Центр кибербезопасности УЦСБ и «Атомик Софт» протестировали программную платформу для автоматизации объектов КИИ
Команда УЦСБ проверила программный комплекс Альфа платформа разработки «Атомик Софт» на соответствие требованиям Приказа №239 ФСТЭК России от 25.12.2017 для применения на объектах критической информационной инфраструктуры (КИИ). Об этом CNews сообщили представители УЦСБ.
В связи с тем, что ПО «Альфа платформа» используется в проектах автоматизации объектов КИИ, где заказчики и регулирующие органы предъявляют высокие требования к информационной безопасности и защите таких объектов, а также для повышения уровня безопасности своего программного обеспечения, разработчику «Атомик Софт» было необходимо обеспечить полное соответствие ПО «Альфа платформа» требованиям регулятора. Для проведения комплексного тестирования и разработки сопроводительной документации, подтверждающей соответствие требованиям по безопасной разработке, разработчики обратились к специалистам Центра кибербезопасности УЦСБ.
Работы были проведены в три этапа в соответствии с пунктом 29.3 Приказа №239 ФСТЭК России. В частности, для исполнения требования пункта 29.3.1 эксперты УЦСБ разработали «Руководство по безопасной разработке ПО» и подготовили модель угроз информационной безопасности для «Альфа платформы». При создании модели угроз команда проекта использовала международную методику STRIDE с широким охватом анализируемых векторов атаки на компоненты ПО. Она оптимально подходит для сложных программных комплексов с множеством функциональных модулей.
Для исполнения пункта 29.3.2 эксперты также провели комплекс испытаний по выявлению уязвимостей в «Альфа платформе», включая проведение статического анализ исходного кода и фаззинг тестирования ПО.
«Мы реализуем системный подход к постановке процессов безопасной разработки (DevSecOps) — от аудита до сопровождения процесса сертификации разработок на соответствие требованиям регулирующих органов. Наши специалисты помогут внедрить инструменты безопасной разработки на любом этапе зрелости программного продукта, подготовить документы на соответствие требованиям регуляторов, а также оказать поддержку эксплуатации в формате периодического тестирования защищенности ПО. Наличие экспертных команд в УЦСБ позволяет вести параллельно работы по разным этапам, тем самым существенно экономя время и повышая качество выполняемых задач», — сказал Евгений Тодышев, руководитель направления «Безопасная разработка» УЦСБ.
Для исполнения пункта 29.3.3 Приказа №239 ФСТЭК России специалисты УЦСБ разработали документы с описанием процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения. Такая информация в дальнейшем поможет разработчикам предотвращать случайное внедрение уязвимостей, тем самым повысить устойчивость цифрового продукта к воздействию вредоносных программ и несанкционированному доступу.
В результате проекта «Атомик Софт» подтвердил зрелость процессов безопасной разработки ПО «Альфа платформа» и получил заключение УЦСБ о соответствии требованиям пункта 29.3 Приказа №239 ФСТЭК России. Таким образом, программный комплекс может использоваться на значимых объектах критической информационной инфраструктуры второй и третьей категории. У компании есть полный пакет подтверждающей документации для «Альфа платформы».
«Качество разработки, уровень защищенности решений компании очень важны для нас и наших заказчиков. Функциональные возможности программной платформы позволяют реализовывать проекты автоматизации технологических и производственных процессов практически любой сложности и применять наш продукт на объектах КИИ. Благодаря проведенным работам на соответствие требованиям ФСТЭК России у нас есть документальное подтверждение соответствия высоким стандартам безопасности», — отметил Кирилл Силкин, технический директор «Атомик Софт».
***
«Атомик Софт» — российский разработчик программного обеспечения для автоматизации промышленных и гражданских объектов.
«Альфа платформа» — инструментальная программная платформа, разработанная «Атомик Софт» для создания АСУ ТП и многоуровневых систем диспетчеризации. Применяется для построения высоконадежных систем постоянного мониторинга и управления технологическим оборудованием и производственными процессами на предприятиях.
Центр кибербезопасности — объединение профильных компетенций Уральского центра систем безопасности (УЦСБ) по внедрению передовых практик и технологий для защиты критически важных систем от цифровых угроз. Экспертиза УЦСБ позволяет проводить комплексные аудиты защищенности и выстраивать процессы безопасной разработки ПО для технически сложных программных продуктов и систем, в том числе предназначенных для внедрения на объектах КИИ. По версии аналитического агентства CNews Analytics, УЦСБ входит в топ-100 крупнейших российских ИТ-компаний и в топ-15 крупнейших поставщиков решений для защиты информации. За 17 лет работы УЦСБ реализовал более 2000 проектов для государственных предприятий, компаний из банковского сектора, нефтегазовой, топливно-энергетической, машиностроительной и других отраслей промышленности.