Лицензия №038316
Более 25 лет обучаем
информационной
безопасности
информационной
безопасности
пн-чт 9.00 - 18.00, пт 9.00 - 17.00(Мск) сб, вс. - выходные
Добавочный 1310, 1306
+7 (495) 280-01-06 ФАЗЗИНГ
Открытый курс
Фаззинг-тестирование для разработки безопасного программного обеспечения в соответствии с требованиями ГОСТ Р 56939
По итогам обучения слушателям выдается удостоверение о повышении квалификации установленного образца.
Учебный центр безопасности информации «МАСКОМ» представляет авторскую программу повышения квалификации по направлению безопасной разработки программного обеспечения. Курс разработан с учетом актуальных требований законодательства Российской Федерации, национальных стандартов и методик регуляторов в области технической защиты информации.
Курс предназначен для повышения профессионального уровня специалистов в части выбора и применения методов исследования и инструментальных средств фаззинг-тестирования. Программа охватывает нормативно-правовые основы обязательности применения фаззинга, методологию проведения динамического анализа и практические навыки работы с современными инструментами поиска уязвимостей. Слушатели изучат требования регуляторов к разработке безопасного ПО, научатся планировать фаззинг-кампании, настраивать инструментарий для компилируемых и интерпретируемых языков, а также формировать отчетность для сертификационных испытаний.
Обязательность применения фаззинг-тестирования согласно законодательству РФ.
В ходе обучения подробно разбираются нормативные акты, устанавливающие требования к проведению фаззинга:
1. ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».Национальный стандарт является ключевым документом, делающим фаззинг обязательным при условии ссылки на него в нормативных актах или технических заданиях. Раздел 5.11 «Динамический анализ кода программы» содержит императивное требование проводить фаззинг-тестирование (пункт 5.11.2.7).
2. Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Документ устанавливает обязательность проведения фаззинг-тестирования и динамического анализа кода для программного обеспечения, планируемого к применению в значимых объектах критической информационной инфраструктуры (особенно 1-й категории значимости), в рамках требований к испытаниям по выявлению уязвимостей (пункт 29.3.2).
3. Приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах...».
Новый регуляторный акт (вступает в силу с 01.03.2026) предписывает реализацию мер, предусмотренных разделами 4 и 5 ГОСТ Р 56939-2024, при самостоятельной разработке программного обеспечения для государственных информационных систем (пункт 50).
Ключевые компетенции после обучения:
- Знание нормативно-правовой базы РФ, обязывающей применять фаззинг-тестирование (ГОСТ Р 56939-2024, приказы ФСТЭК России № 239, № 117).
- Навыки выбора стратегий фаззинга (черный, серый, белый ящик) и инструментов (AFL++, libFuzzer, Sydr-Fuzz и др.).
- Умение проводить динамический анализ кода для компилируемых (C, C++, Rust) и интерпретируемых языков (Python, Java).
- Навыки проведения фаззинг-тестирования системного ПО (ядро Linux, ОС реального времени).
- Умение формировать отчетную документацию по результатам фаззинга в соответствии с требованиями регуляторов и стандартов.
- Понимание процессов интеграции фаззинга в конвейеры непрерывной интеграции (CI/CD).
Учебный центр безопасности информации «МАСКОМ» представляет авторскую программу повышения квалификации по направлению безопасной разработки программного обеспечения. Курс разработан с учетом актуальных требований законодательства Российской Федерации, национальных стандартов и методик регуляторов в области технической защиты информации.
Курс предназначен для повышения профессионального уровня специалистов в части выбора и применения методов исследования и инструментальных средств фаззинг-тестирования. Программа охватывает нормативно-правовые основы обязательности применения фаззинга, методологию проведения динамического анализа и практические навыки работы с современными инструментами поиска уязвимостей. Слушатели изучат требования регуляторов к разработке безопасного ПО, научатся планировать фаззинг-кампании, настраивать инструментарий для компилируемых и интерпретируемых языков, а также формировать отчетность для сертификационных испытаний.
Обязательность применения фаззинг-тестирования согласно законодательству РФ.
В ходе обучения подробно разбираются нормативные акты, устанавливающие требования к проведению фаззинга:
1. ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».Национальный стандарт является ключевым документом, делающим фаззинг обязательным при условии ссылки на него в нормативных актах или технических заданиях. Раздел 5.11 «Динамический анализ кода программы» содержит императивное требование проводить фаззинг-тестирование (пункт 5.11.2.7).
2. Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Документ устанавливает обязательность проведения фаззинг-тестирования и динамического анализа кода для программного обеспечения, планируемого к применению в значимых объектах критической информационной инфраструктуры (особенно 1-й категории значимости), в рамках требований к испытаниям по выявлению уязвимостей (пункт 29.3.2).
3. Приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах...».
Новый регуляторный акт (вступает в силу с 01.03.2026) предписывает реализацию мер, предусмотренных разделами 4 и 5 ГОСТ Р 56939-2024, при самостоятельной разработке программного обеспечения для государственных информационных систем (пункт 50).
Ключевые компетенции после обучения:
- Знание нормативно-правовой базы РФ, обязывающей применять фаззинг-тестирование (ГОСТ Р 56939-2024, приказы ФСТЭК России № 239, № 117).
- Навыки выбора стратегий фаззинга (черный, серый, белый ящик) и инструментов (AFL++, libFuzzer, Sydr-Fuzz и др.).
- Умение проводить динамический анализ кода для компилируемых (C, C++, Rust) и интерпретируемых языков (Python, Java).
- Навыки проведения фаззинг-тестирования системного ПО (ядро Linux, ОС реального времени).
- Умение формировать отчетную документацию по результатам фаззинга в соответствии с требованиями регуляторов и стандартов.
- Понимание процессов интеграции фаззинга в конвейеры непрерывной интеграции (CI/CD).
Программа курса
1. Нормативно-правовое регулирование и ГОСТ Р 56939. Процесс динамического анализа.2. Сертификация и лицензирование ПО. Особенности фаззинг-тестирования программ на компилируемых языках
3. Фаззинг веб-приложений и интерпретируемых языков (Python, Java).
4. Фаззинг системного ПО и ядра ОС (Linux, Neutrino RTOS).
5. Анализ результатов, верификация уязвимостей и интеграция в процесс РБПО.
Записаться на курс
Заполните заявку
и мы свяжемся с Вами в течение суток
и мы свяжемся с Вами в течение суток
Оставить отзыв о курсе
Автор
Пиков Виталий Александрович
Стаж преподавательской работы: более 10 лет
Ведет курсы в области информационной безопасности, защиты информации и информационных технологий.
Подробнее →