Программа курса охватывает всё необходимое для руководителей предприятий и ответственных за процессы БРПО для получения знаний теоретических основ и приобретения практических навыков внедрения процессов разработки безопасного программного обеспечения (ГОСТ Р 56939–2016) на предприятии с учётом требований актуальной нормативной правовой базы.
Успешно прошедшие обучение смогут самостоятельно разработать для своей организации:
✔ дорожную карту (алгоритм) внедрения БРПО на предприятии;
✔ проект Руководства БРПО предприятия;
✔ проекты документов предприятия в соответствии с ГОСТ Р 56939–2016.
Знания и практические навыки, полученные слушателями в ходе прохождения курса необходимы для того, чтобы предприятие соответствовало требованиям нормативной правовой базы Российской Федерации по направлению разработки безопасного программного обеспечения:
- ГОСТ Р 56939–2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования;
- ГОСТ Р ИСО/МЭК 27001–2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования;
- Приказ ФСТЭК России от 01.12.2023 г. № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации»;
- Предприятие – лицензиат Минобороны России должно соответствовать требованиям Заказчика (МО РФ) согласно решению секции «Комплексная защита информации в АСУ ВС РФ» от 8 декабря 2017 года: «Лицензиатам Минобороны России привести процессы разработки и сопровождения средств защиты информации в соответствие с требованиями национального стандарта ГОСТ Р 56939–2016».
Разработчикам средств защиты информации (программного обеспечения, реализующего функции средств защиты информации), планирующих прохождение процедуры сертификации в системе сертификации средств защиты информации ФСТЭК России, Министерства обороны Российской Федерации по требованиям безопасности информации, необходимо, чтобы предприятие соответствовало требованиям, изложенным в:
- приказе Министра обороны Российской Федерации 1996 года № 058 «О создании системы сертификации средств защиты информации Министерства обороны Российской Федерации по требования безопасности информации»;
- приказе Министра обороны Российской Федерации 2020 года № 488 «Об утверждении Положения о системе сертификации средств защиты информации Министерства обороны Российской Федерации»;
- приказе ФСТЭК России от 3 апреля 2018 г. № 55 «Об утверждении положения о системе сертификации средств защиты информации» (Положение о системе сертификации средств защиты информации, система сертификации ФСТЭК России);
- приказах ФСТЭК России № 17, 21, 31, 239 – «…указанные средства (средства защиты информации – прим. НОУ ДПО УЦБИ «МАСКОМ») должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативными правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности)».
В результате обучения Вы получите шаблон (образец) "Руководства по РБПО" в соответствии с требованиями п. 4.10 - 4.11 ГОСТ Р 56939-2016. В обязательном порядке Вами будут изучены и досконально рассмотрены требования к документам в соответствии с требованиями п. 4.12 ГОСТ Р 56939-2016 (образцы покажем, дадим). Отдельный день посвящён требованиям ГОСТ Р ИСО/МЭК 27001 и политике ИБ организации (шаблон которой также Вам будет предоставлен), в соответствии с требованиями п. 4.13 ГОСТ Р 56939-2016. Также, в обязательном порядке, будут рассмотрены требования всех документальных подтверждений выполнения требований ГОСТ Р 56939-20ХХ, в соответствии со всеми 25 процессами РБПО. Это будет сделано для того, чтобы Вам быть готовым к переходу на требования нового стандарта - ГОСТ Р 56939-20ХХ. По мнению регулятора, ГОСТ Р 56939-20ХХ будет утверждён уже в этом году.
Ждём Вас на наших курсах по безопасной разработке ПО!
Программа курса:
Раздел 1. Основы информационной безопасности. Основные руководящие нормативные и методические документы РФ. Основные методы защиты от угроз нарушения конфиденциальности, целостности и доступности информации. Модели угроз, нарушителя и модели защиты.
• Создание проекта модели угроз, нарушителя и модели защиты с использованием БДУ ФСТЭК России.
Раздел 2. Хроника языков программирования. Проектирование архитектуры программного обеспечения. Жизненный цикл разработки безопасного программного обеспечения.
• Практика создания программ на популярных языках программирования с учетом требований безопасности.
Раздел 3. Методологии разработки безопасного программного обеспечения.
• Основные практики и принципы безопасной разработки;
• Software Development Lifecycle (SDLc);
• Основные практики Security Development Lifecycle (SDL);
• DevOps;
• DevSecOps;
• Методики оценки зрелости ИБ процессов;
• Принципы дизайна.
Раздел 4. Понятийная база (основные термины и определения) процессов безопасной разработки программного обеспечения.
• Оценивание программного обеспечения в соответствии с ГОСТ ИСО/МЭК 15408-Х (ч. 1, 2, 3);
• Изучение взаимосвязи мер по разработке безопасного программного обеспечения (ГОСТ Р 56939–2016) и требований ГОСТ Р ИСО/МЭК 15408–3.
Раздел 5. Общие сведения о сертификации и лицензировании программного обеспечения. Основные руководящие нормативные и методические документы. Сертифицированные испытания. Структура документации для подачи заявки и проведения сертификационных испытаний по требованиям доверия согласно приказу ФСТЭК России от 2 июня 2020 г. № 76. Структура документации для подачи заявки и проведения сертификационных испытаний в соответствии с требованиями приказа Министра обороны Российской Федерации 2020 года № 488.
• Создание проекта документации для подачи заявки на проведение сертификационных испытаний по требованиям доверия в соответствии с требованиями приказа ФСТЭК России от 2 июня 2020 г. № 76;
• Создание проекта документации для подачи заявки на проведение сертификационных испытаний по требованиям системы сертификации средств защиты информации в Министерстве обороны Российской Федерации.
Раздел 6. Организация на предприятии процессов БРПО. Руководство по разработке безопасного ПО в соответствии с требованиями ГОСТ Р 56939–2016.
• Руководство по разработке безопасного ПО в соответствии с требованиями ГОСТ Р 56939–2016.
Раздел 7. Планирование процессов разработки безопасного ПО. Процессы жизненного цикла ПО. Порядок организации работ по созданию безопасного ПО, выполняемых в рамках процессов жизненного цикла ПО.
• Порядок организации работ по созданию безопасного ПО, выполняемых в рамках процессов жизненного цикла ПО;
• Дорожная карта (алгоритм) внедрения БРПО на предприятии.
Раздел 8. Обучение сотрудников в соответствии с требованиями ГОСТ Р 56939–2016.
• Создание проекта плана обучения. Организация учёта обучения сотрудников;
• Мероприятия по повышению осведомленности разработчика о возможных типовых угрозах, ошибках и уязвимостях в разрабатываемом ПО, механизмах их недопущения или минимизации вероятности их возникновения, порядке сопровождения ПО и управления жизненным циклом.