Личный кабинет
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Заказать звонок
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Security Champion
Научим оптимизировать взаимодействие отделов ИБ и ИТ, улучшать показатели уровня информационной безопасности для продукта организации
Online
Практический курс по безопасной разработке
Старт группы
на доработке
на доработке
Длительность
5 недель
5 недель
После успешного прохождения курса выдается удостоверение о повышении квалификации и электронный сертификат
научитесь анализировать приложения с точки зрения их функциональности и уязвимостей;
поймёте принципы работы конвейера разработки и важность установки контрольных точек качества (Quality Gates).
оцените риски уязвимостей для бизнеса и определите меры контроля их воздействия;
разберётесь в процессе проектного управления и анализе рисков;
После освоения курса вы:
Jenkins
Технологии и инструменты, которые будете использовать:
GitLab CI
UML-графы
OSI
STLC TMMI
BSIMM
.NET
Archimate
Quality Gate
Software Walkthroughs
Secret Management System
Java/ Node.js
DASA DevOps Metrics
DevSecOps Toolchain
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
30
часов практики с наставником
30
часов теории
В каждом модуле студенты заполняют skill-матрицу, которая помогает видеть приобретенные компетенции и направления для развития
обновили материалы в марте 2024 года, чтобы вы были в курсе самых последних киберугроз и атак, а также методов обеспечения безопасности
*
Кому будет полезно пройти курс
IT-специалистам
Системным аналитикам
Project Manager
Бизнес-аналитикам
Разработчикам ПО
Инженерам DevOps/DevSecOps/AppSec
Системным администраторам
Scrum Master
Сетевым администраторам
Программа повышения квалификации
Рекомендуем выделять на курс 10-12 часов в неделю
📄 Что такое ИБ?
📄 Кто такой специалист по ИБ?
📄 Роль и компетенции Security Champion
🗣️ Приветственный вебинар
📄 Кто такой специалист по ИБ?
📄 Роль и компетенции Security Champion
🗣️ Приветственный вебинар
📄 1.1 Необходимость соблюдения законодательства в сфере ИБ и почему это важно для бизнеса.
📄 1.2 PMI и ИБ в Shift-Left подходе. Shift-Left для бизнеса и почему важна роль Security Champion?
▶️ Скринкаст. Описание бережливого стека: пример важности наиболее выгодных для бизнеса решений для поддержки time-to-market.
📄 1.3 Проектное управление. Методологии.
📄 1.4 DevOps Agile Skill Association: методология, компетенции, формирование ценности при построении продукта компании.
📄 1.5 Риск- и бизнес-ориентированный подход Shift-left.
📄 1.6 Риски ИБ. Оценка степени критичности и влияния риска ИБ.
📄 1.7 Пример анализа кейса по бизнес-процессам крипто-платежей.
▶️ Скринкаст. Shift-Left: практическое применение.
✅ Тест
⚙️ Практическая работа. Определение ответственности за нарушение в части ИБ.
⚙️ Практическая работа. Меры митигации рисков ИБ, взаимодействие с бизнесом.
✅ Skill-матрица
🗣️ Вебинар. PMI и ИБ: каким образом происходит взаимодействие с бизнесом при Shift-Left подходе.
📄 1.2 PMI и ИБ в Shift-Left подходе. Shift-Left для бизнеса и почему важна роль Security Champion?
▶️ Скринкаст. Описание бережливого стека: пример важности наиболее выгодных для бизнеса решений для поддержки time-to-market.
📄 1.3 Проектное управление. Методологии.
📄 1.4 DevOps Agile Skill Association: методология, компетенции, формирование ценности при построении продукта компании.
📄 1.5 Риск- и бизнес-ориентированный подход Shift-left.
📄 1.6 Риски ИБ. Оценка степени критичности и влияния риска ИБ.
📄 1.7 Пример анализа кейса по бизнес-процессам крипто-платежей.
▶️ Скринкаст. Shift-Left: практическое применение.
✅ Тест
⚙️ Практическая работа. Определение ответственности за нарушение в части ИБ.
⚙️ Практическая работа. Меры митигации рисков ИБ, взаимодействие с бизнесом.
✅ Skill-матрица
🗣️ Вебинар. PMI и ИБ: каким образом происходит взаимодействие с бизнесом при Shift-Left подходе.
📄 2.1 Архитектура, структура приложения и веб-сервисов.
📄 2.2 Описание и принципы построения SDLС. Принципы безопасной архитектуры.
📄 2.3 Software Testing Lyfe Cicle. Модель TMMI.
📄 2.4 Процесс DevSecOps - описание процесса.
📄 2.5 Quality Gate: схема процесса, описание контролей/критериев для конвейера CI/CD. DevSecOps с применением Quality Gate.
📄 2.6 Quality Gate: требования процесса управления критериями качества, подход к управлению рисками в процессе безопасной разработки.
▶️ Скринкаст. Схема цикла SDLС в наложении на DevSecOps. Application Security. Описание UML-схемы интеграции Quality Gate.
▶️ Скринкаст. BPMN DevSecOps: процесс, роли, шаги.
📄 2.7 Quality Gate: User Stories и бизнес логика QG.
📄 2.8 Quality Gate как критерии качества соответствия требованиям ИБ.
▶️ Скринкаст. Quality Gate: имплементация, рекомендации. Разбор примеров UML схемы CI/CD конвейеров для корректного встраивания Quality Gate
⚙️ Практическая работа. Анализ схемы типа property-based.
⚙️ Практическая работа. Описание контролей Quality Gate для конвейера CI/CD своей команды разработки. Action Items. Построение UML схемы с интеграцией сканеров кода.
✅ Тест
✅ Skill-матрица
🗣️ Воркшоп. Разбор и выставление требований ИБ для защиты технического решения.
🗣️ Вебинар. Применимость Quality Gate. Обсуждение BPMN DevSecOps.
📄 2.2 Описание и принципы построения SDLС. Принципы безопасной архитектуры.
📄 2.3 Software Testing Lyfe Cicle. Модель TMMI.
📄 2.4 Процесс DevSecOps - описание процесса.
📄 2.5 Quality Gate: схема процесса, описание контролей/критериев для конвейера CI/CD. DevSecOps с применением Quality Gate.
📄 2.6 Quality Gate: требования процесса управления критериями качества, подход к управлению рисками в процессе безопасной разработки.
▶️ Скринкаст. Схема цикла SDLС в наложении на DevSecOps. Application Security. Описание UML-схемы интеграции Quality Gate.
▶️ Скринкаст. BPMN DevSecOps: процесс, роли, шаги.
📄 2.7 Quality Gate: User Stories и бизнес логика QG.
📄 2.8 Quality Gate как критерии качества соответствия требованиям ИБ.
▶️ Скринкаст. Quality Gate: имплементация, рекомендации. Разбор примеров UML схемы CI/CD конвейеров для корректного встраивания Quality Gate
⚙️ Практическая работа. Анализ схемы типа property-based.
⚙️ Практическая работа. Описание контролей Quality Gate для конвейера CI/CD своей команды разработки. Action Items. Построение UML схемы с интеграцией сканеров кода.
✅ Тест
✅ Skill-матрица
🗣️ Воркшоп. Разбор и выставление требований ИБ для защиты технического решения.
🗣️ Вебинар. Применимость Quality Gate. Обсуждение BPMN DevSecOps.
📄 3.1 Анализ веб-приложения: уязвимости и атаки.
📄 3.2 Анализ кода на уязвимости: PenTest, Bug Bounty, Secure Code Review.
📄 3.3 Средства защиты информации и виды. Статистический и динамический анализ приложений. Сканеры уязвимостей веб-приложений, сторонних компонентов и зависимостей.
📄 3.4 Методологии поиска уязвимостей.
📄 3.5 Практики безопасной разработки. Оценка уровня зрелости команды в ИБ (BSIMM). DevSecOps в разработке ПО.
📄 3.6 Разбор OWASP TOP 10 (web, mob_app).
✅ Тест
⚙️ Практическая работа. Привести и описать пример атаки на цепочку поставки.
⚙️ Практическая работа. Для приведенного фрагмента кода указать его недостаток, написать рекомендации по его устранению.
⚙️ Практическая работа. Описать XInclude и почему возникает уязвимость XXE при его использовании?
⚙️ Практическая работа. Анализ уязвимости PrintNightmare.
✅ Skill-матрица
🗣️ Вебинар. Разбор практик AppSec. Разбор Secure Check-list и принципов его применения. Secure Code Review. Pentest-as-a-Service.
📄 3.2 Анализ кода на уязвимости: PenTest, Bug Bounty, Secure Code Review.
📄 3.3 Средства защиты информации и виды. Статистический и динамический анализ приложений. Сканеры уязвимостей веб-приложений, сторонних компонентов и зависимостей.
📄 3.4 Методологии поиска уязвимостей.
📄 3.5 Практики безопасной разработки. Оценка уровня зрелости команды в ИБ (BSIMM). DevSecOps в разработке ПО.
📄 3.6 Разбор OWASP TOP 10 (web, mob_app).
✅ Тест
⚙️ Практическая работа. Привести и описать пример атаки на цепочку поставки.
⚙️ Практическая работа. Для приведенного фрагмента кода указать его недостаток, написать рекомендации по его устранению.
⚙️ Практическая работа. Описать XInclude и почему возникает уязвимость XXE при его использовании?
⚙️ Практическая работа. Анализ уязвимости PrintNightmare.
✅ Skill-матрица
🗣️ Вебинар. Разбор практик AppSec. Разбор Secure Check-list и принципов его применения. Secure Code Review. Pentest-as-a-Service.
🗣️ Вебинар. Ответы на вопросы, консультация по выполнению задания.
▶️ Скринкаст. Рекомендации к выполнению дипломной работы.
⚙️ Диплом
▶️ Скринкаст. Рекомендации к выполнению дипломной работы.
⚙️ Диплом
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
Примеры практических заданий
Проанализировать код, выявить недостатки и дать рекомендации по устранению
Что ещё важно
Учим тому, что точно пригодится в работе
После завершения курса вы сможете выполнять роль Security Champion в компании.
После завершения курса вы сможете выполнять роль Security Champion в компании.
Нет битых ссылок
Приводим только актуальные инструменты в качестве примеров.
Приводим только актуальные инструменты в качестве примеров.
Доступ к курсу на 6 месяцев
Возвращайтесь к материалам и повторяйте изученное.
Возвращайтесь к материалам и повторяйте изученное.
Вечный доступ в закрытый чат телеграм INSECA CLUB
Обменивайтесь опытом с коллегами и экспертами.
Обменивайтесь опытом с коллегами и экспертами.
Илья Шмаков
DevSecOps TeamLead & BISO
DevSecOps TeamLead & BISO
Автор курса
Более 8 лет работает в сфере обеспечения информационной безопасности для продуктовой разработки. Руководит группой офицеров информационной безопасности, развивает DevSecOps. Принимал участие в безопасности продуктов для BI, E-commerce, Supply Chain, Cryptocurrency, а также Mobile GameDev.
Сертификаты
- DevOps Professional
- IT Product Management Foundation
- DASA DevOps Product Owner
Ключевые навыки
- DevSecOps
- AppSec
- DevOps
- Risk Analysis
- Product Management
- DMAIC
Как проходит курс
В процессе освоения программы ученики примерят на себя роль Security Champion. Вместе с наставником курса решите задачи, с которыми сталкиваются в реальной жизни ИТ/ИБ специалисты большинства компаний.
Чтобы выполнить задачи и обеспечить безопасность, вам нужно столкнуться с такими форматами:
Лекции и скринкасты
30 часов информации изложено в формате лекций, скринкастов и проверочных заданий— это выжимка из теории, необходимая для структурирования ваших знаний перед практикой.
Онлайн-вебинары с наставниками
Практические онлайн лекции 1 раз в неделю с наставниками:
● разбор кейсов из практики наставника или приглашенного эксперта;
● постановка задачи для самостоятельного решения;
● разбор ошибок.
Практические задания
До 50% от объёма курса — боевые задачи, с которыми сталкиваются специалисты каждый день. При решении задач обучающиеся используют реальные инструменты и платформы.
30 часов информации изложено в формате лекций, скринкастов и проверочных заданий— это выжимка из теории, необходимая для структурирования ваших знаний перед практикой.
Онлайн-вебинары с наставниками
Практические онлайн лекции 1 раз в неделю с наставниками:
● разбор кейсов из практики наставника или приглашенного эксперта;
● постановка задачи для самостоятельного решения;
● разбор ошибок.
Практические задания
До 50% от объёма курса — боевые задачи, с которыми сталкиваются специалисты каждый день. При решении задач обучающиеся используют реальные инструменты и платформы.
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
Необходимые знания для освоения программы курса
- Понимание методологий ITIL, Project Management,
- Понимание концепций ИБ и их направлений,
- Знание основных ФЗ 149, 67, 151, Доктрины ИБ,
- Понимание видов информации ограниченного доступа,
- Модель OSI, понимание сетевой сегментации, Vlan, DHCP, DMZ,
- Понимание построения архитектурных решений,
- Понимание основных законодательных норм от сферы деятельности бизнеса куда стараетесь трудоустроиться,
- Понимание принципа работы ОС на Windows, *nix.
Вступительное тестирование
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
| Пройти тест |
Что из представленного отражает некорректность используемых контролей ИБ?
Не верно
Не верно
Не верно
Верно!
| Дальше |
| Проверить |
| Узнать результат |
На каком этапе разработки программного продукта производится динамическое тестирование безопасности приложений (DAST)?
Не верно
Верно!
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Какой порт используется для RDP?
Верно!
Не верно
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
На каком уровне OSI работают веб-приложения?
Не верно
Верно!
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
В каких пунктах OWASP Top 10 (2021 года) описывается пример подмены пути данных из недоверенного источника при работе с файловой системой?
Верно!
Не верно
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Что требуется для того, чтобы обновить Bearer Token при использовании JWT для REST-запросов?
Не верно
Не верно
Не верно
Верно!
| Дальше |
| Проверить |
| Узнать результат |
Что содержится в результатах OSA?
Не верно
Верно!
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Какая статья ФЗ РФ №152 содержит проведение подготовки по мерам защиты ПДн?
Верно!
Не верно
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Что относится к информации особой конфиденциальности?
Не верно
Не верно
Верно!
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Как обозначается маска прав в *nix для ролей?
Не верно
Не верно
Не верно
Верно!
| Дальше |
| Проверить |
| Узнать результат |
Какой сценарий поиска уязвимости подходит к реализации атаки с использованием полученных данных, и можно ли развить далее вектор атаки по ней?
Не верно
Верно!
Не верно
Не верно
| Дальше |
| Проверить |
| Узнать результат |
К чему может привести уязвимость Security Misconfiguration?
Не верно
Не верно
Верно!
Не верно
| Дальше |
| Проверить |
| Узнать результат |
Недостаточно знаний для уровня Junior
Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 10 часов еженедельно, чтобы не отставать от темпа группы.
| Пройти еще раз |
Недостаточно знаний для уровня Junior
Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 10 часов еженедельно, чтобы не отставать от темпа группы.
| Пройти еще раз |
Вы новичок
Вероятно, вы только начали свой путь в роли Security Champion. Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 10 часов еженедельно, чтобы не отставать от темпа группы.
| Пройти еще раз |
Вы новичок
Вероятно, вы только начали свой путь в роли Security Champion. Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 10 часов еженедельно, чтобы не отставать от темпа группы.
| Пройти еще раз |
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Надеемся, что и практические задания будут вам по плечу!
| Пройти еще раз |
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Надеемся, что и практические задания будут вам по плечу!
| Пройти еще раз |
У нас учатся
О компании
ИНСЕКА — это команда опытных экспертов в сфере информационной безопасности, которым небезразлична судьба отрасли. Мы знаем, с чем ежедневно приходится сталкиваться специалистам: много рутинной работы, отсутствие автоматизации процессов, несогласованность подразделений, недостаточность финансирования, бюрократия, нет доступа к иностранному ПО, информация быстро устаревает, а искать достоверную и актуальную — долго и сложно.
5+ лет мы собираем базу знаний для решения собственных задач, добавили к этому 10+ лет рабочей практики экспертов и опыт зарубежных коллег. В результате появилась компания ИНСЕКА, которая создает образовательные продукты в сфере кибербезопасности. Мы убеждены, что обмен опытом и практико-ориентированная подготовка кадров поможет отрасли решить любые проблемы.
Наши эксперты — это «играющие тренеры». Знают теорию, применяют в своей работе всё, о чем рассказывают на курсах, и что самое главное — готовы делиться своим практическим опытом.
Мы с вами на одной стороне!
5+ лет мы собираем базу знаний для решения собственных задач, добавили к этому 10+ лет рабочей практики экспертов и опыт зарубежных коллег. В результате появилась компания ИНСЕКА, которая создает образовательные продукты в сфере кибербезопасности. Мы убеждены, что обмен опытом и практико-ориентированная подготовка кадров поможет отрасли решить любые проблемы.
Наши эксперты — это «играющие тренеры». Знают теорию, применяют в своей работе всё, о чем рассказывают на курсах, и что самое главное — готовы делиться своим практическим опытом.
Мы с вами на одной стороне!
Внедряем лучший зарубежный опыт и адаптируем его под наши реалии
В команде только практикующие эксперты
Учим тому, что точно пригодится в работе
Объединяем специалистов в ИБ для обмена опытом
Получить бесплатный доступ на 3 дня
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Заказать звонок
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Оставить заявку
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Записаться на курс
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты