Курсы повышения
квалификации
Курсы повышения квалификации проводятся в партнерстве с федеральным государственным бюджетным образовательным учреждением высшего образования «Сибирский государственный университет геосистем и технологий».
На сегодняшний день проведение курсов повышения квалификации осуществляется только для предприятий и организованных групп. Персональный набор в группы приостановлен в связи с большой занятостью ученых. Приносим свои извинения
1. Практическая защита инфраструктуры по ISO/IEC 27001 и ISO/IEC 27002
Технический курс по внедрению и сопровождению современных мер защиты в корпоративной ИТ-инфраструктуре. В рамках программы рассматриваются инвентаризация активов, построение ролевой модели доступа, применение принципов минимально необходимых привилегий и Zero Trust, защита административных учетных записей, многофакторная аутентификация, PAM/PIM-подходы для контроля привилегированного доступа, ZTNA для безопасного удаленного подключения и управление жизненным циклом учетных записей. Отдельный технический блок посвящен сегментации и микросегментации сети, настройке межсетевых экранов, защищенной конфигурации серверов и рабочих станций, hardening операционных систем, управлению обновлениями, контролю уязвимостей, EDR/XDR-мониторингу конечных устройств, резервному копированию и восстановлению, журналированию событий безопасности, централизованному сбору логов, базовой настройке SIEM-сценариев, мониторингу подозрительной активности и реагированию на инциденты. Также рассматриваются подготовка технических регламентов, матриц доступа, отчетов по уязвимостям, журналов проверок и комплекта подтверждающих материалов для внутреннего или внешнего аудита. Программа построена с учетом требований и рекомендаций ISO/IEC 27001 и ISO/IEC 27002.
Темы занятий:
- Обзор ISO/IEC 27001 и ISO/IEC 27002: структура требований, меры защиты и связь с технической инфраструктурой.
- Инвентаризация активов, классификация систем и определение критичных сервисов.
- Управление доступом: RBAC, MFA, жизненный цикл учетных записей, контроль прав пользователей.
- Защита привилегированного доступа: PAM/PIM, административные учетные записи, контроль сессий.
- Zero Trust и ZTNA: современные подходы к безопасному доступу в корпоративной сети.
- Сегментация и микросегментация сети, настройка межсетевых экранов и сетевых политик.
- Защищенная конфигурация серверов и рабочих станций: hardening Windows/Linux, baseline-настройки.
- Управление уязвимостями: сканирование, приоритизация, исправление и контроль устранения.
- EDR/XDR, централизованный сбор логов и базовые сценарии мониторинга в SIEM.
- Резервное копирование, восстановление и проверка устойчивости инфраструктуры.
- Реагирование на инциденты: triage, эскалация, фиксация событий и первичный разбор.
- Подготовка технической доказательной базы для аудита ISO/IEC 27001.
- Обзор ISO/IEC 27001 и ISO/IEC 27002: структура требований, меры защиты и связь с технической инфраструктурой.
- Инвентаризация активов, классификация систем и определение критичных сервисов.
- Управление доступом: RBAC, MFA, жизненный цикл учетных записей, контроль прав пользователей.
- Защита привилегированного доступа: PAM/PIM, административные учетные записи, контроль сессий.
- Zero Trust и ZTNA: современные подходы к безопасному доступу в корпоративной сети.
- Сегментация и микросегментация сети, настройка межсетевых экранов и сетевых политик.
- Защищенная конфигурация серверов и рабочих станций: hardening Windows/Linux, baseline-настройки.
- Управление уязвимостями: сканирование, приоритизация, исправление и контроль устранения.
- EDR/XDR, централизованный сбор логов и базовые сценарии мониторинга в SIEM.
- Резервное копирование, восстановление и проверка устойчивости инфраструктуры.
- Реагирование на инциденты: triage, эскалация, фиксация событий и первичный разбор.
- Подготовка технической доказательной базы для аудита ISO/IEC 27001.
2. Безопасность облачной инфраструктуры по ISO/IEC 27017 и ISO/IEC 27018
Технический курс по защите облачных и гибридных инфраструктур с фокусом на практическую безопасность IaaS, PaaS, SaaS, контейнерных платформ и управляемых сервисов. В рамках программы рассматриваются модель разделенной ответственности между заказчиком и облачным провайдером, построение защищенной cloud-архитектуры, проектирование landing zone, настройка tenant isolation, организация сетевой сегментации, private endpoints, security groups, firewall rules, bastion-доступа, VPN/Direct Connect-каналов и защищенных административных контуров. Отдельный блок посвящен управлению доступом и конфигурациями в облаке: настройка IAM, ролевых моделей, service accounts, workload identity, federated access, MFA, принципа минимально необходимых привилегий, а также контроль привилегированных действий через PAM/PIM-подходы. Рассматриваются cloud hardening, безопасная настройка виртуальных машин, managed databases, Kubernetes-кластеров, container registry, serverless-функций, API Gateway, object storage, backup-сервисов и систем журналирования. Особое внимание уделяется защите данных в облачной среде: шифрование данных при хранении и передаче, управление ключами, секретами и сертификатами, KMS/HSM, secrets management, контроль публичного доступа к хранилищам, защита персональных данных в облаке, настройка DLP/DCAP/DSPM-подходов, мониторинг аномалий и выявление небезопасных конфигураций. Также рассматриваются CSPM, CWPP, CNAPP, Cloud SIEM, cloud-native logging, audit trails, vulnerability management, image scanning, runtime protection, threat detection, incident response в облаке и подготовка комплекта подтверждающих материалов для аудита. Программа построена с учетом требований и рекомендаций ISO/IEC 27017 и ISO/IEC 27018 по безопасности облачных сервисов и защите персональных данных в облачной среде.
Темы занятий:
- ISO/IEC 27017 и ISO/IEC 27018: требования к безопасности облаков и защите персональных данных.
- Модель разделенной ответственности: зоны ответственности заказчика, провайдера и подрядчиков.
- Проектирование защищенной cloud landing zone и базовой архитектуры облака.
- Tenant isolation, сетевые контуры, private endpoints, security groups и firewall rules.
- Безопасный административный доступ: bastion host, VPN, Direct Connect, jump-серверы.
- IAM в облаке: роли, service accounts, workload identity, federated access, MFA.
- PAM/PIM для облачных сред и контроль привилегированных операций.
- Hardening облачных ресурсов: виртуальные машины, managed databases, object storage, API Gateway.
- Безопасность Kubernetes, container registry, serverless-функций и managed-сервисов.
- Управление ключами и секретами: KMS, HSM, secrets management, сертификаты.
- CSPM, CWPP, CNAPP: выявление небезопасных конфигураций и контроль облачной поверхности атаки.
- Cloud SIEM, audit trails, cloud-native logging и мониторинг подозрительной активности.
- Защита данных в облаке: DLP, DCAP, DSPM, контроль публичного доступа и шифрование.
- Реагирование на инциденты в облаке и подготовка материалов для аудита.
- ISO/IEC 27017 и ISO/IEC 27018: требования к безопасности облаков и защите персональных данных.
- Модель разделенной ответственности: зоны ответственности заказчика, провайдера и подрядчиков.
- Проектирование защищенной cloud landing zone и базовой архитектуры облака.
- Tenant isolation, сетевые контуры, private endpoints, security groups и firewall rules.
- Безопасный административный доступ: bastion host, VPN, Direct Connect, jump-серверы.
- IAM в облаке: роли, service accounts, workload identity, federated access, MFA.
- PAM/PIM для облачных сред и контроль привилегированных операций.
- Hardening облачных ресурсов: виртуальные машины, managed databases, object storage, API Gateway.
- Безопасность Kubernetes, container registry, serverless-функций и managed-сервисов.
- Управление ключами и секретами: KMS, HSM, secrets management, сертификаты.
- CSPM, CWPP, CNAPP: выявление небезопасных конфигураций и контроль облачной поверхности атаки.
- Cloud SIEM, audit trails, cloud-native logging и мониторинг подозрительной активности.
- Защита данных в облаке: DLP, DCAP, DSPM, контроль публичного доступа и шифрование.
- Реагирование на инциденты в облаке и подготовка материалов для аудита.
3. Защита персональных данных на практике: GDPR, ISO/IEC 27701 и других нормативно-правовых актов
Практический курс по построению и технической реализации процессов защиты персональных данных: инвентаризация потоков данных, ведение реестра операций обработки, классификация персональных данных, определение ролей оператора, контролера, обработчика и подрядчиков, настройка правовых оснований обработки, управление согласиями через CMP, реализация прав субъектов данных через DSAR-процессы, проведение DPIA и оценки рисков для приватности. Технический блок включает минимизацию и маскирование данных, псевдонимизацию и анонимизацию, шифрование при хранении и передаче, разграничение доступа на уровне приложений, баз данных и файловых хранилищ, журналирование действий с персональными данными, контроль выгрузок, DLP- и DCAP-механизмы, управление сроками хранения, безопасное удаление данных и применение DSPM-подходов для выявления чувствительных данных в инфраструктуре. Отдельно рассматриваются трансграничная передача данных, контроль подрядчиков, подготовка evidence pack для проверок, разбор типовых несоответствий и внедрение privacy by design / privacy by default в продуктах и бизнес-процессах. Программа построена с учетом требований и рекомендаций GDPR, ISO/IEC 27701 и законодательства о персональных данных.
Темы занятий:
- Основные требования GDPR, ISO/IEC 27701 и других нормативно-правовых актов: роли, обязанности и зоны ответственности.
- Инвентаризация персональных данных: источники, системы, потоки данных и точки передачи.
- Реестр операций обработки и классификация персональных данных.
- Правовые основания обработки, согласия пользователей и управление отзывом согласий.
- Реализация прав субъектов персональных данных: доступ, исправление, удаление, ограничение обработки.
- DPIA и оценка рисков для приватности: методика, критерии и документирование результатов.
- Privacy by design и privacy by default при разработке продуктов и бизнес-процессов.
- Минимизация, маскирование, псевдонимизация и анонимизация данных.
- Шифрование, разграничение доступа и журналирование действий с персональными данными.
- DLP, DCAP и DSPM: выявление, классификация и контроль чувствительных данных.
- Управление сроками хранения, архивированием и безопасным удалением данных.
- Трансграничная передача данных и контроль подрядчиков/обработчиков.
- Подготовка комплекта подтверждающих материалов для проверки или внутреннего аудита.
- Типовые несоответствия и практические сценарии их устранения.
- Основные требования GDPR, ISO/IEC 27701 и других нормативно-правовых актов: роли, обязанности и зоны ответственности.
- Инвентаризация персональных данных: источники, системы, потоки данных и точки передачи.
- Реестр операций обработки и классификация персональных данных.
- Правовые основания обработки, согласия пользователей и управление отзывом согласий.
- Реализация прав субъектов персональных данных: доступ, исправление, удаление, ограничение обработки.
- DPIA и оценка рисков для приватности: методика, критерии и документирование результатов.
- Privacy by design и privacy by default при разработке продуктов и бизнес-процессов.
- Минимизация, маскирование, псевдонимизация и анонимизация данных.
- Шифрование, разграничение доступа и журналирование действий с персональными данными.
- DLP, DCAP и DSPM: выявление, классификация и контроль чувствительных данных.
- Управление сроками хранения, архивированием и безопасным удалением данных.
- Трансграничная передача данных и контроль подрядчиков/обработчиков.
- Подготовка комплекта подтверждающих материалов для проверки или внутреннего аудита.
- Типовые несоответствия и практические сценарии их устранения.
4. Безопасность ИИ-систем и ИИ-агентов по ISO/IEC 42001, NIST AI RMF, OWASP Top 10 for LLM Applications и OWASP Agentic AI Threats and Mitigations
Технический курс по защите систем искусственного интеллекта, LLM-приложений и агентных решений на всех этапах жизненного цикла: от выбора модели и подготовки данных до интеграции с корпоративными системами, эксплуатации и мониторинга. В рамках программы рассматриваются управление рисками ИИ, классификация сценариев использования, контроль данных для обучения и дообучения, защита от утечек чувствительной информации, prompt injection, prompt leaking, model abuse, data poisoning, insecure output handling и небезопасной интеграции с внешними сервисами. Отдельный технический блок посвящен безопасности ИИ-агентов: ограничение прав и области действий агента, контроль подключенных инструментов, API и внешних команд, sandboxing, human-in-the-loop для критичных операций, разграничение доступа к корпоративным системам, защита агентной памяти, контроль контекста, журналирование действий агента, мониторинг цепочек вызовов и предотвращение несанкционированного выполнения команд. Также рассматриваются guardrails, policy enforcement, red teaming ИИ-систем, тестирование устойчивости к атакующим промптам, контроль поставщиков AI-сервисов и подготовка комплекта подтверждающих материалов для внутреннего или внешнего аудита. Программа построена с учетом требований и рекомендаций ISO/IEC 42001, NIST AI RMF, OWASP Top 10 for LLM Applications и OWASP Agentic AI Threats and Mitigations.
Темы занятий:
- ISO/IEC 42001, NIST AI RMF и OWASP: подходы к управлению безопасностью ИИ-систем.
- Жизненный цикл ИИ-систем: выбор модели, подготовка данных, внедрение, эксплуатация и мониторинг.
- Классификация ИИ-сценариев и оценка рисков для бизнеса, данных и пользователей.
- Безопасность данных для обучения и дообучения: data poisoning, утечки и контроль источников.
- Защита LLM-приложений: prompt injection, prompt leaking, insecure output handling, model abuse.
- Безопасная интеграция LLM с API, базами данных, внутренними системами и внешними сервисами.
- Guardrails и policy enforcement: ограничение нежелательных ответов, действий модели и вызовов внешних инструментов.
- Безопасность ИИ-агентов: права агента, область действий, подключенные инструменты, API, плагины и внешние команды.
- MCP Security и hardening MCP-серверов: безопасная настройка Model Context Protocol, контроль доступных ресурсов, ограничение прав MCP-серверов, изоляция коннекторов, проверка входных и выходных данных, управление токенами, секретами и правами доступа.
- Hardening инструментов ИИ-агента: allowlist/denylist доступных tools, разграничение прав на чтение и запись, ограничение опасных операций, контроль shell/API/database/file-system действий, защита от tool poisoning и несанкционированного выполнения команд.
- Sandboxing, human-in-the-loop и approval workflow для критичных операций агента: отправка писем, изменение данных, запуск команд, работа с платежами, CRM, ERP и внутренними системами.
- Защита агентной памяти, контекста, истории взаимодействий и подключенных источников данных.
- Журналирование, трассировка и мониторинг действий ИИ-агента: tool calls, MCP-запросы, цепочки решений, обращения к данным и внешним системам.
- Red teaming ИИ-систем и тестирование устойчивости к атакующим промптам, prompt injection через документы, веб-страницы, базы знаний и подключенные источники.
- Контроль поставщиков AI-сервисов, внешних моделей, MCP-серверов, API-коннекторов и сторонних инструментов.
- Подготовка комплекта подтверждающих материалов для внутреннего или внешнего аудита ИИ-систем: архитектурные схемы, матрицы доступа, политики использования инструментов, логи действий агента, результаты тестирования и отчеты по рискам.
- ISO/IEC 42001, NIST AI RMF и OWASP: подходы к управлению безопасностью ИИ-систем.
- Жизненный цикл ИИ-систем: выбор модели, подготовка данных, внедрение, эксплуатация и мониторинг.
- Классификация ИИ-сценариев и оценка рисков для бизнеса, данных и пользователей.
- Безопасность данных для обучения и дообучения: data poisoning, утечки и контроль источников.
- Защита LLM-приложений: prompt injection, prompt leaking, insecure output handling, model abuse.
- Безопасная интеграция LLM с API, базами данных, внутренними системами и внешними сервисами.
- Guardrails и policy enforcement: ограничение нежелательных ответов, действий модели и вызовов внешних инструментов.
- Безопасность ИИ-агентов: права агента, область действий, подключенные инструменты, API, плагины и внешние команды.
- MCP Security и hardening MCP-серверов: безопасная настройка Model Context Protocol, контроль доступных ресурсов, ограничение прав MCP-серверов, изоляция коннекторов, проверка входных и выходных данных, управление токенами, секретами и правами доступа.
- Hardening инструментов ИИ-агента: allowlist/denylist доступных tools, разграничение прав на чтение и запись, ограничение опасных операций, контроль shell/API/database/file-system действий, защита от tool poisoning и несанкционированного выполнения команд.
- Sandboxing, human-in-the-loop и approval workflow для критичных операций агента: отправка писем, изменение данных, запуск команд, работа с платежами, CRM, ERP и внутренними системами.
- Защита агентной памяти, контекста, истории взаимодействий и подключенных источников данных.
- Журналирование, трассировка и мониторинг действий ИИ-агента: tool calls, MCP-запросы, цепочки решений, обращения к данным и внешним системам.
- Red teaming ИИ-систем и тестирование устойчивости к атакующим промптам, prompt injection через документы, веб-страницы, базы знаний и подключенные источники.
- Контроль поставщиков AI-сервисов, внешних моделей, MCP-серверов, API-коннекторов и сторонних инструментов.
- Подготовка комплекта подтверждающих материалов для внутреннего или внешнего аудита ИИ-систем: архитектурные схемы, матрицы доступа, политики использования инструментов, логи действий агента, результаты тестирования и отчеты по рискам.
5. Безопасность платежной инфраструктуры по PCI DSS и требованиям Центрального банка
Технический курс по защите платежной инфраструктуры, систем обработки платежных данных и сервисов, связанных с приемом, передачей, хранением и обработкой карточных данных и финансовых операций. В рамках программы рассматриваются требования PCI DSS к среде обработки данных держателей карт, сегментация Cardholder Data Environment (далее CDE), защита PAN, настройка сетевых контуров, межсетевых экранов, WAF, IDS/IPS, управление доступом, MFA, журналирование событий безопасности, контроль уязвимостей, регулярное сканирование и тестирование на проникновение. Отдельный технический блок посвящен требованиям Центрального банка к защите информации в финансовых организациях: управление операционным риском, защита каналов дистанционного банковского обслуживания, контроль действий пользователей и администраторов, мониторинг инцидентов, антифрод-механизмы, защита платежных API, управление криптографическими ключами, обеспечение отказоустойчивости и подготовка комплекта подтверждающих материалов для внутреннего или внешнего аудита. Программа построена с учетом требований и рекомендаций PCI DSS, а также нормативных и методических документов Центрального банка в области защиты информации и киберустойчивости финансового сектора.
Темы занятий:
- PCI DSS и требования Центрального банка: подходы к защите платежной инфраструктуры, платежных данных и финансовых сервисов.
- Платежная архитектура и CDE: определение среды обработки карточных данных, границ платежного контура, потоков PAN и критичных компонентов.
- Сегментация CDE: сетевые зоны, firewall rules, VLAN, microsegmentation, DMZ и ограничение доступа к платежному контуру.
- Защита PAN и чувствительных платежных данных: маскирование, токенизация, шифрование, контроль хранения и запрет небезопасной передачи данных.
- Безопасная настройка платежных систем: hardening серверов, POS/e-commerce-компонентов, платежных шлюзов, API Gateway и административных интерфейсов.
- Управление доступом в платежной инфраструктуре: RBAC, MFA, PAM/PIM, принцип минимально необходимых прав и контроль привилегированных операций.
- Криптографическая защита и управление ключами: HSM, KMS, TLS, сертификаты, ротация ключей и контроль доступа к криптографическим материалам.
- Защита платежных API: API Security, OAuth2/OIDC, mTLS, rate limiting, подпись запросов, защита от replay-атак и контроль интеграций.
- WAF, IDS/IPS и защита периметра: фильтрация трафика, выявление атак, защита e-commerce-платформ и публичных платежных сервисов.
- Vulnerability Management: ASV-сканирование, внутренние проверки, приоритизация уязвимостей, patch management и контроль устранения.
- Penetration Testing и security validation: тестирование сегментации, платежных API, веб-приложений, инфраструктуры и критичных сценариев.
- Журналирование и мониторинг платежных операций: audit logs, SIEM-сценарии, корреляция событий, контроль административных действий и выявление аномалий.
- Антифрод и мониторинг транзакций: выявление подозрительных операций, risk scoring, velocity checks, device fingerprinting и поведенческая аналитика.
- Защита дистанционного банковского обслуживания: контроль клиентских сессий, защита каналов ДБО, подтверждение операций и противодействие компрометации учетных записей.
- Incident Response для платежной инфраструктуры: triage, расследование, взаимодействие с банками, платежными системами и регулятором.
- Непрерывность и отказоустойчивость платежных сервисов: резервирование, backup/restore, disaster recovery, RTO/RPO и тестирование восстановления.
- Third-Party Risk Management: контроль процессинговых центров, платежных агрегаторов, облачных провайдеров, подрядчиков и сервисных организаций.
- Комплект подтверждающих материалов для аудита: схемы CDE, матрицы доступа, firewall rules, отчеты ASV/PT, логи SIEM, политики ключей и результаты проверки сегментации.
- PCI DSS и требования Центрального банка: подходы к защите платежной инфраструктуры, платежных данных и финансовых сервисов.
- Платежная архитектура и CDE: определение среды обработки карточных данных, границ платежного контура, потоков PAN и критичных компонентов.
- Сегментация CDE: сетевые зоны, firewall rules, VLAN, microsegmentation, DMZ и ограничение доступа к платежному контуру.
- Защита PAN и чувствительных платежных данных: маскирование, токенизация, шифрование, контроль хранения и запрет небезопасной передачи данных.
- Безопасная настройка платежных систем: hardening серверов, POS/e-commerce-компонентов, платежных шлюзов, API Gateway и административных интерфейсов.
- Управление доступом в платежной инфраструктуре: RBAC, MFA, PAM/PIM, принцип минимально необходимых прав и контроль привилегированных операций.
- Криптографическая защита и управление ключами: HSM, KMS, TLS, сертификаты, ротация ключей и контроль доступа к криптографическим материалам.
- Защита платежных API: API Security, OAuth2/OIDC, mTLS, rate limiting, подпись запросов, защита от replay-атак и контроль интеграций.
- WAF, IDS/IPS и защита периметра: фильтрация трафика, выявление атак, защита e-commerce-платформ и публичных платежных сервисов.
- Vulnerability Management: ASV-сканирование, внутренние проверки, приоритизация уязвимостей, patch management и контроль устранения.
- Penetration Testing и security validation: тестирование сегментации, платежных API, веб-приложений, инфраструктуры и критичных сценариев.
- Журналирование и мониторинг платежных операций: audit logs, SIEM-сценарии, корреляция событий, контроль административных действий и выявление аномалий.
- Антифрод и мониторинг транзакций: выявление подозрительных операций, risk scoring, velocity checks, device fingerprinting и поведенческая аналитика.
- Защита дистанционного банковского обслуживания: контроль клиентских сессий, защита каналов ДБО, подтверждение операций и противодействие компрометации учетных записей.
- Incident Response для платежной инфраструктуры: triage, расследование, взаимодействие с банками, платежными системами и регулятором.
- Непрерывность и отказоустойчивость платежных сервисов: резервирование, backup/restore, disaster recovery, RTO/RPO и тестирование восстановления.
- Third-Party Risk Management: контроль процессинговых центров, платежных агрегаторов, облачных провайдеров, подрядчиков и сервисных организаций.
- Комплект подтверждающих материалов для аудита: схемы CDE, матрицы доступа, firewall rules, отчеты ASV/PT, логи SIEM, политики ключей и результаты проверки сегментации.
Программы построены с учетом актуальных международных стандартов и регуляторных требований в области информационной безопасности.
Оставить заявку на научное изыскание и/или разработку
