоверение о повышении квалификации (102 ак.ч.)