0
Связаться с нами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Безопасное ПО для автоматизации значимых объектов КИИ — миссия выполнима
18.05.2025
Автоматизация технологических и производственных процессов и сложных инженерных систем становится неотъемлемой частью работы предприятий различных отраслей.
Наиболее крупными потребителями автоматизированных систем управления технологическими процессами (АСУ ТП) в России являются нефтегазовая промышленность, энергетика и военно-промышленный комплекс, которые при этом относятся к объектам критической информационной инфраструктуры (КИИ). Количество совершаемых злоумышленником кибератак в отношении АСУ ТП постепенно возрастает, а значит и уровень ответственности при внедрении программных решений для управления технологическими процессами на таких производствах очень высок.
В кейсе компании Атомик Софт разберемся, как разработчику программной платформы для создания SCADA и многоуровневых систем диспетчеризации применять свои решения на значимых объектах КИИ, что требует ФСТЭК России и при чем тут Майкрософт.
Какую задачу решали
Одним из ключевых элементов при построении АСУ ТП являются SCADA-системы (Supervisory Control and Data Acquisition), которые обеспечивают наблюдение, управление и контроль за производственными процессами. Важно отметить, что SCADA-системы, применяемые на объектах КИИ, должны соответствовать требованиям к безопасности прикладного программного обеспечения, установленным в пункте 29.3 Приказа №239 от 25.12.2017 Федеральной службы по техническому и экспортному контролю (ФСТЭК) России.
Атомик Софт — ведущий российский разработчик программного обеспечения для автоматизации промышленных и гражданских объектов. Альфа платформа — инструментальная программная платформа, разработанная Атомик Софт для создания АСУ ТП и многоуровневых систем диспетчеризации. Применяется для построения высоконадежных систем постоянного мониторинга и управления технологическим оборудованием и производственными процессами на предприятиях.
В связи с тем, что ПО Альфа платформа используется в проектах автоматизации объектов КИИ, где заказчики и регулирующие органы предъявляют высокие требования к информационной безопасности и защите таких объектов, а также для повышения уровня безопасности своего программного обеспечения, разработчику Атомик Софт было необходимо обеспечить полное соответствие ПО Альфа платформа требованиям регулятора, тем самым доказав его надежность и высокий уровень защищенности от кибератак.
Для проведения комплексного тестирования и разработки сопроводительной документации на ПО разработчики обратились к специалистам направления безопасной разработки Центра кибербезопасности УЦСБ. Экспертиза УЦСБ позволяет проводить комплексные аудиты защищенности и выстраивать процессы безопасной разработки ПО для технически сложных программных продуктов и систем, в том числе предназначенных для внедрения на объектах КИИ. Глубокое знание и постоянный мониторинг изменений в законодательстве, а также большой практический опыт реализации проектов из разных сфер бизнеса — преимущество команды УЦСБ, необходимое для реализации такой ответственной задачи в сжатые сроки.
Центр кибербезопасности УЦСБ реализует системный подход к постановке процессов безопасной разработки (DevSecOps) — от аудита до сопровождения процесса сертификации разработок на соответствие требованиям регулирующих органов.
Что было сделано
Все работы были разделены на три этапа в соответствии с перечнем требований пункта 29 Приказа №239 ФСТЭК России.
Для исполнения подпункта 29.3.1 было разработано «Руководство по безопасной разработке ПО» и подготовлена модель угроз безопасности информации для Альфа платформы.
«Для разработки модели угроз команда проекта использовала международную методику STRIDE. Это универсальная методика с широким охватом анализируемых векторов атаки на компоненты ПО. Она оптимально подходит для программного продукта с множеством функциональных компонентов и сервисов. Выбрав STRIDE, мы не пошли по простому пути и сделали максимально проработанную модель для такого сложного продукта», — комментирует Евгений Тодышев, руководитель направления «Безопасная разработка» УЦСБ.
Для исполнения подпункта 29.3.1 было разработано «Руководство по безопасной разработке ПО» и подготовлена модель угроз безопасности информации для Альфа платформы.
«Для разработки модели угроз команда проекта использовала международную методику STRIDE. Это универсальная методика с широким охватом анализируемых векторов атаки на компоненты ПО. Она оптимально подходит для программного продукта с множеством функциональных компонентов и сервисов. Выбрав STRIDE, мы не пошли по простому пути и сделали максимально проработанную модель для такого сложного продукта», — комментирует Евгений Тодышев, руководитель направления «Безопасная разработка» УЦСБ.
STRIDE — модель для выявления угроз компьютерной безопасности, разработанная в конце 90-х инженерами Майкрософт. Название модели является аббревиатурой от шести основных типов угроз: Spoofing (подмена), Tampering (фальсификация), Repudiation (отказ от авторства), Information disclosure (раскрытие информации), Denial of service (отказ в обслуживании), Escalation of privileges (повышение привилегий).
Для исполнения подпункта 29.3.2 команда УЦСБ провела комплекс испытаний по выявлению уязвимостей в ПО Альфа платформа: статический анализ исходного кода и фаззинг-тестирования.
Фаззинг позволяет выявить возможные нестандартные сценарии поведения программного обеспечения при обработке случайных, в том числе ошибочных, входных данных, которые могут привести к непредвиденным результатам, не предусмотренным разработчиками. Фаззинг способен выявить нетипичные ошибки на различных этапах жизненного цикла программного продукта, включая стадии разработки и использования.
Благодаря проведенным тестированиям удалось найти некоторые потенциальные уязвимости в ПО, оперативно передать информацию разработчикам для корректировки. Также в результате тестирования были разработаны рекомендации по повышению уровня зрелости безопасности в процессах разработки.
«Наш принципиальный подход в организации работ по проекту — независимость выполняемых этапов. Наличие экспертных команд в УЦСБ позволяет вести параллельно работы по разным этапам, тем самым существенно экономя время и повышая качество выполняемых задач, — уточняет Дмитрий Плотников, руководитель проектов УЦСБ. — Специалисты по фаззингу сосредоточены на нем, а разработчики программных документов — на своей части задач по проекту».
Для исполнения подпункта 29.3.3 Приказа №239 ФСТЭК России специалисты УЦСБ разработали документ с описанием процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения. Такая информация в дальнейшем поможет разработчикам предотвращать случайное внедрение уязвимостей, тем самым повысить устойчивость цифрового продукта к воздействию вредоносных программ и несанкционированному доступу.
Также были описаны способы и сроки доведения разработчиком программного обеспечения до пользователей информации об уязвимостях, компенсирующих мерах по защите информации или ограничениях по применению программного обеспечения, о способах получения пользователями обновлений ПО, проверки их целостности и подлинности. Это большой объем документального сопровождения, требующий высокой экспертизы команды и погружения в архитектуру исследуемого ПО.
Фаззинг позволяет выявить возможные нестандартные сценарии поведения программного обеспечения при обработке случайных, в том числе ошибочных, входных данных, которые могут привести к непредвиденным результатам, не предусмотренным разработчиками. Фаззинг способен выявить нетипичные ошибки на различных этапах жизненного цикла программного продукта, включая стадии разработки и использования.
Благодаря проведенным тестированиям удалось найти некоторые потенциальные уязвимости в ПО, оперативно передать информацию разработчикам для корректировки. Также в результате тестирования были разработаны рекомендации по повышению уровня зрелости безопасности в процессах разработки.
«Наш принципиальный подход в организации работ по проекту — независимость выполняемых этапов. Наличие экспертных команд в УЦСБ позволяет вести параллельно работы по разным этапам, тем самым существенно экономя время и повышая качество выполняемых задач, — уточняет Дмитрий Плотников, руководитель проектов УЦСБ. — Специалисты по фаззингу сосредоточены на нем, а разработчики программных документов — на своей части задач по проекту».
Для исполнения подпункта 29.3.3 Приказа №239 ФСТЭК России специалисты УЦСБ разработали документ с описанием процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения. Такая информация в дальнейшем поможет разработчикам предотвращать случайное внедрение уязвимостей, тем самым повысить устойчивость цифрового продукта к воздействию вредоносных программ и несанкционированному доступу.
Также были описаны способы и сроки доведения разработчиком программного обеспечения до пользователей информации об уязвимостях, компенсирующих мерах по защите информации или ограничениях по применению программного обеспечения, о способах получения пользователями обновлений ПО, проверки их целостности и подлинности. Это большой объем документального сопровождения, требующий высокой экспертизы команды и погружения в архитектуру исследуемого ПО.
Результаты проекта
Атомик Софт подтвердил зрелость процессов безопасной разработки ПО Альфа платформа
и получил заключение УЦСБ о соответствии требованиям пункта 29.3 Приказа №239
от 25.12.2017 ФСТЭК России. Теперь программная платформа может использоваться на значимых объектах критической информационной инфраструктуры второй и третьей категории.
У компании есть полный пакет подтверждающей документации для Альфа платформы.
и получил заключение УЦСБ о соответствии требованиям пункта 29.3 Приказа №239
от 25.12.2017 ФСТЭК России. Теперь программная платформа может использоваться на значимых объектах критической информационной инфраструктуры второй и третьей категории.
У компании есть полный пакет подтверждающей документации для Альфа платформы.
«Тесное сотрудничество нашей ИТ-команды и команды направления безопасной разработки УЦСБ, профессионализм специалистов стали основой успешной реализации проекта. Эксперты УЦСБ всегда были на связи — мы оперативно решали возникающие вопросы, обсуждали дальнейшие шаги. Хочется отметить, что проект был выполнен в достаточно короткий срок, особенно для такого продукта, как Альфа платформа. Качество разработки, уровень защищенности наших решений очень важны для нас и наших заказчиков. Благодаря проведенным работам на соответствие требованиям ФСТЭК России, у нас есть документальное подтверждение высоких стандартов безопасности. Благодарим команду УЦСБ за компетентность и вовлеченность, выполнение большого объема работ в комфортный для нас срок»
Кирилл Силкин, технический директор Атомик Софт
Кирилл Силкин, технический директор Атомик Софт
Методика безопасной разработки (DevSecOps) предполагает внедрение принципов информационной безопасности на всех этапах создания программного обеспечения —
от сборки до интеграции и развертывания. Специалисты Центра кибербезопасности УЦСБ помогут внедрить инструменты безопасной разработки на любом этапе зрелости программного продукта, подготовить документы на соответствие требованиям регуляторов,
а также оказать поддержку эксплуатации в формате периодического тестирования защищенности ПО.
от сборки до интеграции и развертывания. Специалисты Центра кибербезопасности УЦСБ помогут внедрить инструменты безопасной разработки на любом этапе зрелости программного продукта, подготовить документы на соответствие требованиям регуляторов,
а также оказать поддержку эксплуатации в формате периодического тестирования защищенности ПО.