Команда УЦСБ проверила программное обеспечение разработки НПП «Вибробит» на соответствие требованиям Приказа №239 ФСТЭК России от 25.12.2017 для применения на объектах критической информационной инфраструктуры (КИИ).
Компания «Вибробит» разработала автоматизированную систему контроля вибрации и механических величин (АСКВМ) для непрерывного измерения, контроля, мониторинга промышленных объектов. Система предназначена для применения в АСУ ТП предприятий сферы энергетики, относящимся к категории объектов КИИ, а значит ПО в ее основе должно соответствовать требованиям к безопасности прикладного программного обеспечения, которые сформулированы в пункте 29.3 Приказа №239 от 25.12.2017 Федеральной службы по техническому и экспортному контролю (ФСТЭК) России.
Для проведения тестирования и разработки сопроводительной документации, подтверждающей соответствие требованиям по безопасной разработке, компания «Вибробит» обратилась к специалистам Центра кибербезопасности УЦСБ.
Разрабатывая план проекта, специалисты УЦСБ разбили задачи на три этапа: разработка модели угроз и руководства к ней, тестирование кода и подготовка документации на исследуемое ПО. Однако выполняли их практически параллельно — для каждого пула задач в УЦСБ есть своя команда экспертов, и сроки на реализацию даже самых технически сложных проектов получаются максимально комфортными для заказчиков.
Для выполнения требований п.29.3.1 было разработано «Руководство по безопасной разработке ПО» и модель угроз безопасности информации на исследуемые цифровые продукты НПП «Вибробит».
«Модель угроз была создана по международной методике STRIDE, которая позволяет классифицировать и описывать атаки в зависимости от типа используемых уязвимостей или мотивации нарушителя. Мы уже применяли ранее эту методику в своих проектах, она непростая, но позволяет охватить максимальное количество возможных векторов атаки и сформировать наиболее полную модель для ПО со сложной архитектурой», — комментирует руководитель направления «Безопасная разработка» УЦСБ Евгений Тодышев.В рамках п.29.3.2 команда УЦСБ выполнила статическое тестирование исходного кода и фаззинг-тестирование ПО. Эти меры позволили выявить и устранить уязвимости на ранних стадиях, обеспечив высокий уровень защиты. С целью исполнения п.29.3.3 была разработана документация на исследуемое ПО: описание процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения, а также описание способов и сроков доведения информации об уязвимостях до пользователей, включая компенсирующие меры по защите информации и способы получения обновлений, методах проверки целостности и подлинности обновлений.
В результате реализации проекта программное обеспечение НПП «Вибробит» прошло необходимое проверки и получило заключение о соответствии требованиям пункта 29.3 Приказа №239 от 25.12.2017 ФСТЭК России. Автоматизированная система контроля вибрации и механических величин (АСКВМ), в основе которой лежит данное ПО, может использоваться на значимых объектах критической информационной инфраструктуры третьей категории.
«Хочу отметить, что мы получили не только соответствующую документацию на нашу систему, но и глубокое понимание процессов безопасной разработки. Узнали о недочетах в защищенности, получили конкретные рекомендации по их устранению и оперативно устранили. Со специалистами УЦСБ сложилось продуктивное взаимодействие. Важно, что компания имеет все необходимые компетенции для выполнения разных задач, связанных с информационной безопасностью, мы можем получить все услуги под ключ в оптимальные для вывода продукта на рынок сроки», — подводит итоги проекта начальник отдела АСУ НПП «Вибробит» Василий Иващенко.
Информационная справка:
Научно-производственное предприятие «ВИБРОБИТ» — ведущий разработчик программно-аппаратных комплексов контроля, вибрационного мониторинга и диагностики технического состояния роторного оборудования ТЭЦ, ГРЭС, АЭС. Компания более 30 лет занимается реализацией проектов в области энергетики, а ее продукция применяется в 18-ти странах.