Выбирай : Покупай : Используй

Вход для партнеров

Вход для продавцов

0

Центр кибербезопасности УЦСБ и НПП «Вибробит» проверили ПО для автоматизации электростанций

Команда УЦСБ проверила программное обеспечение разработки НПП «Вибробит» на соответствие требованиям Приказа...

Команда УЦСБ проверила программное обеспечение разработки НПП «Вибробит» на соответствие требованиям Приказа №239 ФСТЭК России от 25.12.2017 для применения на объектах критической информационной инфраструктуры (КИИ). Об этом CNews сообщили представители УЦСБ.

Компания «Вибробит» разработала автоматизированную систему контроля вибрации и механических величин (АСКВМ) для непрерывного измерения, контроля, мониторинга промышленных объектов. Система предназначена для применения в АСУ ТП предприятий сферы энергетики, относящимся к категории объектов КИИ, а значит ПО в ее основе должно соответствовать требованиям к безопасности прикладного программного обеспечения, которые сформулированы в пункте 29.3 Приказа №239 от 25.12.2017 Федеральной службы по техническому и экспортному контролю (ФСТЭК) России.

Для проведения тестирования и разработки сопроводительной документации, подтверждающей соответствие требованиям по безопасной разработке, компания «Вибробит» обратилась к специалистам Центра кибербезопасности УЦСБ.

Разрабатывая план проекта, специалисты УЦСБ разбили задачи на три этапа: разработка модели угроз и руководства к ней, тестирование кода и подготовка документации на исследуемое ПО. Однако выполняли их практически параллельно — для каждого пула задач в УЦСБ есть своя команда экспертов, и сроки на реализацию даже самых технически сложных проектов получаются максимально комфортными для заказчиков.

Для выполнения требований п.29.3.1 было разработано «Руководство по безопасной разработке ПО» и модель угроз безопасности информации на исследуемые цифровые продукты НПП «Вибробит».

«Модель угроз была создана по международной методике STRIDE, которая позволяет классифицировать и описывать атаки в зависимости от типа используемых уязвимостей или мотивации нарушителя. Мы уже применяли ранее эту методику в своих проектах, она непростая, но позволяет охватить максимальное количество возможных векторов атаки и сформировать наиболее полную модель для ПО со сложной архитектурой», — сказал руководитель направления «Безопасная разработка» УЦСБ Евгений Тодышев.

Обзор HUAWEI WATCH GT 5 Pro 46 мм: умные часы, которые умеют все

В рамках п.29.3.2 команда УЦСБ выполнила статическое тестирование исходного кода и фаззинг-тестирование ПО. Эти меры позволили выявить и устранить уязвимости на ранних стадиях, обеспечив высокий уровень защиты. С целью исполнения п.29.3.3 была разработана документация на исследуемое ПО: описание процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения, а также описание способов и сроков доведения информации об уязвимостях до пользователей, включая компенсирующие меры по защите информации и способы получения обновлений, методах проверки целостности и подлинности обновлений.

В результате реализации проекта программное обеспечение НПП «Вибробит» прошло необходимое проверки и получило заключение о соответствии требованиям пункта 29.3 Приказа №239 от 25.12.2017 ФСТЭК России. Автоматизированная система контроля вибрации и механических величин (АСКВМ), в основе которой лежит данное ПО, может использоваться на значимых объектах критической информационной инфраструктуры третьей категории.

«Хочу отметить, что мы получили не только соответствующую документацию на нашу систему, но и глубокое понимание процессов безопасной разработки. Узнали о недочетах в защищенности, получили конкретные рекомендации по их устранению и оперативно устранили. Со специалистами УЦСБ сложилось продуктивное взаимодействие. Важно, что компания имеет все необходимые компетенции для выполнения разных задач, связанных с информационной безопасностью, мы можем получить все услуги под ключ в оптимальные для вывода продукта на рынок сроки», — сказал начальник отдела АСУ НПП «Вибробит» Василий Иващенко.