• A
  • A
  • A
  • АБB
  • АБB
  • АБB
  • А
  • А
  • А
  • А
  • А
Обычная версия сайта
Версия для слабовидящихВерсия для слабовидящихЛичный кабинет сотрудника ВШЭПоиск
Расширенный поиск
Меню
Высшая школа экономики
Личный кабинет сотрудника ВШЭПоиск
Расширенный поиск

Программа дисциплины

Магистратура 2022/2023

Разработка защищенных программных систем

Лучший по критерию «Полезность курса для расширения кругозора и разностороннего развития»
Лучший по критерию «Новизна полученных знаний»
Статус: Курс обязательный (Кибербезопасность)
Направление: 10.04.01. Информационная безопасность
Кто читает: Кафедра информационной безопасности киберфизических систем
Где читается: Московский институт электроники и математики им. А.Н. Тихонова
Когда читается: 1-й курс, 2, 3 модуль
Формат изучения: без онлайн-курса
Охват аудитории: для своего кампуса
Прогр. обучения: Кибербезопасность
Язык: русский
Кредиты: 6
Контактные часы: 60

Программа дисциплины

Дополнительные материалы в LMSЗадать вопрос

Аннотация

Курс «Разработка защищенных программных систем» направлен на обучение студентов проектированию программного обеспечения по концепции SSDLC. В рамках данного курса изучаются основные угрозы информационной безопасности, связанные с функционированием программных систем, теоретические основы организации защиты программных систем, базовые принципы разработки защищённых приложений, современные методы защиты кода, а также методы поиска и устранения потенциальных уязвимостей в разработанном программном обеспечении. Студенты узнают средства проверки ПО на безопасность, включая подходы к статическому и динамическому анализу, а также способы их применения. Научаться делать безопасные и быстрые релизы, автоматизировать процесс разработки. При обучении предусмотрен контроль знаний студентов в виде лабораторных работ, домашнего задания и экзамена.
Цель освоения дисциплины

Цель освоения дисциплины

  • Изучение безопасной разработки приложений
  • Научиться применять методы и принципы безопасной разработки приложений на практике
Планируемые результаты обучения

Планируемые результаты обучения

  • Знает какие взаимосвязи и отношения между потоками существуют в приложениях
  • Знает общие принципы и подходы к моделированию угроз
  • Знает как делать декомпозицию приложений
  • Знает подходы к оценке субъективных и количественных моделей рисков
  • Знает атаки межсайтового скриптинга
  • Владеет подходами к устранению уязвимостей к атакам инъекций
  • Знает какие проблемы влечет за собой использование уязвимых компонентов
  • Знает общие принципы прикладной криптографии
  • Знает базовые требования криптографической защиты в программных проектах
  • Знает наиболее распространённые атаки и проблемы, связанные с криптографией
  • Владеет применением генераторов случайных чисел и функций хэширования в кодовой базе
  • Знает архитектуру безопасных приложений
  • Знает подходы к тестированию безопасности, может оценить преимущества и ограничения каждого
  • Знает как применять практики SSDLC в различных методологиях управления жизненным циклом ПО
  • Знает базовые понятия DevOps
  • Знает какие существуют инструменты обеспечения безопасности, защита инфраструктуры, защита приложений, архитектура DevSecOps контура, встраивание в pipeline, on-boarding команд разработки
  • Знает жизненный цикл безопасной разработки ПО
  • Знает нормативные требования, стандарты и лучшие практики по безопасной разработке ПО, умеет оценить эффективность
  • Знает архитектуру кластера, основные концепции, единицы, сетевой доступ, хранилища данных, разделение сред, логи и мониторинг
  • Знает общие концепты ИБ в средах оркестрации
  • Владеет навыками проведения quality assurance, application security
Содержание учебной дисциплины

Содержание учебной дисциплины

  • Раздел 1. Основы безопасности приложений. Базовые понятия
  • Раздел 2. Моделирование угроз и оценка рисков
  • Раздел 3. Формализация уязвимостей
  • Раздел 4. Уязвимости и атаки
  • Раздел 5. Проблемы безопасности прикладной криптографии
  • Раздел 6. Проектирование и разработка безопасных приложений
  • Раздел 7. Тестирование безопасности
  • Раздел 8. Управление разработкой безопасных приложений
  • Раздел 9. Реальные кейсы уязвимостей и атак
  • Раздел 10. Введение в DevOps и DevSecOps
  • Раздел 11. Жизненный цикл безопасной разработки
  • Раздел 12. Методология безопасной разработки
  • Раздел 13. Работа в кластере kubernetes
  • Раздел 14. Средства защиты devops инфраструктуры
  • Раздел 15. Средства защиты приложений
  • Раздел 16. Выстраивание бизнес-процесса безопасной разработки
Элементы контроля

Элементы контроля

  • неблокирующий Домашнее задание с автоматической проверкой
    Процедура сдачи домашних заданий: Для выполнения задания студент создаёт Google Doc и заполняет информацию по полученному заданию в нём Студент прикрепляет ссылку на Google Doc. Проверяет, что открыт доступ на комментирование. Название файла содержит фамилию и имя студента и номер ДЗ (ДЗ по Теме 2) Файл прикреплен в личный кабинет и отправлен на проверку. Для заданий к темам: 2,4,5,7 (1 модуля) и 5,6 (2 модуля) предусмотрен чеклист и автоматический ответ для самопроверки студентом своего задания 6, 10 (1 модуля) и 4,7 (2 модуля) предусмотрена проверка преподавателем. Он оставляет обратную связь на выполненную работу в LMS
  • неблокирующий Домашнее задание с проверкой преподавателем
    Процедура сдачи домашних заданий: Для выполнения задания студент создаёт Google Doc и заполняет информацию по полученному заданию в нём Студент прикрепляет ссылку на Google Doc. Проверяет, что открыт доступ на комментирование. Название файла содержит фамилию и имя студента и номер ДЗ (ДЗ по Теме 2) Файл прикреплен в личный кабинет и отправлен на проверку. Для заданий к темам: 2,4,5,7 (1 модуля) и 5,6 (2 модуля) предусмотрен чеклист и автоматический ответ для самопроверки студентом своего задания 6, 10 (1 модуля) и 4,7 (2 модуля) предусмотрена проверка преподавателем. Он оставляет обратную связь на выполненную работу в LMS
  • неблокирующий Тесты
    Студенты выполняют тест в LMS. Тест содержит 5 вопросов. При ответе на вопрос нужно выбрать один или несколько правильных ответов. В этом случае в тексте вопроса будет дано особое указание. Время выполнения теста - 1 час. Студент может пройти тест 1 раз.
  • неблокирующий Экзамен
    Процедура сдачи экзамена: Для выполнения задания студент создаёт Google Doc и заполняйте информацию по заданию в нём. Дополнительно студент готовит речь и, по желанию, презентацию о проекте в Google Презентациях. Студент приходит на экзамен и защищает проект перед преподавателем и одногруппниками в режиме онлайн Преподаватель оценивает работу и дает обратную связь в режиме онлайн
Промежуточная аттестация

Промежуточная аттестация

  • 2022/2023 учебный год 3 модуль
    0.1 * Тесты + 0.1 * Экзамен + 0.3 * Домашнее задание с проверкой преподавателем + 0.1 * Домашнее задание с автоматической проверкой + 0.2 * Домашнее задание с проверкой преподавателем
Список литературы

Список литературы

Рекомендуемая основная литература

  • Внуков, А. А.  Защита информации : учебное пособие для вузов / А. А. Внуков. — 3-е изд., перераб. и доп. — Москва : Издательство Юрайт, 2021. — 161 с. — (Высшее образование). — ISBN 978-5-534-07248-8. — Текст : электронный // Образовательная платформа Юрайт [сайт]. — URL: https://urait.ru/bcode/470131 (дата обращения: 28.08.2023).
  • Зенков, А. В.  Информационная безопасность и защита информации : учебное пособие для вузов / А. В. Зенков. — Москва : Издательство Юрайт, 2021. — 104 с. — (Высшее образование). — ISBN 978-5-534-14590-8. — Текст : электронный // Образовательная платформа Юрайт [сайт]. — URL: https://urait.ru/bcode/477968 (дата обращения: 28.08.2023).
  • Ищейнов, В. Я., Информационная безопасность и защита информации: словарь терминов и понятий : словарь / В. Я. Ищейнов. — Москва : Русайнс, 2021. — 226 с. — ISBN 978-5-4365-5672-7. — URL: https://book.ru/book/938255 (дата обращения: 25.08.2023). — Текст : электронный.
  • Мельников, В. П., Информационная безопасность : учебник / В. П. Мельников, А. И. Куприянов, Т. Ю. Васильева. — Москва : КноРус, 2022. — 371 с. — ISBN 978-5-4365-8291-7. — URL: https://book.ru/book/941809 (дата обращения: 25.08.2023). — Текст : электронный.
  • Прохорова, О. В. Информационная безопасность и защита информации : учебник для вузов / О. В. Прохорова. — 3-е изд., стер. — Санкт-Петербург : Лань, 2021. — 124 с. — ISBN 978-5-8114-7970-2. — Текст : электронный // Лань : электронно-библиотечная система. — URL: https://e.lanbook.com/book/169817 (дата обращения: 00.00.0000). — Режим доступа: для авториз. пользователей.
  • Тумбинская, М. В. Защита информации на предприятии : учебное пособие / М. В. Тумбинская, М. В. Петровский. — Санкт-Петербург : Лань, 2020. — 184 с. — ISBN 978-5-8114-4291-1. — Текст : электронный // Лань : электронно-библиотечная система. — URL: https://e.lanbook.com/book/130184 (дата обращения: 00.00.0000). — Режим доступа: для авториз. пользователей.

Рекомендуемая дополнительная литература

  • Москвитин, Г. И., Комплексная защита информации в организации : монография / Г. И. Москвитин. — Москва : Русайнс, 2020. — 354 с. — ISBN 978-5-4365-1561-8. — URL: https://book.ru/book/934814 (дата обращения: 25.08.2023). — Текст : электронный.
  • Программно-аппаратная защита информации : учебное пособие / П.Б. Хорев. — 3-е изд., испр. и доп. — Москва : ИНФРА-М, 2020. — 327 с. — (Высшее образование: Бакалавриат). — DOI 10.12737/1035570. - Текст : электронный. - URL: http://znanium.com/catalog/product/1035570

Авторы

  • Евсютин Олег Олегович
  • Аксенова Ольга Вениаминовна