0
Связаться с нами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Внимание, идет мониторинг работы электростанции!
26.04.2024
Кейс о том, как процессы безопасной разработки ПО помогают создавать системы для объектов критической информационной инфраструктуры
Топливно-энергетический комплекс (ТЭК) России является стратегическим сектором экономики страны и занимает одно из лидирующих мест по производству энергетических ресурсов в мире. Работоспособность предприятий ТЭК — одна из самых важных задач государственного контроля.
В этом кейсе расскажем, как разработчик программного обеспечения для АСУ ТП предприятий энергетической отрасли выполнил требования безопасности регулирующих органов.
В этом кейсе расскажем, как разработчик программного обеспечения для АСУ ТП предприятий энергетической отрасли выполнил требования безопасности регулирующих органов.
Какую задачу решали
Компания «Вибробит» разработала программное обеспечение стационарной системы непрерывного измерения, контроля, мониторинга промышленных объектов, построенное на веб-технологиях. Система предназначена для применения в АСУ ТП предприятий сферы энергетики, относящимся к категории объектов критической информационной инфраструктуры (КИИ).
Все цифровые продукты, применяемые на объектах КИИ, должны соответствовать требованиям к безопасности прикладного программного обеспечения, которые сформулированы в пункте 29.3 Приказа №239 от 25.12.2017 Федеральной службы по техническому и экспортному контролю (ФСТЭК) России.
Все цифровые продукты, применяемые на объектах КИИ, должны соответствовать требованиям к безопасности прикладного программного обеспечения, которые сформулированы в пункте 29.3 Приказа №239 от 25.12.2017 Федеральной службы по техническому и экспортному контролю (ФСТЭК) России.
Научно-производственное предприятие «ВИБРОБИТ» — ведущий разработчик программно-аппаратных комплексов контроля, вибрационного мониторинга и диагностики технического состояния роторного оборудования ТЭЦ, ГРЭС, АЭС. Компания более 30 лет занимается реализацией проектов в области энергетики, а ее продукция применяется в 18-ти странах.
Для дальнейшего участия в проектах автоматизации предприятий ТЭК компания «Вибробит» должна была обеспечить высокий уровень защиты своего ПО от киберугроз и доказать полное соответствие строгим нормативным стандартам регулирующих органов. Чтобы комплексно решить эту непростую задачу, специалисты НПП «Вибробит» обратились в Центр кибербезопасности УЦСБ.
Компетенции экспертов Центра кибербезопасности УЦСБ позволяют выполнять любые задачи, связанные с внедрением и проверкой процессов безопасной разработки (DevSecOps) — от аудита до сопровождения процесса сертификации разработок на соответствие требованиям регулирующих органов.
В 2024 году компания вступила в Ассоциацию организаций по оценке соответствия требованиям информационной безопасности (АООСТИБ) — это стало еще одним подтверждением высокой квалификации экспертов УЦСБ и перспектив развития сертифицированных решений центра в части внедрения процессов DevSecOps.
В 2024 году компания вступила в Ассоциацию организаций по оценке соответствия требованиям информационной безопасности (АООСТИБ) — это стало еще одним подтверждением высокой квалификации экспертов УЦСБ и перспектив развития сертифицированных решений центра в части внедрения процессов DevSecOps.
Что было сделано
У Центра кибербезопасности УЦСБ большой опыт реализации проектов по различным направлениям работы с КИИ, в том числе связанных с проведением анализа соответствия программных продуктов требованиям ФСТЭК России — об одном из них мы уже публиковали подробный рассказ.
Разрабатывая план проекта, наши специалисты разбили задачи на три этапа в соответствии с логикой представления требований к ПО в пункте 29.3 Приказа №239 ФСТЭК России, но выполняли их практически параллельно — для каждого пула задач в УЦСБ есть своя команда экспертов, и сроки на реализацию даже самых технически сложных проектов получаются максимально комфортными для заказчиков.
Для выполнения требований п.29.3.1 специалисты направления «Безопасная разработка» подготовили «Руководство по безопасной разработке ПО» и разработали модель угроз безопасности информации на исследуемые цифровые продукты НПП «Вибробит».
Разрабатывая план проекта, наши специалисты разбили задачи на три этапа в соответствии с логикой представления требований к ПО в пункте 29.3 Приказа №239 ФСТЭК России, но выполняли их практически параллельно — для каждого пула задач в УЦСБ есть своя команда экспертов, и сроки на реализацию даже самых технически сложных проектов получаются максимально комфортными для заказчиков.
Для выполнения требований п.29.3.1 специалисты направления «Безопасная разработка» подготовили «Руководство по безопасной разработке ПО» и разработали модель угроз безопасности информации на исследуемые цифровые продукты НПП «Вибробит».
«Модель угроз была создана по международной методике STRIDE, которая позволяет классифицировать и описывать атаки в зависимости от типа используемых уязвимостей или мотивации нарушителя. Мы уже применяли ранее эту методику в своих проектах, она непростая, но позволяет охватить максимальное количество возможных векторов атаки и сформировать наиболее полную модель для ПО со сложной архитектурой»
Евгений Тодышев
Руководитель направления безопасной разработки УЦСБ
Руководитель направления безопасной разработки УЦСБ
Apple CEO
В рамках п.29.3.2 было выполнено статическое тестирование исходного кода и фаззинг-тестирование ПО. Эти меры позволили выявить и устранить уязвимости на ранних стадиях, обеспечив высокий уровень защиты.
Одной из особенностей проекта были языки программирования, на которых написано ПО «Вибробит» — C# и C++. Еще пару лет назад разобраться с тестированием такого ПО было сложной задачей для специалистов Центра кибербезопасности УЦСБ. Сегодня компетенции команды позволяют брать на тестирование ПО, написанное практически на всех известных языках программирования и имеющее разный уровень сложности архитектуры.
«В ходе проекта было организовано оперативное взаимодействие между двумя компаниями — УЦСБ и командой разработчиков «Вибробит». Специалисты решали все возникающие технические вопросы, быстро погружались в особенности программного продукта, всех его модулей. Очень ценно, что найденные уязвимости и недочеты в безопасности ПО, команда разработки сразу же исправляла, мы совместно быстро двигались к реализации всех этапов проекта и сделали все необходимые проверки»
Дмитрий Плотников, руководитель проектов УЦСБ
Дмитрий Плотников, руководитель проектов УЦСБ
Для исполнения п.29.3.3 была разработана документация на исследуемое ПО: описание процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения, а также описание способов и сроков доведения информации об уязвимостях до пользователей, включая компенсирующие меры по защите информации и способы получения обновлений, методах проверки целостности и подлинности обновлений.
Результаты проекта
Программное обеспечение НПП «Вибробит» прошло необходимое проверки и получило заключение о соответствии требованиям пункта 29.3 Приказа №239 от 25.12.2017 ФСТЭК России. Cистема непрерывного измерения, контроля, мониторинга промышленных объектов, в основе которой лежит данное ПО, может использоваться на значимых объектах критической информационной инфраструктуры третьей категории.
«Хочу отметить, что мы получили не только соответствующую документацию на нашу систему, но и глубокое понимание процессов безопасной разработки. Узнали о недочетах в защищенности, получили конкретные рекомендации по их устранению и оперативно устранили. Со специалистами УЦСБ сложилось продуктивное взаимодействие. Важно, что компания имеет все необходимые компетенции для выполнения разных задач, связанных с информационной безопасностью, мы можем получить все услуги под ключ в оптимальные для вывода продукта на рынок сроки»
Василий Иващенко, начальник отдела АСУ НПП «Вибробит»
Василий Иващенко, начальник отдела АСУ НПП «Вибробит»
Обратиться за помощью к специалистам Центра кибербезопасности УЦСБ и интегрировать безопасные практики разработки можно на различных этапах жизненного цикла продукта. Однако наиболее эффективно задуматься о безопасности программного обеспечения на стадии проектирования — это позволит минимизировать риски возникновения уязвимостей, учесть строгие требования законодательства и избежать возможных проблем во время проверок.