Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Центр кибербезопасности УЦСБ и НПП «Вибробит» проверили ПО для автоматизации электростанций

25/11/24

УЦСБ

Команда УЦСБ проверила программное обеспечение разработки НПП «Вибробит» на соответствие требованиям Приказа №239 ФСТЭК России от 25.12.2017 для применения на объектах критической информационной инфраструктуры (КИИ).

Компания «Вибробит» разработала автоматизированную систему контроля вибрации и механических величин (АСКВМ) для непрерывного измерения, контроля, мониторинга промышленных объектов. Система предназначена для применения в АСУ ТП предприятий сферы энергетики, относящимся к категории объектов КИИ, а значит ПО в ее основе должно соответствовать требованиям к безопасности прикладного программного обеспечения, которые сформулированы в пункте 29.3 Приказа №239 от 25.12.2017 Федеральной службы по техническому и экспортному контролю (ФСТЭК) России.


Для проведения тестирования и разработки сопроводительной документации, подтверждающей соответствие требованиям по безопасной разработке, компания «Вибробит» обратилась к специалистам Центра кибербезопасности УЦСБ.


Разрабатывая план проекта, специалисты УЦСБ разбили задачи на три этапа: разработка модели угроз и руководства к ней, тестирование кода и подготовка документации на исследуемое ПО. Однако выполняли их практически параллельно — для каждого пула задач в УЦСБ есть своя команда экспертов, и сроки на реализацию даже самых технически сложных проектов получаются максимально комфортными для заказчиков.


Для выполнения требований п.29.3.1 было разработано «Руководство по безопасной разработке ПО» и модель угроз безопасности информации на исследуемые цифровые
продукты НПП «Вибробит».


«Модель угроз была создана по международной методике STRIDE, которая позволяет классифицировать и описывать атаки в зависимости от типа используемых уязвимостей или мотивации нарушителя. Мы уже применяли ранее эту методику в своих проектах, она непростая, но позволяет охватить максимальное количество возможных векторов атаки и сформировать наиболее полную модель для ПО со сложной архитектурой», — комментирует руководитель направления «Безопасная разработка» УЦСБ Евгений Тодышев.


В рамках п.29.3.2 команда УЦСБ выполнила статическое тестирование исходного кода и фаззинг-тестирование ПО. Эти меры позволили выявить и устранить уязвимости на ранних
стадиях, обеспечив высокий уровень защиты. С целью исполнения п.29.3.3 была разработана документация на исследуемое ПО: описание процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения, а также описание способов и сроков доведения информации об уязвимостях до пользователей, включая компенсирующие
меры по защите информации и способы получения обновлений, методах проверки целостности и подлинности обновлений.


В результате реализации проекта программное обеспечение НПП «Вибробит» прошло необходимое проверки и получило заключение о соответствии требованиям пункта 29.3 Приказа №239 от 25.12.2017 ФСТЭК России. Автоматизированная система контроля вибрации и механических величин (АСКВМ), в основе которой лежит данное ПО, может использоваться на значимых объектах критической информационной инфраструктуры третьей категории.


«Хочу отметить, что мы получили не только соответствующую документацию на нашу систему, но и глубокое понимание процессов безопасной разработки. Узнали о недочетах в защищенности, получили конкретные рекомендации по их устранению и оперативно устранили. Со специалистами УЦСБ сложилось продуктивное взаимодействие. Важно, что компания имеет все необходимые компетенции для выполнения разных задач, связанных с информационной безопасностью, мы можем получить все услуги под ключ в оптимальные для вывода продукта на рынок сроки», — подводит итоги проекта начальник отдела АСУ НПП «Вибробит» Василий Иващенко.

Темы:Пресс-релизКИИОтрасльУЦСБФСТЭК
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Быстрое импортозамещение в КИИ: проблема или задача?
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Со студенческой скамьи мы помним, что проблема и задача – это совершенно разные вещи, и их важно не путать.
  • Что мешает быстрому импортозамещению на объектах критической информационной инфраструктуры?
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    О беспечение информационной безопасности объектов КИИ является одной из приоритетных задач любого современного производственного предприятия. Риски кибератак, утечки данных или сбоев в работе автоматизированных систем могут привести к остановке технологических процессов, нарушению экологической обстановки и прямым финансовым потерям.
  • Обзор изменений в законодательстве. Июль, август - 2024
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения правил категорирования ОКИИ. Защита ГИС и ЗОКИИ от DoS. Изменения в 152-ФЗ, 98-ФЗ и КоАП. Защита ГИС. Переход ОКИИ на доверенные ПАК. Госконтроль за ПДн. Требования к уничтожению и обезличиванию ПДн. Методические рекомендации ЦБ по показателям уровня риска ИБ. 
  • "Ассистент": безопасное решение для удаленного доступа на промышленных предприятиях
    Оксана Шабанова, генеральный директор ООО “САФИБ”
    "Ассистент" – кросс-платформенное решение, поддерживающее работу на большинстве операционных систем семейства Windows, Linux, Android, macOS. Проведены испытания, подтверждающие совместимость "Ассистент" с российскими операционными системами, в том числе сертифицированными ФСТЭК России
  • Облако перспектив для объектов критической инфраструктуры
    Алексей Кубарев, директор по информационной безопасности Т1 Облако
    В последние годы на отечественном ИТ-рынке прослеживаются два основных тренда, развитие которых привело к размещению ОКИИ в облаках. Поговорим подробнее о том, в чем выгода такого подхода и как не допустить ошибок в процессе.
  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...