Политехнический колледж НовГУ

Программа "Анализ безопасности веб-приложений"

Категория слушателей: лица, имеющие среднее профессиональное образование и (или) высшее образование.

Трудоемкость обучения: 72 академических часа

Период обучения: с 1 ноября по 12 ноября 2020

Форма обучения: очная.

Уровень сложности программы: базовый уровень (ключевые проф.знания и умения, освоение основного инструментария и технологий проф. деятельности).

Стоимость обучения: 30000 руб за одного человека

Цели реализации программы:

 Дополнительная профессиональная программа повышения квалификации направлена на совершенствование и (или) получение новой компетенции, необходимой для профессиональной деятельности, и (или) повышение профессионального уровня в рамках имеющейся квалификации.

Программу составили и реализуют:

Цымбалюк Алексей Евгеньевич, преподаватель ПТК НовГУ

Начало обучения: октябрь-ноябрь 2020 год

Документ, получаемый по итогам обучения: удостоверение о повышении квалификации

Краткое содержание программы:

Требования к результатам обучения. Планируемые результаты обучения

В результате освоения программы слушатель будет:

Знать:

• различные методологии поиска уязвимостей информационных ресурсов, компьютерных сетей и приложений.
• популярные методы атак со стороны злоумышленников.
• найденные и опубликованные критические уязвимости в операционных системах и серверах.
• особенности использования различных сканеров безопасности.
• методологию составления отчета о проведенном поиске уязвимостей.
• основные способы защиты от атак на типовые уязвимости приложений.
• способы и рекомендации по обследованию объектов защиты и обобщения данных о их состоянии.
• отраслевые и межотраслевые индустриальные стандарты, а также иные внутренние и международные нормативные документы в области информационной безопасности.
• общепринятые классификации угроз информационной безопасности.
• типовые причины атак на информационные ресурсы и системы, их последствия.
• основные способы защиты информационных систем, в том числе и веб-приложений, обеспечения безопасности и целостности данных от атак злоумышленников.
• состав и актуальность последних обновлений операционных систем и программного обеспечения для обеспечения информационной безопасности.
• принципы функционирования, способы настройки и управления различными операционными системами и серверами.
• правила монтажа, способы наладки и настройки сетевого оборудования и программного обеспечения.
• правила организации мониторинга безопасности, хранения журналов событий.
• основные причины компрометации безопасности операционных систем, серверов и программного обеспечения, а также способы их предотвращения.
• способы организации доступа к удаленным ресурсам.
• важность своевременного обновления версий и защиты от найденных уязвимостей.
• методы повышения защищенности операционных систем и серверов.
• нормативные правовые акты в области защиты информации.
• национальные, межгосударственные и международные стандарты в области защиты информации.
• руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации.
• организационные меры по защите информации.
• принципы построения средств защиты информации от утечки по техническим каналам.
• критерии оценки защищенности автоматизированной системы.
• технические средства контроля эффективности мер защиты информации.
• регламент информирования персонала автоматизированной системы о выявленных инцидентах.
• регламент учета выявленных инцидентов.
• регламент устранения инцидентов.
• основные криптографические методы, алгоритмы, протоколы, используемые для обеспечения защиты информации в автоматизированных системах.
• особенности и способы применения программных и программно-аппаратных средств защиты информации, в том числе, в операционных системах, компьютерных сетях, базах данных;
• типовые модели управления доступом, средств, методов и способов защиты информации в локальных вычислительных сетях, средств защиты от несанкционированного доступа;
• основные понятия криптографии и типовых криптографических методов и средств защиты информации.

 Уметь:

• работать со сканерами уязвимостей.
• самостоятельно проверять технические средства и настройки сетевого и серверного программного обеспечение на наличие уязвимостей.
• тестировать информационные системы и сервера на наличие известных и широко распространенных уязвимостей.
• анализировать программный код веб-сервисов на наличие уязвимостей.
• тестировать программное обеспечение, в том числе и веб-приложения, на наличие потенциальных и скрытых уязвимостей.
• идентифицировать угрозы и уязвимости информационных систем и приложений.
• анализировать целостность данных субд.
• анализировать существующие методы и средства обеспечения информационной безопасности и предлагать меры по их совершенствованию и развитию.
• собирать информацию по ит-инфраструктуре объекта защиты с целью выработки и принятия решений и мер по защите информации.
• применять анализаторы защищенности веб-приложения, включая онлайн-сервисы оценки защищенности.
• контролировать состояние объекта защиты, в том числе и в части соблюдения общепринятых или задокументированных в стандартах правил и норм.
• оценивать риски информационной безопасности используя классификации веб-угроз.
• разрабатывать модели угроз и нарушителя.
• составлять отчеты и организационно-распорядительную документацию по результатам обследования.
• разрабатывать рекомендации по повышению уровня защищенности.
• сопровождать разработку информационных систем в части вопросов информационной безопасности на всех стадиях.
• инсталлировать операционные системы, сервера и другое программное обеспечение на технические средства.
• устанавливать и настраивать безопасную конфигурацию операционной системы, серверов и программного обеспечения с учетом предъявляемых требований.
• администрировать ит-инфраструктуру, в том числе и удаленно.
• конфигурировать и контролировать состояние технических систем, устранять возникающие проблем.
• разграничивать права пользователей и настраивать безопасный доступ к операционным системам, серверам и программному обеспечению.
• использовать штатные и специальные средства мониторинга безопасности операционных систем.
• применять средства безопасного удаленного мониторинга и конфигурирования операционных систем, серверов и программного обеспечения.
• получать, инсталлировать и отслеживать работу с ssl-сертификатами.
• настраивать и контролировать средства защиты информации в соответствии с требованиями политик информационной безопасности.
• определять источники и причины возникновения инцидентов.
• оценивать последствия выявленных инцидентов.
• обнаруживать нарушения правил разграничения доступа.
• устранять нарушения правил разграничения доступа.
• осуществлять контроль обеспечения уровня защищенности в автоматизированных системах.
• использовать криптографические методы и средства защиты информации в автоматизированных системах.
• устанавливать, настраивать, применять программные и программно-аппаратные средства защиты информации;
• диагностировать, устранять отказы, обеспечивать работоспособность и тестировать функции программно-аппаратных средств защиты информации;
• проверять выполнение требований по защите информации от несанкционированного доступа при аттестации объектов информатизации по требованиям безопасности информации;
• использовать типовые программные криптографические средства, в том числе электронную подпись;
• устанавливать и настраивать средства антивирусной защиты в соответствии с предъявляемыми требованиями;
• осуществлять мониторинг и регистрацию сведений, необходимых для защиты объектов информатизации, в том числе с использованием программных и программно-аппаратных средств обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Смотрите также:

• Рекомендательное письмо от работодателя (СПЛ)
• Рекомендательное письмо от "Физики и лирики"