Проектирование безопасных автоматизированных банковских систем
0 0
Забронировать курс
Спасибо за интерес к нашему курсу! Обратитесь через форму «Запросить информацию» для получения более точной информации о датах обучения.
-
Аннотация
-
Описание образовательной программы
Настоящая программа курса устанавливает минимальные требования к знаниям и умениям слушателя и определяет содержание и виды учебных занятий и отчетности.
Курс предназначен для сотрудников и специалистов служб информационной безопасности кредитно-финансовых организаций Российской Федерации.
Программа курса разработана в соответствии с требованиями:
-
Федерального государственного образовательного стандарта высшего образования по направлению подготовки 10.03.01 «Информационная безопасность»;
-
Профессионального стандарта «Специалист по защите информации в автоматизированных системах», утвержденного Приказом Министерства труда и социальной защиты Российской Федерации от 15 сентября 2015 г. № 522н.
В результате освоения курса слушатель будет:
Знать:
-
Основные понятия и определения в области защиты информации;
-
Нормативные требования основных стандартов в области информационной безопасности АБС;
-
Основные технологии обеспечения информационной безопасности АБС;
-
Основные методики и инструменты для автоматизированного моделирования угроз безопасности и нарушителей;
-
Основные методики и инструменты для проектирования безопасных АБС;
-
Основные методы контроля эффективности применяемых на практике СЗИ для АБС.
Уметь:
-
применять полученные знания в области информационной безопасности на практике;
-
выявлять существующие и потенциальные угрозы информационности безопасности;
-
проектировать и внедрять систему защиты АБС;
-
руководствоваться требованиями регуляторов и действующих нормативно-правовых актов в области информационной безопасности;
-
проводить оценку качества защиты данных.
Владеть:
-
методами и инструментами проектирования безопасных автоматизированных банковских систем;
-
современными технологиями защиты информации;
-
навыками моделирования угроз и выработки адекватных мер нейтрализации угроз безопасности;
-
методами контроля качества и эффективности СЗИ АБС.
-
Расписание
Модуль 1. Основные понятия в области информационной безопасности автоматизированных банковских систем
-
Тема 1. Угрозы, уязвимости, атаки, инциденты. Моделирование угроз для финансовых организаций. Модель нарушителя. Меры и основные принципы обеспечения безопасности информационных технологий.
-
Тема 2. Практическое применение: угрозы, уязвимости, атаки, инциденты для систем ДБО, модели угроз и нарушителя, меры и принципы защиты.
Модуль 2. Учёт требований регуляторов в части информационной безопасности финансо-во-кредитных организаций
-
Тема 1. ГОСТ Р 57580.1-2017. Рекомендации РС БР ИББС 2.6. Обзор положений Банка России в части защиты информации. Требования PCI DSS. Требования ФСТЭК, Роскомнадзора, ФСБ.
-
Тема 2. Практическое применение: какие требования законодательства и регуляторов применяются к ДБО.
Модуль 3. Распределённые прикладные системы как объект защиты
-
Тема 1. Архитектура распределённых приложений. Модель «клиент-сервер», двухзвенные, трёхзвенные архитектуры.
-
Тема 2. Web-приложения. Автоматизированные банковские системы (АБС), примеры. Уровни информационной инфраструктуры. Жизненный цикл АБС.
-
Тема 3. Анализ сценариев возможных атак на системы дистанционного банковского обслуживания (ДБО).
-
Тема 4. Многоуровневый подход к защите прикладных систем на примере ДБО.
Модуль 4. Многоуровневый подход к защите прикладных систем
-
Тема 1. Сегментирование, разделение информационных потоков распределённых систем.
-
Тема 2. Межсетевые экраны, фильтрация трафика, анализ содержимого трафика, NGFW.
-
Тема 3. Обнаружение сетевых атак IPS\IDS\WAF.
-
Тема 4. Практическое применение данного блока информации для системы ДБО.
Модуль 5. Защита трафика АБС
-
Тема 1. Защита трафика прикладного уровня (протокол TLS).
-
Тема 2. Понятие цифровой подписи. Основы инфраструктуры открытых ключей. Удостоверяющие центры.
-
Тема 3. Атаки «человек посередине».
- Тема 4. Практическое применение данного блока информации для системы ДБО.
Модуль 6. Защита на уровне операционных систем АБС
-
Тема 1. Аутентификация, авторизация, SSO, ролевая модель разграничения доступа (RBAC), защита и мониторинг привилегированного доступа, регистрация событий безопасности (согласно требований ЦБ, регуляторов и ГОСТ). Контроль целостности информации.
-
Тема 2. Защита от несанкционированного доступа. Мониторинг событий безопасности. Практическое применение данного блока информации для системы ДБО.
Модуль 7. Защита Web-приложений АБС
-
Тема 1. Уязвимости Web-приложений. Список OWASP TOP 10. Классификация угроз Web Application Security Consortium.
-
Тема 2. Атаки на клиентов. Внедрение исполняемого кода. Практика защиты Web-приложений на примере систем ДБО.
Модуль 8. Безопасность систем управления базами данных АБС
-
Тема 1. Анализ взаимодействия компонентов приложений с СУБД. Использование защитных механизмов уровня СУБД. Разграничение доступа к объектам СУБД со стороны приложений.
-
Тема 2. Подходы к шифрованию данных. Меры защиты от утечек. Практическое применение данного блока информации для системы ДБО.
Модуль 9. Обеспечение ИБ АБС на этапе разработки ПО
-
Тема 1. Технологии разработки ПО, DevSecOps. Гибкие методики разработки ПО, Agile. Механизмы автоматизированного поиска уязвимостей в исходных кодах приложений.
-
Тема 2. Методы статического анализа (Static Application Security Testing, SAST), динамического анализа, фаззинг (Dynamic Application Security Testing, DAST), Interactive Application Security Testing (IAST), гибридный анализ.
-
Тема 3. Практическое применение данного блока информации для системы ДБО.
Модуль 10. Обеспечение ИБ в процессе эксплуатации
-
Тема 1. Тестирование приложений перед вводом в эксплуатацию.
-
Тема 2. Прием ПО в эксплуатацию. Контроль соответствия требованиям. Мониторинг состояния защищённости в ходе эксплуатации.
-
Тема 3. Процедуры, выполняемые на стадии снятия с эксплуатации. Практическое применение данного блока информации для системы ДБО.
-
Удостоверение о повышении квалификации
-
Цель курса
Формирование знаний, умений и навыков в области информационной безопасности кредитно-финансовых организаций, а также развитие компетенций в области методов и средств проектировании безопасных автоматизированных банковских систем.
-
Целевая аудитория
Специалисты и инженеры по ИБ финансово-кредитных организаций, инженеры проектировщики и внедренцы безопасных АБС.
0 отзывов
Об этом курсе отзывов пока нет. Будьте первым.
Чтобы оставить отзыв необходимо авторизоваться на сайте или зарегистрироваться.