Меню Закрыть

004.3 Сертификация программного обеспечения по требованиям безопасности информации. Анализ защищенности и тестирование на проникновение

Сертификация программного обеспечения по требованиям безопасности информации. Внедрение СМИБ в испытательной лаборатории соответствии с ГОСТ Р ИСО/МЭК 27001.

Код: 004.3

Длительность курса: 3 рабочих дня

Стоимость: 50 000 рублей

Для кого этот курс: эксперты испытательных лабораторий различных систем сертификации средств защиты информации.

Цель курса: предоставить практические основы проведения анализа защищенности информационных систем и аудита кода.

Требования к предварительной подготовке: базовая подготовка в области информационных технологий и информационной безопасности, в том числе:

  • наличие общего представления об основных понятиях информационной безопасности, основных типах угроз, каналах утечки информации;
  • об основных методах защиты от угроз нарушения конфиденциальности, целостности и доступности информации;
  • практический опыт использования средств защиты от несанкционированного доступа;
  • практический опыт использования средств межсетевого экранирования;
  • знание принципов организации межсетевого взаимодействия, принципов организации и структуры кадров основных протоколов стека TCP/IP.

Программа:

1 день

  • методология проведения анализа уязвимости в рамках проведения сертификационных испытаний;
  • разработка методики проведения анализа уязвимости объекта оценки;
  • теория выявления слабых мест при проведении сертификационных испытаний в механизмах защиты от атак класса «Cross Site Scripting»;
  • практика выявления уязвимостей класса «Cross Site Scripting» при проведении сертификационных испытаний;
  • теория выявления слабых мест при проведении сертификационных испытаний в механизмах защиты от атак класса «Cross Site Request Forgery»;
  • практика выявления уязвимостей класса «Cross Site Request Forgery» при проведении сертификационных испытаний;
  • практика выявления уязвимостей класса «Переполнение буфера» при проведении сертификационных испытаний;
  • теория выявления слабых мест при проведении сертификационных испытаний в механизмах защиты от атак класса «SQL Injection»;
  • практика выявления уязвимостей класса «SQL Injection» при проведении сертификационных испытаний;
  • отчетность по результатам проведения анализа уязвимости в рамках сертификационных испытаний.

2 день

  • введение в тестирование на проникновение;
  • сбор информации об ИТ-инфраструктуре;
  • поиск уязвимостей;
  • сканирование портов;
  • ручной поиск уязвимостей;
  • использование сканеров безопасности для поиска уязвимостей;
  • анализ конфигурации безопасности;
  • специализированные сканеры.

3 день

  • эксплуатация уязвимостей;
  • проведение MITM-атаки с использованием ARP-спуфинга;
  • использование командной строки Metasploit для эксплуатации уязвимостей;
  • использование графического интерфейса Armitage для эксплуатации уязвимостей;
  • парольные атаки на СУБД;
  • парольные атаки на различные сервисы.
  • сканирование уязвимостей в Web-приложениях;
  • выполнение команд ОС через веб-приложение;
  • SQL-инъекция и оффлайн-подбор паролей;
  • эксплуатация XSS-уязвимости;
  • закладки в виде бэкдоров.

Условия обучения

Участникам предоставляются раздаточные материалы.

Слушателям, прошедшим обучение по модулям 004.1 и 004.2 – выдается Удостоверение о повышении квалификации (72 ак.ч)

Слушателям, прошедшим обучение с курса 004.1 по 004.4 – выдается Удостоверение о повышении квалификации (102 ак.ч.)