Безопасное ПО для автоматизации значимых объектов КИИ — миссия выполнима
17 мая 2024
Кейс Атомик Софт о том, как обеспечить соответствие программной платформы требованиям регулятора
Автоматизация технологических и производственных процессов и сложных инженерных систем становится неотъемлемой частью работы предприятий различных отраслей. Наиболее крупными потребителями автоматизированных систем управления технологическими процессами (АСУ ТП) в России являются нефтегазовая промышленность, энергетика и военно-промышленный комплекс, которые при этом относятся к объектам критической информационной инфраструктуры (КИИ). Количество совершаемых злоумышленником кибератак в отношении АСУ ТП постепенно возрастает, а значит и уровень ответственности при внедрении программных решений для управления технологическими процессами на таких производствах очень высок.
Кейс Атомик Софт о том, как обеспечить соответствие программной платформы требованиям регулятора
Автоматизация технологических и производственных процессов и сложных инженерных систем становится неотъемлемой частью работы предприятий различных отраслей. Наиболее крупными потребителями автоматизированных систем управления технологическими процессами (АСУ ТП) в России являются нефтегазовая промышленность, энергетика и военно-промышленный комплекс, которые при этом относятся к объектам критической информационной инфраструктуры (КИИ). Количество совершаемых злоумышленником кибератак в отношении АСУ ТП постепенно возрастает, а значит и уровень ответственности при внедрении программных решений для управления технологическими процессами на таких производствах очень высок.
В кейсе компании Атомик Софт разберемся, как разработчику программной платформы для создания SCADA и многоуровневых систем диспетчеризации применять свои решения на значимых объектах КИИ, что требует ФСТЭК России
и при чем тут Майкрософт.
Какую задачу решали
Одним из ключевых элементов при построении АСУ ТП являются SCADA-системы (Supervisory Control and Data Acquisition), которые обеспечивают наблюдение, управление и контроль за производственными процессами. Важно отметить, что SCADA-системы, применяемые на объектах КИИ, должны соответствовать требованиям к безопасности прикладного программного обеспечения, установленным в пункте 29.3 Приказа №239 от 25.12.2017 Федеральной службы по техническому и экспортному контролю (ФСТЭК) России.
Атомик Софт — ведущий российский разработчик программного обеспечения для автоматизации промышленных и гражданских объектов.
Альфа платформа — инструментальная программная платформа, разработанная Атомик Софт для создания АСУ ТП и многоуровневых систем диспетчеризации. Применяется для построения высоконадежных систем постоянного мониторинга и управления технологическим оборудованием и производственными процессами на предприятиях.
Альфа платформа — инструментальная программная платформа, разработанная Атомик Софт для создания АСУ ТП и многоуровневых систем диспетчеризации. Применяется для построения высоконадежных систем постоянного мониторинга и управления технологическим оборудованием и производственными процессами на предприятиях.
i
В связи с тем, что ПО Альфа платформа используется в проектах автоматизации объектов КИИ, где заказчики и регулирующие органы предъявляют высокие требования к информационной безопасности и защите таких объектов, а также для повышения уровня безопасности своего программного обеспечения, разработчику Атомик Софт было необходимо обеспечить полное соответствие ПО Альфа платформа требованиям регулятора, тем самым доказав его надежность и высокий уровень защищенности от кибератак.
Для проведения комплексного тестирования и разработки сопроводительной документации на ПО разработчики обратились к специалистам направления безопасной разработки Центра кибербезопасности УЦСБ. Экспертиза УЦСБ позволяет проводить комплексные аудиты защищенности и выстраивать процессы безопасной разработки ПО для технически сложных программных продуктов и систем, в том числе предназначенных для внедрения на объектах КИИ. Глубокое знание и постоянный мониторинг изменений в законодательстве, а также большой практический опыт реализации проектов из разных сфер бизнеса — преимущество команды УЦСБ, необходимое для реализации такой ответственной задачи в сжатые сроки.
Центр кибербезопасности УЦСБ реализует системный подход к постановке процессов безопасной разработки (DevSecOps) — от аудита до сопровождения процесса сертификации разработок на соответствие требованиям регулирующих органов.
i
Что было сделано
Все работы были разделены на три этапа в соответствии с перечнем требований пункта 29 Приказа №239 ФСТЭК России.
Для исполнения подпункта 29.3.1 было разработано «Руководство по безопасной разработке ПО» и подготовлена модель угроз безопасности информации для Альфа платформы.
«Для разработки модели угроз команда проекта использовала международную методику STRIDE. Это универсальная методика с широким охватом анализируемых векторов атаки на компоненты ПО. Она оптимально подходит для программного продукта с множеством функциональных компонентов и сервисов. Выбрав STRIDE, мы не пошли по простому пути и сделали максимально проработанную модель для такого сложного продукта», — комментирует Евгений Тодышев, руководитель направления «Безопасная разработка» УЦСБ.
Для исполнения подпункта 29.3.1 было разработано «Руководство по безопасной разработке ПО» и подготовлена модель угроз безопасности информации для Альфа платформы.
«Для разработки модели угроз команда проекта использовала международную методику STRIDE. Это универсальная методика с широким охватом анализируемых векторов атаки на компоненты ПО. Она оптимально подходит для программного продукта с множеством функциональных компонентов и сервисов. Выбрав STRIDE, мы не пошли по простому пути и сделали максимально проработанную модель для такого сложного продукта», — комментирует Евгений Тодышев, руководитель направления «Безопасная разработка» УЦСБ.
STRIDE — модель для выявления угроз компьютерной безопасности, разработанная в конце 90-х инженерами Майкрософт. Название модели является аббревиатурой от шести основных типов угроз: Spoofing (подмена), Tampering (фальсификация), Repudiation (отказ от авторства), Information disclosure (раскрытие информации), Denial of service (отказ в обслуживании), Escalation of privileges (повышение привилегий).
i
Для исполнения подпункта 29.3.2 команда УЦСБ провела комплекс испытаний по выявлению уязвимостей в ПО Альфа платформа: статический анализ исходного кода и фаззинг-тестирования.
Фаззинг позволяет выявить возможные нестандартные сценарии поведения программного обеспечения при обработке случайных, в том числе ошибочных, входных данных, которые могут привести к непредвиденным результатам, не предусмотренным разработчиками. Фаззинг способен выявить нетипичные ошибки на различных этапах жизненного цикла программного продукта, включая стадии разработки и использования.
Фаззинг позволяет выявить возможные нестандартные сценарии поведения программного обеспечения при обработке случайных, в том числе ошибочных, входных данных, которые могут привести к непредвиденным результатам, не предусмотренным разработчиками. Фаззинг способен выявить нетипичные ошибки на различных этапах жизненного цикла программного продукта, включая стадии разработки и использования.
Благодаря проведенным тестированиям удалось найти некоторые потенциальные уязвимости в ПО, оперативно передать информацию разработчикам для корректировки. Также в результате тестирования были разработаны рекомендации
по повышению уровня зрелости безопасности в процессах разработки.
«Наш принципиальный подход в организации работ по проекту — независимость выполняемых этапов. Наличие экспертных команд в УЦСБ позволяет вести параллельно работы по разным этапам, тем самым существенно экономя время и повышая качество выполняемых задач, — уточняет Дмитрий Плотников, руководитель проектов УЦСБ. — Специалисты по фаззингу сосредоточены на нем, а разработчики программных документов — на своей части задач по проекту».
Для исполнения подпункта 29.3.3 Приказа №239 ФСТЭК России специалисты УЦСБ разработали документ с описанием процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения. Такая информация в дальнейшем поможет разработчикам предотвращать случайное внедрение уязвимостей, тем самым повысить устойчивость цифрового продукта к воздействию вредоносных программ и несанкционированному доступу.
Также были описаны способы и сроки доведения разработчиком программного обеспечения до пользователей информации об уязвимостях, компенсирующих мерах по защите информации или ограничениях по применению программного обеспечения, о способах получения пользователями обновлений ПО, проверки их целостности и подлинности. Это большой объем документального сопровождения, требующий высокой экспертизы команды и погружения в архитектуру исследуемого ПО.
Для исполнения подпункта 29.3.3 Приказа №239 ФСТЭК России специалисты УЦСБ разработали документ с описанием процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения. Такая информация в дальнейшем поможет разработчикам предотвращать случайное внедрение уязвимостей, тем самым повысить устойчивость цифрового продукта к воздействию вредоносных программ и несанкционированному доступу.
Также были описаны способы и сроки доведения разработчиком программного обеспечения до пользователей информации об уязвимостях, компенсирующих мерах по защите информации или ограничениях по применению программного обеспечения, о способах получения пользователями обновлений ПО, проверки их целостности и подлинности. Это большой объем документального сопровождения, требующий высокой экспертизы команды и погружения в архитектуру исследуемого ПО.
Результаты проекта
Атомик Софт подтвердил зрелость процессов безопасной разработки ПО Альфа платформа и получил заключение УЦСБ о соответствии требованиям пункта 29.3 Приказа №239 от 25.12.2017 ФСТЭК России. Теперь программная платформа может использоваться на значимых объектах критической информационной инфраструктуры второй и третьей категории. У компании есть полный пакет подтверждающей документации для Альфа платформы.
«Тесное сотрудничество нашей ИТ-команды и команды направления безопасной разработки УЦСБ, профессионализм специалистов стали основой успешной реализации проекта. Эксперты УЦСБ всегда были на связи — мы оперативно решали возникающие вопросы, обсуждали дальнейшие шаги. Хочется отметить, что проект был выполнен в достаточно короткий срок, особенно для такого продукта, как Альфа платформа. Качество разработки, уровень защищенности наших решений очень важны для нас и наших заказчиков. Благодаря проведенным работам на соответствие требованиям ФСТЭК России, у нас есть документальное подтверждение высоких стандартов безопасности. Благодарим команду УЦСБ за компетентность и вовлеченность, выполнение большого объема работ в комфортный для нас срок»
Кирилл Силкин,
технический директор Атомик Софт
технический директор Атомик Софт
Методика безопасной разработки (DevSecOps) предполагает внедрение принципов информационной безопасности на всех этапах создания программного обеспечения — от сборки до интеграции и развертывания. Специалисты Центра кибербезопасности УЦСБ помогут внедрить инструменты безопасной разработки на любом этапе зрелости программного продукта, подготовить документы на соответствие требованиям регуляторов, а также оказать поддержку эксплуатации в формате периодического тестирования защищенности ПО.
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных