УЦСБ и НПП «Вибробит» проверили ПО для автоматизации электростанций

Для дальнейшего участия в проектах автоматизации предприятий ТЭК компания «Вибробит» должна была обеспечить высокий уровень защиты своего ПО от киберугроз и доказать полное соответствие строгим нормативным стандартам регулирующих органов. Чтобы комплексно решить эту непростую задачу, специалисты НПП «Вибробит» обратились в Центр кибербезопасности УЦСБ.

Что было сделано

Разрабатывая план проекта, наши специалисты разбили задачи на три этапа в соответствии с логикой представления требований к ПО в пункте 29.3 Приказа №239 ФСТЭК России, но выполняли их практически параллельно.

Для выполнения требований п.29.3.1 специалисты направления «Безопасная разработка» подготовили «Руководство по безопасной разработке ПО» и разработали модель угроз безопасности информации на исследуемые цифровые продукты НПП «Вибробит».

«Модель угроз была создана по международной методике STRIDE, которая позволяет классифицировать и описывать атаки в зависимости от типа используемых уязвимостей или мотивации нарушителя. Мы уже применяли ранее эту методику в своих проектах, она  непростая, но позволяет охватить максимальное количество возможных векторов атаки и сформировать наиболее полную модель для ПО со сложной архитектурой», — комментирует руководитель направления «Безопасная разработка» УЦСБ Евгений Тодышев.

В рамках п.29.3.2 было выполнено статическое тестирование исходного кода и фаззинг-тестирование ПО. Эти меры позволили выявить и устранить уязвимости на ранних стадиях, обеспечив высокий уровень защиты.

«В ходе проекта было организовано оперативное взаимодействие между двумя компаниями — УЦСБ и командой разработчиков «Вибробит». Специалисты решали все возникающие технические вопросы, быстро погружались в особенности программного продукта, всех его модулей. Очень ценно, что найденные уязвимости и недочеты в безопасности ПО, команда разработки сразу же исправляла, мы совместно быстро двигались к реализации всех этапов проекта и сделали все необходимые проверки», — дополняет Дмитрий Плотников, руководитель проектов УЦСБ.

Для исполнения п.29.3.3 была разработана документация на исследуемое ПО: описание процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения, а также описание способов и сроков доведения информации об уязвимостях до пользователей, включая компенсирующие меры по защите информации и способы получения обновлений, методах проверки целостности и подлинности обновлений.

Какой результат получили 

Программное обеспечение НПП «Вибробит» прошло необходимое проверки и получило заключение о соответствии требованиям пункта 29.3 Приказа №239 от 25.12.2017 ФСТЭК России. Система непрерывного измерения, контроля, мониторинга промышленных объектов, в основе которой лежит данное ПО, может использоваться на значимых объектах критической информационной инфраструктуры третьей категории. 

«Хочу отметить, что мы получили не только соответствующую документацию на нашу систему, но и глубокое понимание процессов безопасной разработки. Узнали о недочетах в защищенности, получили конкретные рекомендации по их устранению и оперативно устранили. Со специалистами УЦСБ сложилось продуктивное взаимодействие», — подводит итоги проекта начальник отдела АСУ НПП «Вибробит» Василий Иващенко.