Безопасное ПО для автоматизации значимых объектов КИИ — миссия выполнима

17 мая 2024

Кейс Атомик Софт о том, как обеспечить соответствие программной платформы требованиям регулятора

Автоматизация технологических и производственных процессов и сложных инженерных систем становится неотъемлемой частью работы предприятий различных отраслей. Наиболее крупными потребителями автоматизированных систем управления технологическими процессами (АСУ ТП) в России являются нефтегазовая промышленность, энергетика и военно-промышленный комплекс, которые при этом относятся к объектам критической информационной инфраструктуры (КИИ). Количество совершаемых злоумышленником кибератак в отношении АСУ ТП постепенно возрастает, а значит и уровень ответственности при внедрении программных решений для управления технологическими процессами на таких производствах очень высок.

Одним из ключевых элементов при построении АСУ ТП являются SCADA-системы (Supervisory Control and Data Acquisition), которые обеспечивают наблюдение, управление и контроль за производственными процессами. Важно отметить, что SCADA-системы, применяемые на объектах КИИ, должны соответствовать требованиям к безопасности прикладного программного обеспечения, установленным в пункте 29.3 Приказа №239 от 25.12.2017 Федеральной службы по техническому и экспортному контролю (ФСТЭК) России.

В связи с тем, что ПО Альфа платформа используется в проектах автоматизации объектов КИИ, где заказчики и регулирующие органы предъявляют высокие требования к информационной безопасности и защите таких объектов, а также для повышения уровня безопасности своего программного обеспечения, разработчику Атомик Софт было необходимо обеспечить полное соответствие ПО Альфа платформа требованиям регулятора, тем самым доказав его надежность и высокий уровень защищенности от кибератак.

Для проведения комплексного тестирования и разработки сопроводительной документации на ПО разработчики обратились к специалистам направления безопасной разработки Центра кибербезопасности УЦСБ. Экспертиза УЦСБ позволяет проводить комплексные аудиты защищенности и выстраивать процессы безопасной разработки ПО для технически сложных программных продуктов и систем, в том числе предназначенных для внедрения на объектах КИИ. Глубокое знание и постоянный мониторинг изменений в законодательстве, а также большой практический опыт реализации проектов из разных сфер бизнеса — преимущество команды УЦСБ, необходимое для реализации такой ответственной задачи в сжатые сроки.

Все работы были разделены на три этапа в соответствии с перечнем требований пункта 29 Приказа №239 ФСТЭК России.

Для исполнения подпункта 29.3.1 было разработано «Руководство по безопасной разработке ПО» и подготовлена модель угроз безопасности информации для Альфа платформы.

«Для разработки модели угроз команда проекта использовала международную методику STRIDE. Это универсальная методика с широким охватом анализируемых векторов атаки на компоненты ПО. Она оптимально подходит для программного продукта с множеством функциональных компонентов и сервисов. Выбрав STRIDE, мы не пошли по простому пути и сделали максимально проработанную модель для такого сложного продукта», — комментирует Евгений Тодышев, руководитель направления «Безопасная разработка» УЦСБ.

Для исполнения подпункта 29.3.2 команда УЦСБ провела комплекс испытаний по выявлению уязвимостей в ПО Альфа платформа: статический анализ исходного кода и фаззинг-тестирования.

Фаззинг позволяет выявить возможные нестандартные сценарии поведения программного обеспечения при обработке случайных, в том числе ошибочных, входных данных, которые могут привести к непредвиденным результатам, не предусмотренным разработчиками. Фаззинг способен выявить нетипичные ошибки на различных этапах жизненного цикла программного продукта, включая стадии разработки и использования.

«Наш принципиальный подход в организации работ по проекту — независимость выполняемых этапов. Наличие экспертных команд в УЦСБ позволяет вести параллельно работы по разным этапам, тем самым существенно экономя время и повышая качество выполняемых задач, — уточняет Дмитрий Плотников, руководитель проектов УЦСБ. — Специалисты по фаззингу сосредоточены на нем, а разработчики программных документов — на своей части задач по проекту».

Для исполнения подпункта 29.3.3 Приказа №239 ФСТЭК России специалисты УЦСБ разработали документ с описанием процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения. Такая информация в дальнейшем поможет разработчикам предотвращать случайное внедрение уязвимостей, тем самым повысить устойчивость цифрового продукта к воздействию вредоносных программ и несанкционированному доступу.

Также были описаны способы и сроки доведения разработчиком программного обеспечения до пользователей информации об уязвимостях, компенсирующих мерах по защите информации или ограничениях по применению программного обеспечения, о способах получения пользователями обновлений ПО, проверки их целостности и подлинности. Это большой объем документального сопровождения, требующий высокой экспертизы команды и погружения в архитектуру исследуемого ПО.

Атомик Софт подтвердил зрелость процессов безопасной разработки ПО Альфа платформа и получил заключение УЦСБ о соответствии требованиям пункта 29.3 Приказа №239 от 25.12.2017 ФСТЭК России. Теперь программная платформа может использоваться на значимых объектах критической информационной инфраструктуры второй и третьей категории. У компании есть полный пакет подтверждающей документации для Альфа платформы.

Методика безопасной разработки (DevSecOps) предполагает внедрение принципов информационной безопасности на всех этапах создания программного обеспечения — от сборки до интеграции и развертывания. Специалисты Центра кибербезопасности УЦСБ помогут внедрить инструменты безопасной разработки на любом этапе зрелости программного продукта, подготовить документы на соответствие требованиям регуляторов, а также оказать поддержку эксплуатации в формате периодического тестирования защищенности ПО.