Описание курса:
Курс предназначен для руководителей в области информационной безопасности, а также ведущих архитекторов и разработчиков, желающих углубить свои знания в построении и управлении процессами безопасной разработки. В рамках обучения слушатели изучат популярные фреймворки оценки зрелости безопасности (BSIMM, SAMM), освоят методы риск-ориентированного подхода для приоритизации задач и научатся внедрять процессы безопасной разработки с использованием современных инструментов. Особое внимание уделяется практике: слушатели разберут ключевые регуляторные требования и стандарты, научатся выстраивать командную работу и эффективно организовывать ресурсы для обеспечения безопасности на всех этапах создания ПО.
Аудитория:
• Руководители IT и безопасности (CISO, CTO, Heads of Security & IT);
• Лиды команд разработчиков и инженеров по безопасности;
• Менеджеры проектов в области информационной безопасности.
Необходимая подготовка:
Базовое понимание принципов информационной безопасности, знакомство с основными процессами разработки программного обеспечения, опыт работы на управленческой или лидерской позиции в IT или безопасности.
Программа курса:
Модуль 1. Области ответственности:
• Стратегическое планирование информационной безопасности и ключевые роли: CISO, руководитель (LEAD) и инженер по безопасности.
Модуль 2. Уровень зрелости процессов безопасности:
• Введение в модели оценки зрелости безопасности: BSIMM и SAMM;
• Практическое занятие. Диагностика уровня зрелости процессов безопасности в вашей организации.
Модуль 3. Основы принципов безопасной разработки:
• Теоретические основы внедрения принципов безопасности на этапах разработки ПО;
• Практическое задание. Создание концепции реализации безопасной разработки.
Модуль 4. Риск-ориентированный подход и принцип Парето:
• Применение риск-подхода и правила 20/80 в управлении безопасностью;
• Практическое занятие. Разработка стратегии и планов достижения целевых результатов (OKR).
Модуль 5. Регуляторное окружение и стандарты:
• Обзор ключевых регуляторов и стандартов: ФСТЭК, ФСБ, NIST, NWD;
• ГОСТ 56939: анализ требований и рекомендации по внедрению;
• Практическое задание. Создание чек-листа для проверки соответствия продукта требованиям регуляторов.
Модуль 6. Построение процессов безопасности:
• Принципы создания эффективных процессов защиты информации с использованием нотации BPMN;
• Практическое занятие. Разработка собственного процесса безопасности с помощью BPMN.
Модуль 7. Процессы безопасной разработки программного обеспечения:
• Современные методы и инструменты обеспечения безопасности при разработке: SAST, DAST, SCA, OSA, Runtime Security, Vulnerability Management, Bug Bounty.
Модуль 8. Обеспечение ресурсов для информационной безопасности:
• Подходы к формированию команды: наём специалистов, использование SecChamp, аутстаффинг и аутсорсинг. Особенности горизонтального распределения ролей в отделе безопасности.
Окончательная цена указывается в договоре на обучение.
