Как аудит процесса разработки помог группе Ctrl2GO успешно сдать проект

Уральский центр систем безопасности (УЦСБ)

Уральский центр систем безопасности провел независимую оценку процесса разработки в группе компаний Ctrl2GO с учетом требований приказа ФСТЭК России № 239

Как аудит процесса разработки помог группе Ctrl2GO успешно сдать проект

Задача и причина

Задача:

Экспертам УЦСБ было необходимо не только оценить процесс разработки с учетом требований регулятора, но и провести анализ защищенности программного обеспечения, разработанного Ctrl2GO Solutions (входит в группу Ctrl2GO) для своего заказчика.

Причина:

Цифровой продукт «Умная Диагностика» представляет собой информационную систему для мониторинга, диагностики и предиктивной аналитики технического состояния оборудования промышленных объектов. Поскольку функции решения касались в том числе выявления аномалий при эксплуатации оборудования и оценки вероятности наступления нештатной ситуации, значимость его защищенности от кибератак вырастала в разы.

Что было сделано:

Аналитики УЦСБ выполнили аудит процесса разработки, провели фаззинг-тестирование и проанализировали код разработанного ПО, а также проверили его защищенность методами «черного» и «белого ящика».

В первом случае специалисты УЦСБ по пентестам сымитировали попытку взлома злоумышленниками, которые ничего не знают о назначении программного продукта и инфраструктуре использующей его организации. Во втором — повторили эксперимент, но уже владея всей информацией о решении, включая его исходный код. Так эксперты проверили, насколько решение устойчиво к взлому лицами уровня «администратор» или «разработчик». Анализ защищенности методами «черного» и «белого ящика» помог найти и устранить потенциально опасные уязвимости решения.

В Ctrl2GO Solutions оценили результаты проведенных работ, и теперь активно используют полученный опыт в организации системного использования принципов информационной безопасности на всех этапах разработки программных продуктов компании.

Это стало возможным благодаря дорожной карте по внедрению процессов безопасной разработки, подготовленной экспертами УЦСБ для Ctrl2GO Solutions. Формируя свои рекомендации, аналитики адаптировали методики и практики подхода к целям, условиям и требованиям компании.

Результат

В результате Ctrl2GO Solutions успешно выполнил доработку программного обеспечения для мониторинга, диагностики и предиктивной аналитики технического состояния оборудования промышленных объектов. Принятые на основе проведенных работ меры помогли компании успешно пройти испытания у своего заказчика и сдать готовое решение в срок.

Предыдущая новость

Николай Домуховский, УЦСБ: Мы давно живем в мире «сети без границ»

Следующая новость

УЦСБ — соорганизатор ИТ-конгресса и выставки «Форум Будущего»

Интересное: