Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Построение SOC
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Защита персональных данных
Создание централизованной ИБ-системы
на предприятии
на предприятии
Построение СОИБ
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Сетевая безопасность
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Расследование инцидентов ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Аудит ИБ
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции и развертывания
Безопасная разработка
Оценка защищенности систем и определение возможных векторов атак
Анализ защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Экспресс-повышение уровня защищенности
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Цифровой рубль
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Комплексная киберзащита субъектов КИИ
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Compromise Assessment
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Анти-DDoS
Защита веб-приложений
WAF
Защита конечных точек
EDR
Анализ трафика
NTA
Управление уязвимостями
Sandbox
Автоматизация процессов управления ИБ, рисков и комплаенса
SGRC
Управление учетными записями и доступом
IdM/IGA
Межсетевые экраны нового поколения
NGFW
Управление уязвимостями
VM
Анализ и корреляция событий
SIEM
Комплексное решение для контроля соответствия требованиям ИБ
CheckU
Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба
УЦСБ SOC
Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений
для непрерывного анализа защищенности приложений
Apsafe
Получить рекомендацию
Заполните форму, и специалист Центра кибербезопасности свяжется с вами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Сетевая безопасность
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Построение SOC
Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Защита персональных данных
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Построение СОИБ
Создание централизованной ИБ-системы
на предприятии
на предприятии
Анти-DDoS
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Комплексная киберзащита субъектов КИИ
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Compromise Assessment
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Цифровой рубль
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Экспресс-повышение уровня защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Расследование инцидентов ИБ
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Аудит ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Безопасная разработка
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции
и развертывания
и развертывания
Анализ защищенности
Оценка защищенности систем и определение возможных векторов атак
IRP/SOAR
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
NGFW
Межсетевые экраны нового поколения
PAM
Контроль привилегированного доступа
TI
Киберразведка
SA
Повышение киберграмотности сотрудников
WAF
Защита веб-приложений
DLP
Предотвращение утечек информации
SGRC
Автоматизация процессов управления ИБ, рисков и комплаенса
IdM/IGA
Управление учетными записями и доступом
EDR
Защита конечных точек
NTA
Анализ трафика
Sandbox
Сетевые лесочницы
VM
Управление уязвимостями
SIEM
Анализ и корреляция событий
Чтобы сделать сайт более удобным,
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
Внимание, идет мониторинг работы электростанции!
26 ноября 2024
Кейс о том, как процессы безопасной разработки ПО помогают создавать системы для объектов критической информационной инфраструктуры
Топливно-энергетический комплекс (ТЭК) России является стратегическим сектором экономики страны и занимает одно из лидирующих мест по производству энергетических ресурсов в мире. Работоспособность предприятий ТЭК — одна из самых важных задач государственного контроля.
В этом кейсе расскажем, как разработчик программного обеспечения для АСУ ТП предприятий энергетической отрасли выполнил требования безопасности регулирующих органов.
Кейс о том, как процессы безопасной разработки ПО помогают создавать системы для объектов критической информационной инфраструктуры
Топливно-энергетический комплекс (ТЭК) России является стратегическим сектором экономики страны и занимает одно из лидирующих мест по производству энергетических ресурсов в мире. Работоспособность предприятий ТЭК — одна из самых важных задач государственного контроля.
В этом кейсе расскажем, как разработчик программного обеспечения для АСУ ТП предприятий энергетической отрасли выполнил требования безопасности регулирующих органов.
Какую задачу решали
Компания «Вибробит» разработала программное обеспечение стационарной системы непрерывного измерения, контроля, мониторинга промышленных объектов, построенное на веб-технологиях. Система предназначена для применения в АСУ ТП предприятий сферы энергетики, относящимся к категории объектов критической информационной инфраструктуры (КИИ).
Все цифровые продукты, применяемые на объектах КИИ, должны соответствовать требованиям к безопасности прикладного программного обеспечения, которые сформулированы в пункте 29.3 Приказа №239 от 25.12.2017 Федеральной службы по техническому и экспортному контролю (ФСТЭК) России.
Все цифровые продукты, применяемые на объектах КИИ, должны соответствовать требованиям к безопасности прикладного программного обеспечения, которые сформулированы в пункте 29.3 Приказа №239 от 25.12.2017 Федеральной службы по техническому и экспортному контролю (ФСТЭК) России.
Научно-производственное предприятие «ВИБРОБИТ» — ведущий разработчик программно-аппаратных комплексов контроля, вибрационного мониторинга и диагностики технического состояния роторного оборудования ТЭЦ, ГРЭС, АЭС. Компания более 30 лет занимается реализацией проектов в области энергетики, а ее продукция применяется
в 18-ти странах.
в 18-ти странах.
Для дальнейшего участия в проектах автоматизации предприятий ТЭК компания «Вибробит» должна была обеспечить высокий уровень защиты своего ПО от киберугроз и доказать полное соответствие строгим нормативным стандартам регулирующих органов. Чтобы комплексно решить эту непростую задачу, специалисты НПП «Вибробит» обратились в Центр кибербезопасности УЦСБ.
Компетенции экспертов Центра кибербезопасности УЦСБ позволяют выполнять любые задачи, связанные с внедрением и проверкой процессов безопасной разработки (DevSecOps) — от аудита до сопровождения процесса сертификации разработок на соответствие требованиям регулирующих органов.
В 2024 году компания вступила в Ассоциацию организаций по оценке соответствия требованиям информационной безопасности (АООСТИБ) — это стало еще одним подтверждением высокой квалификации экспертов УЦСБ и перспектив развития сертифицированных решений центра в части внедрения процессов DevSecOps.
В 2024 году компания вступила в Ассоциацию организаций по оценке соответствия требованиям информационной безопасности (АООСТИБ) — это стало еще одним подтверждением высокой квалификации экспертов УЦСБ и перспектив развития сертифицированных решений центра в части внедрения процессов DevSecOps.
Что было сделано
У Центра кибербезопасности УЦСБ большой опыт реализации проектов по различным направлениям работы с КИИ, в том числе связанных с проведением анализа соответствия программных продуктов требованиям ФСТЭК России — об одном из них мы уже публиковали подробный рассказ.
Разрабатывая план проекта, наши специалисты разбили задачи на три этапа в соответствии с логикой представления требований к ПО в пункте 29.3 Приказа №239 ФСТЭК России, но выполняли их практически параллельно — для каждого пула задач в УЦСБ есть своя команда экспертов, и сроки на реализацию даже самых технически сложных проектов получаются максимально комфортными для заказчиков.
Для выполнения требований п.29.3.1 специалисты направления «Безопасная разработка» подготовили «Руководство по безопасной разработке ПО» и разработали модель угроз безопасности информации на исследуемые цифровые продукты НПП «Вибробит».
Разрабатывая план проекта, наши специалисты разбили задачи на три этапа в соответствии с логикой представления требований к ПО в пункте 29.3 Приказа №239 ФСТЭК России, но выполняли их практически параллельно — для каждого пула задач в УЦСБ есть своя команда экспертов, и сроки на реализацию даже самых технически сложных проектов получаются максимально комфортными для заказчиков.
Для выполнения требований п.29.3.1 специалисты направления «Безопасная разработка» подготовили «Руководство по безопасной разработке ПО» и разработали модель угроз безопасности информации на исследуемые цифровые продукты НПП «Вибробит».
“
«Модель угроз была создана по международной методике STRIDE, которая позволяет классифицировать и описывать атаки в зависимости от типа используемых уязвимостей или мотивации нарушителя. Мы уже применяли ранее эту методику в своих проектах, она непростая, но позволяет охватить максимальное количество возможных векторов атаки и сформировать наиболее полную модель для ПО со сложной архитектурой»
В рамках п.29.3.2 было выполнено статическое тестирование исходного кода и фаззинг-тестирование ПО. Эти меры позволили выявить и устранить уязвимости на ранних стадиях, обеспечив высокий уровень защиты.
Одной из особенностей проекта были языки программирования, на которых написано ПО «Вибробит» — C# и C++. Еще пару лет назад разобраться с тестированием такого ПО было сложной задачей для специалистов Центра кибербезопасности УЦСБ. Сегодня компетенции команды позволяют брать
на тестирование ПО, написанное практически на всех известных языках программирования и имеющее разный уровень сложности архитектуры.
на тестирование ПО, написанное практически на всех известных языках программирования и имеющее разный уровень сложности архитектуры.
“
«В ходе проекта было организовано оперативное взаимодействие между двумя компаниями — УЦСБ и командой разработчиков «Вибробит». Специалисты решали все возникающие технические вопросы, быстро погружались в особенности программного продукта, всех его модулей. Очень ценно, что найденные уязвимости и недочеты в безопасности ПО, команда разработки сразу же исправляла, мы совместно быстро двигались к реализации всех этапов проекта и сделали все необходимые проверки»
Для исполнения п.29.3.3 была разработана документация на исследуемое ПО: описание процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения, а также описание способов и сроков доведения информации об уязвимостях до пользователей, включая компенсирующие меры по защите информации и способы получения обновлений, методах проверки целостности и подлинности обновлений.
Какой результат получили
Программное обеспечение НПП «Вибробит» прошло необходимое проверки и получило заключение о соответствии требованиям пункта 29.3 Приказа №239 от 25.12.2017 ФСТЭК России. Cистема непрерывного измерения, контроля, мониторинга промышленных объектов, в основе которой лежит данное ПО, может использоваться на значимых объектах критической информационной инфраструктуры третьей категории.
“
«Хочу отметить, что мы получили не только соответствующую документацию на нашу систему, но и глубокое понимание процессов безопасной разработки. Узнали о недочетах в защищенности, получили конкретные рекомендации по их устранению и оперативно устранили. Со специалистами УЦСБ сложилось продуктивное взаимодействие. Важно, что компания имеет все необходимые компетенции для выполнения разных задач, связанных с информационной безопасностью, мы можем получить все услуги под ключ в оптимальные для вывода продукта на рынок сроки»
Обратиться за помощью к специалистам Центра кибербезопасности УЦСБ и интегрировать безопасные практики разработки можно на различных этапах жизненного цикла продукта. Однако наиболее эффективно задуматься о безопасности программного обеспечения на стадии проектирования — это позволит минимизировать риски возникновения уязвимостей, учесть строгие требования законодательства и избежать возможных проблем во время проверок.
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных