|
|
 |
Курс «Анализ безопасности программного обеспечения в защищенных информационных системах»
(ППК-7АБП)
Как показали исследования последних лет, надежность и стабильное функционирование компьютерных систем зависит от качества и надежности программного обеспечения, входящего в их состав. Не меньшую роль играет и безопасность, так как возможные дефекты программного обеспечения, преднамеренные или непреднамеренные, приводят к сбоям системы и отказам.
На курсе «Анализ безопасности программного обеспечения в защищенных информационных системах» подробно рассматриваются инструментальные средства статического и динамического анализа исходных тестов прикладного программного обеспечения, а также статический и динамический анализ программного кода в условиях отсутствия исходных текстов.
Программа повышения квалификации предназначена для:
- руководителей, начальников отделов и специалистов служб безопасности (информационной безопасности),
- руководителей и сотрудников отделов разработки и автоматизации, вычислительных центров, информационно-технических отделов,
- руководителей и сотрудников специализированных подразделений по оценке безопасности программного обеспечения в защищенных информационных системах,
- администраторов безопасности компьютерных сетей.
Целевая установка:
- изучение последних изменений в области безопасности программного обеспечения в защищенных информационных системах; вопросов безопасной разработки и оценки безопасности программного обеспечения на основе действующих нормативно-методических документов: ГОСТ Р 56939-2016 «Разработка безопасного программного обеспечения», ГОСТ Р ИСО/МЭК 15408, РД НДВ; .
- изучение современных инструментальных средств, применяемых для оценки уязвимостей программного кода, статического и динамического анализа программного обеспечения в условиях наличия или отсутствия исходных текстов; .
- выработка практических рекомендаций по проведению статического и динамического анализа программ для разработки безопасного программного обеспечения.
Содержание программы:
- Нормативная база по безопасной разработке и оценке безопасности программного обеспечения
- Методология анализа уязвимостей в соответствии с международными стандартами
- ГОСТ Р ИСО/МЭК 18045 и ISO/IEC TR 20004 «Information technology. Security techniques. Refining software vulnerability analysis under ISO/IEC 15408 and ISO/IEC 18045».
- Требования и меры по безопасной разработке в соответствии с ГОСТ Р 56939-2016 «Разработка безопасного программного обеспечения». Уровни доверия к программному обеспечению.
- Анализ уязвимостей программного обеспечения .
- Анализ известных (подтвержденных) уязвимостей программного обеспечения.
- Банк данных угроз безопасности информации ФСТЭК России, база данных уязвимостей программного обеспечения «Common Vulnerabilities and Exposures»).
- Тесты на проникновение. Инструментальный анализ уязвимостей.
- Инструментальные средства статического анализа исходных тестов прикладного программного обеспечения.
- Общая характеристика, классификация и задачи статического анализа программного кода. Статический анализ MS Studio .net C++ программ с использованием средств Irida Sources.
- Инструментальные средства динамического анализа прикладного программного обеспечения.
- Общая характеристика, классификация и задачи динамического анализа программного кода. Динамический анализ MS Studio .net C++ программ с использованием средств Irida Sources.
- Дизассемблирование и восстановление функциональных спецификаций исполняемых кодов программ.
- Общая характеристика дизассемблера IDA Pro. Особенности дизассемблирования кода программ на различных программно-аппаратных платформах. Восстановление функциональных спецификаций функций и процедур. Основы программирования в среде IDA Pro.
- Статический и динамический анализ программного кода в условиях отсутствия исходных текстов.
- Типовая структура состава кода прикладного программного обеспечения. Сценарии для проведения анализа кода. Основные средства инструментального комплекса Irida 2.0. для динамического анализа исполняемых кодов программ.
- Защита программного кода от недокументированных возможностей.
- Модель функционирования программного обеспечения. Автомат динамического контроля (АДК). Технология защиты кода от недокументированного исполнения с помощью инструментов Irida 2.0.
Форма обучения – очная.
Срок обучения: 40 академических часов, 5 учебных дней
Режим занятий: 8 часов в день, в том числе 6 часов учебных занятий с преподавателем и 2 часа самостоятельной работы в день
Занятия проводятся в форме лекций, групповых, семинарских и практических занятий на учебно-материальной базе «Центра предпринимательских рисков», самостоятельного изучения рекомендованной литературы и отчетной итоговой аттестации в виде зачета.
При успешном окончании обучения слушателю выдаётся Удостоверение повышения квалификации.
Каждый слушатель перед началом обучения получает необходимые учебно-методические материалы. Наряду с аудиторными занятиями, предусмотренными учебным планом, слушатели могут получить индивидуальные дополнительные консультации по интересующим их темам.
 В содержание программы могут быть внесены изменения!
|
|
|
|
