mascom-uc@mascom-uc.ru " > mascom-uc@mascom-uc.ru Заявка на обучение
М БРПО-Спец
Открытый курс

Специалист по процессам разработки безопасного программного обеспечения

Программа курса направлена на подготовку полноценного специалиста, обладающего всеми необходимыми компетенциями для ведения профессиональной деятельности, имеющего глубокие теоретические знания и практические навыки по направлению разработки безопасного программного обеспечения с учётом актуальной нормативной правовой базы.

Успешно прошедшие обучение смогут самостоятельно разработать для своей организации:

✔ дорожную карту (алгоритм) подготовки предприятия к сертификации процессов безопасной разработки программного обеспечения средств защиты информации в соответствии с требованиями ФСТЭК России;

✔ дорожную карту (алгоритм) внедрения БРПО на предприятии;

✔ проект Руководства БРПО предприятия;

✔ проекты документов предприятия в соответствии с ГОСТ Р 56939–2016.

Профессиональные компетенции, приобретенные в ходе обучения:

✔ глубокие теоретические знания и актуальные практические навыки по направлению разработки безопасного программного обеспечения;

✔ практические навыки проведения сертификационных испытаний различных систем сертификации средств защиты информации.

Знания и практические навыки, полученные слушателями в ходе прохождения курса необходимы для того, чтобы предприятие соответствовало требованиям нормативной правовой базы Российской Федерации по направлению разработки безопасного программного обеспечения:

- ГОСТ Р 56939–2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования;

- ГОСТ Р ИСО/МЭК 27001–2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования;

- Приказ ФСТЭК России от 01.12.2023 г. № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации»;

- Предприятие – лицензиат Минобороны России должно соответствовать требованиям Заказчика (МО РФ) согласно решению секции «Комплексная защита информации в АСУ ВС РФ» от 8 декабря 2017 года: «Лицензиатам Минобороны России привести процессы разработки и сопровождения средств защиты информации в соответствие с требованиями национального стандарта ГОСТ Р 56939–2016».

Разработчикам средств защиты информации (программного обеспечения, реализующего функции средств защиты информации), планирующих прохождение процедуры сертификации в системе сертификации средств защиты информации ФСТЭК России, Министерства обороны Российской Федерации по требованиям безопасности информации, необходимо, чтобы предприятие соответствовало требованиям, изложенным в:

- приказе Министра обороны Российской Федерации 1996 года № 058 «О создании системы сертификации средств защиты информации Министерства обороны Российской Федерации по требования безопасности информации»;

- приказе Министра обороны Российской Федерации 2020 года № 488 «Об утверждении Положения о системе сертификации средств защиты информации Министерства обороны Российской Федерации»;

- приказе ФСТЭК России от 3 апреля 2018 г. № 55 «Об утверждении положения о системе сертификации средств защиты информации» (Положение о системе сертификации средств защиты информации, система сертификации ФСТЭК России);

- приказах ФСТЭК России № 17, 21, 31, 239 – «…указанные средства (средства защиты информации – прим. НОУ ДПО УЦБИ «МАСКОМ») должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативными правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности)».

В результате обучения Вы получите шаблон (образец) "Руководства по РБПО" в соответствии с требованиями п. 4.10 - 4.11 ГОСТ Р 56939-2016. В обязательном порядке Вами будут изучены и досконально рассмотрены требования к документам в соответствии с требованиями п. 4.12 ГОСТ Р 56939-2016 (образцы покажем, дадим). Отдельный день посвящён требованиям ГОСТ Р ИСО/МЭК 27001 и политике ИБ организации (шаблон которой также Вам будет предоставлен), в соответствии с требованиями п. 4.13 ГОСТ Р 56939-2016. Также, в обязательном порядке, будут рассмотрены требования всех документальных подтверждений выполнения требований ГОСТ Р 56939-20ХХ, в соответствии со всеми 25 процессами РБПО. Это будет сделано для того, чтобы Вам быть готовым к переходу на требования нового стандарта - ГОСТ Р 56939-20ХХ. По мнению регулятора, ГОСТ Р 56939-20ХХ будет утверждён уже в этом году.

Ждём Вас на наших курсах по безопасной разработке ПО!

Программа курса:

Программа курса включает в себя максимально полное погружение в процессы разработки безопасного программного обеспечения и охватывает знания и практические навыки, приобретаемые на курсах:

М БРПО-01 «Внедрение процессов разработки безопасного программного обеспечения в организации (для руководителей и ответственных)»;

М БРПО-02 «Внедрение процессов разработки безопасного программного обеспечения для специалистов по информационной безопасности»;

М БРПО-03 «Сертификационные испытания с учётом требований по разработке безопасного программного обеспечения для экспертов органов по сертификации (испытательных лабораторий) различных систем сертификации средств защиты информации»;

М БРПО-04 «Формирование практических навыков по разработке безопасного программного обеспечения для разработчиков и программистов»;

М БРПО-05 «Методология подготовки предприятия к сертификации процессов безопасной разработки программного обеспечения средств защиты информации в соответствии с требованиями ФСТЭК России».


Программа курса:

Организация ЭВМ и вычислительных систем. Операционные системы Windows. Операционные системы Linux.

  • Установка, настройка и администрирование безопасной среды функционирования программного обеспечения на примере операционных систем Windows и Linux.

Сетевые технологии. OSI vs TCP/IP. Принципы организации безопасного межсетевого взаимодействия, принципы организации и структуры кадров основных протоколов стека TCP/IP.

  • Настройка и администрирование ЛВС. Настройка и администрирование безопасной среды функционирования программного обеспечения на примере компьютерной сети предприятия;

  •  Сбор информации об ИТ-инфраструктуре (инвентаризация активов) с помощью программного комплекса «Сканер-ВС 6.0».

Основы информационной безопасности. Основные руководящие нормативные и методические документы РФ. Основные методы защиты от угроз нарушения конфиденциальности, целостности и доступности информации. Модели угроз, нарушителя и модели защиты.

  • Создание проекта модели угроз, нарушителя и модели защиты с использованием БДУ ФСТЭК России.

Хроника языков программирования. Проектирование архитектуры программного обеспечения. Жизненный цикл разработки безопасного программного обеспечения.

  • Практика создания программ на популярных языках программирования с учетом требований безопасности.

Понятийная база (основные термины и определения) процессов безопасной разработки программного обеспечения.

  • Оценивание программного обеспечения в соответствии с ГОСТ ИСО/МЭК 15408-Х (ч. 1, 2, 3);
  • Изучение взаимосвязи мер по разработке безопасного программного обеспечения (ГОСТ Р 56939–2016) и требований ГОСТ Р ИСО/МЭК 15408–3.
Методологии разработки безопасного программного обеспечения.

  • Основные практики и принципы безопасной разработки;

  • Software Development Lifecycle (SDLc);

  • Основные практики Security Development Lifecycle (SDL);

  • DevOps;

  • DevSecOps;

  • Методики оценки зрелости ИБ процессов;

  • Принципы дизайна.

Методологии разработки безопасного программного обеспечения.

  • Практическое занятие для усвоения различных методологий разработки безопасного программного обеспечения.

 

Понятийная база (основные термины и определения) по направлению разработки безопасного программного обеспечения.

  • Оценивание программного обеспечения в соответствии с ГОСТ ИСО/МЭК 15408-Х (ч. 1, 2, 3). Изучение взаимосвязи мер по разработке безопасного программного обеспечения (ГОСТ Р 56939–2016) и требований ГОСТ Р ИСО/МЭК 15408–3;

  • Практическое занятие по изучению основных положений ГОСТ ИСО/МЭК 15408-Х.

Общие сведения о сертификации и лицензировании программного обеспечения. Основные руководящие нормативные и методические документы. Сертифицированные испытания. Структура документации для подачи заявки и проведения сертификационных испытаний по требованиям доверия согласно требованиям приказа ФСТЭК России от 2 июня 2020 г. № 76. Структура документации для подачи заявки и проведения сертификационных испытаний в соответствии с требованиями приказа Министра обороны Российской Федерации 2020 года № 488.

  • Создание проекта документации для подачи заявки на проведение сертификационных испытаний по требованиям доверия в соответствии с требованиями приказа ФСТЭК России от 2 июня 2020 г. № 76;

  • Создание проекта документации для подачи заявки на проведение сертификационных испытаний по требованиям системы сертификации средств защиты информации в Министерстве обороны Российской Федерации.

Организация на предприятии процессов БРПО. Руководство по разработке безопасного ПО в соответствии с требованиями ГОСТ Р 56939–2016.

  • Руководство по разработке безопасного ПО в соответствии с требованиями ГОСТ Р 56939–2016.

Планирование процессов разработки безопасного ПО. Процессы жизненного цикла ПО. Порядок организации работ по созданию безопасного ПО, выполняемых в рамках процессов жизненного цикла ПО.

  • Порядок организации работ по созданию безопасного ПО, выполняемых в рамках процессов жизненного цикла ПО;

  • Дорожная карта (алгоритм) внедрения БРПО на предприятии.

Обучение сотрудников в соответствии с требованиями ГОСТ Р 56939–2016.

  • Создание проекта плана обучения. Организация учёта обучения сотрудников;

  • Мероприятия по повышению осведомленности разработчика о возможных типовых угрозах, ошибках и уязвимостях в разрабатываемом ПО, механизмах их недопущения или минимизации вероятности их возникновения, порядке сопровождения ПО и управления жизненным циклом.

Формирование и предъявление требований безопасности к ПО.

  • Формирование требований к безопасному ПО с учётом требований законов, нормативных правовых актов, отраслевых стандартов, перечня требований пользователя, а также сценариев применения безопасного ПО. Разработка технического задания на создание безопасного ПО в соответствии с требованиями ГОСТ 19.201.

Управление конфигурацией ПО.

  • Регламент управления конфигурацией в рамках жизненного цикла ПО;

  • Регламент управления конфигурацией в рамках жизненного цикла ПО.

Управление недостатками и запросами на изменение ПО.

  • Регламент управления недостатками ПО.

Разработка, уточнение и анализ архитектуры ПО.

  • Требования безопасности к принципам проектирования архитектуры ПО, направленным на снижение количества потенциальных уязвимостей с учетом результатов моделирования угроз безопасности информации;

  • Как получить документально оформленный проект архитектуры программы.

Моделирование угроз.

  • Меры по нейтрализации угроз безопасности, связанных с особенностями реализации архитектуры ПО, модель угроз.

Разработка описания поверхности атаки.

  • Описание поверхности атаки. Угрозы безопасности ПО, актуальные для выполненных изменений. Анализ поверхности атаки методом сканирования интерфейсов ПО (локальных и сетевых интерфейсов взаимодействия с ПО (модулями ПО) пользователя и взаимодействий модулей ПО между собой, средой функционирования и внешними объектами при их наличии;

  • Перечень целей (функциональных подсистем, программных модулей ПО и их интерфейсов) для проведения дальнейших исследований безопасности ПО (например, фаззинг - тестирования) с учетом архитектуры ПО, результатов моделирования угроз и выполнения анализа поверхности атаки для разработанного кода ПО).

Формирование и поддержание в актуальном состоянии правил кодирования. Примеры опасных и безопасных конструкций для используемых в ПО языков программирования. Перечень правил и рекомендаций, направленных на устранение недостатков программы (потенциально уязвимых конструкций) в исходном коде программы, либо правила документирования.

  • Регламент оформления исходного кода и безопасного кодирования. Программные средства автоматической проверки правил кодирования.

Экспертиза исходного кода.

  • Регламент проведения экспертизы исходного кода ПО;

  • Экспертиза исходного кода ПО.

Использование инструментов композиционного анализа.

  • Регламент композиционного анализа. Перечень зависимостей ПО.

 Формирование и поддержание в актуальном состоянии правил кодирования. Примеры опасных и безопасных конструкций для используемых в программном обеспечении языков программирования. Перечень правил и рекомендаций, направленных на устранение недостатков программы (потенциально уязвимых конструкций) в исходном коде программы, либо правила документирования.

  • Регламент оформления исходного кода и безопасного кодирования. Программные средства автоматической проверки правил кодирования.

 Экспертиза исходного кода программного обеспечения.

  • Регламент проведения экспертизы исходного кода программного обеспечения;

  • Экспертиза исходного кода программного обеспечения. 

Использование инструментов композиционного анализа.

  • Регламент композиционного анализа. Перечень зависимостей программного обеспечения.

Методы, подходы и инструменты декомпиляции исходного кода программы для компонентов, заимствованных у сторонних разработчиков ПО, с целью получения исходного кода программы и проведения его статического анализа. Реверс-инжиниринг. Введение, базовые понятия и инструменты реверс-инжиниринга. Применение реверс-инжиниринга при безопасной разработке ПО. Реверс-инжиниринг. Язык ассемблера, дизассемблирование и декомпиляция исполняемого кода.

  • Проведение анализа заимствованных компонентов, составляющих поверхность атаки, на предмет наличия известных уязвимостей при сборке (непосредственно перед сборкой) ПО (компонентов, модулей ПО). Преодоление методов защиты от реверс-инжиниринга;

  • Дизассемблирование и декомпиляция конструкций языков высокого уровня в коде, выполняющемся до загрузки операционной системы, в программах пользовательского уровня. Поиск уязвимостей и недокументированных возможностей с помощью реверс-инжиниринга.

Статический анализ исходного кода. Регламент проведения статического анализа исходного кода ПО. Инструменты статического анализа.

  • Практика применения статических анализаторов на стеке разработки веб-приложений.

Применение статического анализа для обеспечения безопасной разработки. Инструменты статического анализа. Методы статического анализа программного кода.

  • Практика применения статических анализаторов для компилируемых языков;

  • Статический анализ кода, экспертиза исходного кода программы (ручное рецензирование). Применение автоматизированных средств при сертификационных испытаниях на примере использования анализатора исходных текстов «АК-ВС 3». Разбор дефектов и ручная разметка результатов статического анализатора.

Подходы к формированию исходных данных для выполнения динамического анализа кода программы, фаззинг-тестирования программы и тестирования на проникновение в рамках процесса квалификационного тестирования ПО. Квалификационное тестирование ПО.

  • Практика применения динамических анализаторов на стеке разработки веб-приложений.

Динамический анализ кода программы. регламент проведения динамического анализа кода ПО. Инструменты динамического анализа и фаззинг-тестирования.

  • Практика применения динамических анализаторов для компилируемых языков;

  • Практика применения динамических анализаторов для анализа бинарных исполняемых модулей без исходного кода.

Использование безопасной системы сборки ПО.

  • Регламент безопасной сборки ПО.

Обеспечение безопасности сборочной среды ПО.

  • Регламент обеспечения безопасности сборочной среды;

  • Схема сборочной среды. Журналы аудита процессов сборки ПО.

Обеспечение целостности кода при разработке ПО.

  • Политика доступа к исходному коду ПО и обеспечения его целостности. Модель управления доступом к исходному коду ПО.

Обеспечение безопасности используемых секретов.

  • Регламент использования секретов;

  • Описание реализации процедуры использования секретов.

Проверка кода на предмет внедрения вредоносного кода через цепочки поставок.

  • Организация контроля зависящих от сторонних поставщиков элементов разработки. Организация контроля договорных обязательств со сторонними поставщиками. Организация процесса выявления элементов инфраструктуры разработчика, воздействие на которые может повлиять на возникновение недекларированных возможностей в ПО.

Функциональное тестирование.

  • План функционального тестирования. Отчет по результатам функционального тестирования. Журналы регистрации хода проведения функционального тестирования;

  • Системы управления ошибками.

Нефункциональное тестирование. Проведение нефункциональных тестов, в том числе, имитирующих действия потенциального нарушителя.

  • Регламент проведения нефункционального тестирования. Описание объекта нефункционального тестирования. Отчет по результатам нефункционального тестирования.

Теоретическая часть по анализу уязвимостей (тестирования на проникновение). Введение в OWASP Top 10. Разбор наиболее опасных уязвимостей веб-приложений.

  • Проведение тестирования на проникновение на примере уязвимого веб-приложения. Практика применения автоматизированных средств (инструментов) при сертификационных испытаниях;

  • Практика выявления уязвимостей при проведении сертификационных испытаний класса: «Cross Site Scripting», «Cross Site Request Forgery», «SQL injection», «Path traversal».

Обеспечение безопасности при выпуске готовой к эксплуатации версии ПО.

  • Регламент приемки ПО. Регламент обеспечения целостности ПО, передаваемого пользователям.

Применение цифровой подписи ПО в качестве меры, реализующей возможность проверки целостности ПО.

  • Применение цифровой подписи ПО в качестве меры, реализующей возможность проверки целостности ПО.

Безопасная доставка ПО пользователям.

  • Документация безопасной доставки ПО пользователям. Состав и порядок передачи эксплуатационной документации.

Обеспечение поддержки ПО на этапе эксплуатации пользователями

  • Документация технической поддержки. Организация работы службы технической поддержки;

  • Процедура оповещения пользователей о выпуске обновлений (включая обновления безопасности) и необходимости их установки. Процедура информирования пользователей ПО о выявленных уязвимостях и способах реализации мер по их нейтрализации до разработки обновлений безопасности, устраняющих уязвимость, по установленным каналам взаимодействия.

Обеспечение реагирования на информацию об уязвимостях.

  • Регламент реагирования на информацию об уязвимостях. Использование средств автоматизации (системы управления изменениями, системы отслеживания ошибок, системы управления задачами);

  • Поиск уязвимостей в эксплуатирующемся ПО, регламент поиска ошибок и уязвимостей в ПО при его эксплуатации. Отчеты по результатам проводимых проверок, в которые включается информация об исправлении найденных ошибок, выпуска обновлений ПО и доставки обновлений ПО пользователям.

Обеспечение безопасности при выводе ПО из эксплуатации.

  • Описание условий, при которых ПО (версию ПО) необходимо выводить из эксплуатации. Регламент вывода ПО из эксплуатации;

  • Рекомендации по формированию совокупности процессов, подлежащих реализации разработчиком безопасного ПО в рамках научно-исследовательских и опытно-конструкторских работ.

Рекомендации по формированию совокупности процессов, подлежащих реализации разработчиком безопасного программного обеспечения в рамках научно-исследовательских и опытно-конструкторских работ.

  • Экзамен.


Даты обучения

03.02.2025 – 28.02.2025
03.03.2025 – 28.03.2025
31.03.2025 – 25.04.2025
05.05.2025 – 03.06.2025
05.06.2025 – 04.07.2025
07.07.2025 – 01.08.2025
04.08.2025 – 29.08.2025
01.09.2025 – 26.09.2025
29.09.2025 – 24.10.2025
31.10.2025 – 28.11.2025
01.12.2025 – 26.12.2025


Записаться на курс
Заполните заявку
и мы свяжемся с Вами в течение суток
Введите желаемые даты обучения:

Курс читают

Пиков Виталий Александрович
Стаж преподавательской работы: более 10 лет
Ведет курсы в области информационной безопасности, защиты информации и информационных технологий.
Подробнее →
Недогарок Антон Александрович
Стаж преподавательской работы: более 11 лет
Читает курсы по безопасной разработке программного обеспечения.
Подробнее →
Большунов Валерий Владимирович
Стаж преподавательской работы: стаж наставничества/консультаций/обучения коллег - более 15 лет
Имеет огромный опыт разработки ПО для нужд Минобороны России. Более 5 лет работал программистом-разработчиком в «ЗАО «Лаборатория Касперского». Занимался обеспечением полного цикла работ по сертификации ПО в системе сертификации ФСТЭК России. В настоящее время занимает должность главного эксперта (руководитель группы разработки) в Сбере
Подробнее →
Буянов Сергей Васильевич
Стаж преподавательской работы: более 25 лет
Преподает и участвует в курсах: Верификация и валидация вычислительных систем, Компьютерная алгебра, Корпоративные информационные системы, Системы искусственного интеллекта, Проектирование и архитектура вычислительных систем, Научно-исследовательская деятельность.
Подробнее →
Стоимость:
Очное обучение
150 000
Длительность:
200 часов / 20 дней
Форма обучения:
очная
Открытый курс
Необходимые документы:
при отсутствии – прохождение курса невозможно
  • Копия СНИЛС и диплома о высшем образовании
Категории слушателей:
  • Специалисты по информационной безопасности
  • Разработчики программного обеспечения
  • Руководители департаментов (ИТ, ИБ, разработки), отделов (ИБ, программирования), лабораторий
  • Ответственные за подготовку предприятия к сертификации процессов безопасной разработки программного обеспечения средств защиты информации в соответствии с требованиями ФСТЭК России
Записаться на курс
Заполните заявку
и мы свяжемся с Вами в течение суток
Введите желаемые даты обучения: