mascom-uc@mascom-uc.ru " > mascom-uc@mascom-uc.ru Заявка на обучение
Наша почта
mascom-uc@mascom-uc.ru
Добавочный 1310, 1306
+7 (495) 280-01-06
(доб.1310, 1306)
заявка на обучение
Главная Курсы Курсы по процессам разработки безопасного программного обеспечения
Сертификационные испытания с учётом требований по разработке безопасного программного обеспечения для экспертов органов по сертификации (испытательных лабораторий) различных систем сертификации средств защиты информации
М БРПО-03
Открытый курс

Сертификационные испытания с учётом требований по разработке безопасного программного обеспечения для экспертов органов по сертификации (испытательных лабораторий) различных систем сертификации средств защиты информации

Программа курса охватывает всё необходимое для экспертов органов по сертификации (испытательных лабораторий) различных систем сертификации средств защиты информации для получения знаний теоретических основ актуальной отечественной и зарубежной нормативной правовой базы по направлению сертификации программного обеспечения, проведению сертификационных испытаний и по разработке безопасного программного обеспечения, а также для приобретения практических навыков проведения сертификационных испытаний по требованиям доверия согласно требованиям приказа ФСТЭК России от 2 июня 2020 г. № 76 и по требованиям системы сертификации средств защиты информации в Министерстве обороны Российской Федерации.
Успешно прошедшие обучение смогут самостоятельно разработать для своей организации:

✔ проект документации для подачи заявки на проведение сертификационных испытаний, проведения сертификационных испытаний по требованиям доверия в соответствии с требованиями приказа ФСТЭК России от 2 июня 2020 г. № 76;

✔ проект документации для подачи заявки на проведение сертификационных испытаний, проведения сертификационных испытаний по требованиям системы сертификации средств защиты информации в Министерстве обороны Российской Федерации;

✔ проекты документов предприятия в соответствии с ГОСТ Р 56939–2024 (с ретроспективой требований ГОСТ Р 56939–2016).

Знания и практические навыки, полученные слушателями в ходе прохождения курса необходимы для того, чтобы предприятие соответствовало требованиям нормативной правовой базы Российской Федерации по направлению разработки безопасного программного обеспечения:

- ГОСТ Р 56939–2024 (с ретроспективой требований ГОСТ Р 56939–2016) Защита информации. Разработка безопасного программного обеспечения. Общие требования;

- ГОСТ Р ИСО/МЭК 27001–2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования;

- Приказ ФСТЭК России от 01.12.2023 г. № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации»;

- Предприятие – лицензиат Минобороны России должно соответствовать требованиям Заказчика (МО РФ) согласно решению секции «Комплексная защита информации в АСУ ВС РФ» от 8 декабря 2017 года: «Лицензиатам Минобороны России привести процессы разработки и сопровождения средств защиты информации в соответствие с требованиями национального стандарта ГОСТ Р 56939–2024 (с ретроспективой требований ГОСТ Р 56939–2016)».

Разработчикам средств защиты информации (программного обеспечения, реализующего функции средств защиты информации), планирующих прохождение процедуры сертификации в системе сертификации средств защиты информации ФСТЭК России, Министерства обороны Российской Федерации по требованиям безопасности информации, необходимо, чтобы предприятие соответствовало требованиям, изложенным в:

- приказе Министра обороны Российской Федерации 1996 года № 058 «О создании системы сертификации средств защиты информации Министерства обороны Российской Федерации по требования безопасности информации»;

- приказе Министра обороны Российской Федерации 2020 года № 488 «Об утверждении Положения о системе сертификации средств защиты информации Министерства обороны Российской Федерации»;

- приказе ФСТЭК России от 3 апреля 2018 г. № 55 «Об утверждении положения о системе сертификации средств защиты информации» (положение о системе сертификации средств защиты информации, система сертификации ФСТЭК России);

- приказах ФСТЭК России № 17, 21, 31, 239 – «…указанные средства (средства защиты информации – прим. НОУ ДПО УЦБИ «МАСКОМ») должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативными правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности)».

В результате обучения Вы получите шаблон (образец) "Руководства по РБПО" в соответствии с требованиями п. 4.10 - 4.11 ГОСТ Р 56939–2024 (с ретроспективой требований ГОСТ Р 56939–2016). В обязательном порядке Вами будут изучены и досконально рассмотрены требования к документам в соответствии с требованиями п. 4.12 ГОСТ Р 56939–2024 (с ретроспективой требований ГОСТ Р 56939–2016) (образцы покажем, дадим). Отдельный день посвящён требованиям ГОСТ Р ИСО/МЭК 27001 и политике ИБ организации (шаблон которой также Вам будет предоставлен), в соответствии с требованиями п. 4.13 ГОСТ Р 56939–2024 (с ретроспективой требований ГОСТ Р 56939–2016). Также, в обязательном порядке, будут рассмотрены требования всех документальных подтверждений выполнения требований ГОСТ Р 56939-20ХХ, в соответствии со всеми 25 процессами РБПО. Это будет сделано для того, чтобы Вам быть готовым к переходу на требования нового стандарта - ГОСТ Р 56939-20ХХ. По мнению регулятора, ГОСТ Р 56939-20ХХ будет утверждён уже в этом году.

Ждём Вас на наших курсах по безопасной разработке ПО!
Программа курса:

Программа курса:

Раздел 1. Основы информационной безопасности. Основные руководящие нормативные и методические документы РФ. Основные методы защиты от угроз нарушения конфиденциальности, целостности и доступности информации. Модели угроз, нарушителя и модели защиты.

• Создание проекта модели угроз, нарушителя и модели защиты с использованием БДУ ФСТЭК России.

Раздел 2. Хроника языков программирования. Проектирование архитектуры программного обеспечения. Жизненный цикл разработки безопасного программного обеспечения.

• Практика создания программ на популярных языках программирования с учетом требований безопасности.

Раздел 3. Методологии разработки безопасного программного обеспечения.

• Основные практики и принципы безопасной разработки;

• Software Development Lifecycle (SDLc);

• Основные практики Security Development Lifecycle (SDL);

• DevOps;

• DevSecOps;

• Методики оценки зрелости ИБ процессов;

• Принципы дизайна.

Раздел 4. Понятийная база (основные термины и определения) процессов безопасной разработки программного обеспечения.

• Оценивание программного обеспечения в соответствии с ГОСТ ИСО/МЭК 15408-Х (ч. 1, 2, 3);

• Изучение взаимосвязи мер по разработке безопасного программного обеспечения (ГОСТ Р 56939–2024 (с ретроспективой требований ГОСТ Р 56939–2016)) и требований ГОСТ Р ИСО/МЭК 15408–3.

Раздел 5. Общие сведения о сертификации и лицензировании программного обеспечения. Основные руководящие нормативные и методические документы. Сертифицированные испытания. Структура документации для подачи заявки и проведения сертификационных испытаний по требованиям доверия согласно требованиям приказа ФСТЭК России от 2 июня 2020 г. № 76. Структура документации для подачи заявки и проведения сертификационных испытаний в соответствии с требованиями приказа Министра обороны Российской Федерации 2020 года № 488.

• Создание проекта документации для подачи заявки на проведение сертификационных испытаний, проведения сертификационных испытаний по требованиям доверия в соответствии с требованиями приказа ФСТЭК России от 2 июня 2020 г. № 76;

• Проведение сертификационных испытаний по требованиям доверия в соответствии с требованиями приказа ФСТЭК России от 2 июня 2020 г. № 76.

Раздел 6. Общие сведения о сертификации программного обеспечения в соответствии с требованиями приказа Министра обороны Российской Федерации. Основные руководящие нормативные и методические документы. Сертифицированные испытания. Структура документации для подачи заявки и проведения сертификационных испытаний в соответствии с требованиями приказа Министра обороны Российской Федерации 2020 года № 488.

• Проведение сертификационных испытаний по требованиям системы сертификации средств защиты информации в Министерстве обороны Российской Федерации;

• Создание проекта для подачи заявки на проведение сертификационных испытаний, проведения сертификационных испытаний по требованиям системы сертификации средств защиты информации в Министерстве обороны Российской Федерации.

Раздел 7. Организация на предприятии процессов БРПО. Руководство по разработке безопасного ПО в соответствии с требованиями ГОСТ Р 56939–2024 (с ретроспективой требований ГОСТ Р 56939–2016).

• Руководство по разработке безопасного ПО в соответствии с требованиями ГОСТ Р 56939–2024 (с ретроспективой требований ГОСТ Р 56939–2016).

Раздел 8. Планирование процессов разработки безопасного ПО. Процессы жизненного цикла ПО. Порядок организации работ по созданию безопасного ПО, выполняемых в рамках процессов жизненного цикла ПО.

• Порядок организации работ по созданию безопасного ПО, выполняемых в рамках процессов жизненного цикла ПО;

• Дорожная карта (алгоритм) внедрения БРПО на предприятии.

Раздел 9. Обучение сотрудников в соответствии с требованиями ГОСТ Р 56939–2024 (с ретроспективой требований ГОСТ Р 56939–2016).

• Создание проекта плана обучения. Организация учёта обучения сотрудников;

• Мероприятия по повышению осведомленности разработчика о возможных типовых угрозах, ошибках и уязвимостях в разрабатываемом ПО, механизмах их недопущения или минимизации вероятности их возникновения, порядке сопровождения ПО и управления жизненным циклом.

Раздел 10. Формирование и предъявление требований безопасности к ПО.

• Формирование требований к безопасному ПО с учётом требований законов, нормативных правовых актов, отраслевых стандартов, перечня требований пользователя, а также сценариев применения безопасного ПО. Разработка технического задания на создание безопасного ПО в соответствии с требованиями ГОСТ 19.201.

Раздел 11. Управление конфигурацией ПО.

• Регламент управления конфигурацией в рамках жизненного цикла ПО;

• Регламент управления конфигурацией в рамках жизненного цикла ПО.

Раздел 12. Управление недостатками и запросами на изменение ПО.

• Требования безопасности к принципам проектирования архитектуры ПО, направленным на снижение количества потенциальных уязвимостей с учетом результатов моделирования угроз безопасности информации;

• Как получить документально оформленный проект архитектуры программы.

Раздел 14. Моделирование угроз.

• Меры по нейтрализации угроз безопасности, связанных с особенностями реализации архитектуры ПО, модель угроз.

Раздел 15. Разработка описания поверхности атаки.

• Описание поверхности атаки. Угрозы безопасности ПО, актуальные для выполненных изменений. Анализ поверхности атаки методом сканирования интерфейсов ПО (локальных и сетевых интерфейсов взаимодействия с ПО (модулями ПО) пользователя и взаимодействий модулей ПО между собой, средой функционирования и внешними объектами при их наличии;

• Перечень целей (функциональных подсистем, программных модулей ПО и их интерфейсов) для проведения дальнейших исследований безопасности ПО (например, фаззинг - тестирования) с учетом архитектуры ПО, результатов моделирования угроз и выполнения анализа поверхности атаки для разработанного кода ПО).

Раздел 16. Статический анализ исходного кода. Регламент проведения статического анализа исходного кода ПО. Инструменты статического анализа.

• Практика применения статических анализаторов на стеке разработки веб-приложений.

Раздел 17. Применение статического анализа для обеспечения безопасной разработки. Инструменты статического анализа. Методы статического анализа программного кода.

• Практика применения статических анализаторов для компилируемых языков;

• Статический анализ кода, экспертиза исходного кода программы (ручное рецензирование). Применение автоматизированных средств при сертификационных испытаниях на примере использования анализатора исходных текстов «АК-ВС 3». Разбор дефектов и ручная разметка результатов статического анализатора.

Раздел 18. Подходы к формированию исходных данных для выполнения динамического анализа кода программы, фаззинг-тестирования программы и тестирования на проникновение в рамках процесса квалификационного тестирования ПО. Квалификационное тестирование ПО.

• Практика применения динамических анализаторов на стеке разработки веб-приложений.

Раздел 19. Динамический анализ кода программы. регламент проведения динамического анализа кода ПО. Инструменты динамического анализа и фаззинг -тестирования.

• Практика применения динамических анализаторов для компилируемых языков;

• Практика применения динамических анализаторов для анализа бинарных исполняемых модулей без исходного кода.

Раздел 20. Использование безопасной системы сборки ПО.

• Регламент безопасной сборки ПО.

Раздел 21. Обеспечение безопасности сборочной среды ПО.

• Регламент обеспечения безопасности сборочной среды;

• Схема сборочной среды. Журналы аудита процессов сборки ПО.

Раздел 22. Проверка кода на предмет внедрения вредоносного кода через цепочки поставок.

 • Организация контроля зависящих от сторонних поставщиков элементов разработки.                   • Организация контроля договорных обязательств со сторонними поставщиками.                           • Организация процесса выявления элементов инфраструктуры разработчика, воздействие на которые может повлиять на возникновение недекларированных возможностей в ПО.

Раздел 23. Функциональное тестирование.

• План функционального тестирования. Отчет по результатам функционального тестирования. Журналы регистрации хода проведения функционального тестирования;

• Системы управления ошибками.

Раздел 24. Нефункциональное тестирование. Проведение нефункциональных тестов, в том числе, имитирующих действия потенциального нарушителя.

• Регламент проведения нефункционального тестирования. Описание объекта нефункционального тестирования. Отчет по результатам нефункционального тестирования.

Раздел 25. Теоретическая часть по анализу уязвимостей (тестирования на проникновение). Введение в OWASP Top 10. Разбор наиболее опасных уязвимостей веб-приложений.

• Проведение тестирования на проникновение на примере уязвимого веб-приложения. Практика применения автоматизированных средств (инструментов) при сертификационных испытаниях.

Практика выявления уязвимостей при проведении сертификационных испытаний класса:

• «Cross Site Scripting»;

• «Cross Site Request Forgery»;

• «SQL injection»;

• «Path traversal».

Даты обучения

01.04.2025 – 21.04.2025
06.05.2025 – 28.05.2025
06.06.2025 – 30.06.2025
08.07.2025 – 28.07.2025
05.08.2025 – 25.08.2025
02.09.2025 – 22.09.2025
30.09.2025 – 20.10.2025
01.11.2025 – 24.11.2025
02.12.2025 – 22.12.2025


Записаться на курс
Заполните заявку
и мы свяжемся с Вами в течение суток
Введите желаемые даты обучения:

Курс читают

Пиков Виталий Александрович
Стаж преподавательской работы: более 10 лет
Ведет курсы в области информационной безопасности, защиты информации и информационных технологий.
Подробнее →
Недогарок Антон Александрович
Стаж преподавательской работы: более 11 лет
Читает курсы по безопасной разработке программного обеспечения.
Подробнее →
Большунов Валерий Владимирович
Стаж преподавательской работы: стаж наставничества/консультаций/обучения коллег - более 15 лет
Имеет огромный опыт разработки ПО для нужд Минобороны России. Более 5 лет работал программистом-разработчиком в «ЗАО «Лаборатория Касперского». Занимался обеспечением полного цикла работ по сертификации ПО в системе сертификации ФСТЭК России. В настоящее время занимает должность главного эксперта (руководитель группы разработки) в Сбере
Подробнее →
Стоимость:
Очное обучение
105 000
Длительность:
140 часов / 14 дней
Форма обучения:
очная
Открытый курс
Необходимые документы:
при отсутствии – прохождение курса невозможно
  • Копия СНИЛС и диплома о высшем образовании
Категории слушателей:
  •  Эксперты органов по сертификации (испытательных лабораторий) различных систем сертификации средств защиты информации: ФСТЭК России, Минобороны России.
Записаться на курс
Заполните заявку
и мы свяжемся с Вами в течение суток
Введите желаемые даты обучения:
Для удобства пользователей сайта поддерживается технология cookie ( файл с информацией о предыдущих посещениях). С целью совершенствования интернет-ресурса могут использоваться Яндекс.Метрика, GoogleAnalytics, пиксель Facebook.
Согласен Политика обработки и защиты персональных данных