Команда Уральского центра систем безопасности (УЦСБ) проверила программный комплекс Альфа платформа разработки Атомик Софт на соответствие требованиям Приказа №239 ФСТЭК России от 25.12.2017 для применения на объектах критической информационной инфраструктуры (КИИ).
В связи с тем, что ПО Альфа платформа используется в проектах автоматизации объектов КИИ, где компании и регулирующие органы предъявляют высокие требования к информационной безопасности и защите таких объектов, а также для повышения уровня безопасности своего программного обеспечения, разработчику Атомик Софт было необходимо обеспечить полное соответствие ПО Альфа платформа требованиям регулятора. Для проведения комплексного тестирования и разработки сопроводительной документации, подтверждающей соответствие требованиям по безопасной разработке, разработчики обратились к специалистам Центра кибербезопасности УЦСБ.
Работы были проведены в три этапа в соответствии с пунктом 29.3 Приказа №239 ФСТЭК России. В частности, для исполнения требования пункта 29.3.1 эксперты УЦСБ разработали «Руководство по безопасной разработке ПО» и подготовили модель угроз информационной безопасности для Альфа платформы. При создании модели угроз команда проекта использовала международную методику STRIDE с широким охватом анализируемых векторов атаки на компоненты ПО. Она оптимально подходит для сложных программных комплексов с множеством функциональных модулей.
Для исполнения пункта 29.3.2 эксперты также провели комплекс испытаний по выявлению уязвимостей в Альфа платформе, включая проведение статического анализ исходного кода и фаззинг тестирования ПО.
«Мы реализуем системный подход к постановке процессов безопасной разработки (DevSecOps) — от аудита до сопровождения процесса сертификации разработок на соответствие требованиям регулирующих органов. Наши специалисты помогут внедрить инструменты безопасной разработки на любом этапе зрелости программного продукта, подготовить документы на соответствие требованиям регуляторов, а также оказать поддержку эксплуатации в формате периодического тестирования защищенности ПО. Наличие экспертных команд в УЦСБ позволяет вести параллельно работы по разным этапам, тем самым существенно экономя время и повышая качество выполняемых задач», — комментирует Евгений Тодышев, руководитель направления «Безопасная разработка» УЦСБ.
Для исполнения пункта 29.3.3 Приказа №239 ФСТЭК России специалисты УЦСБ разработали документы с описанием процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения. Такая информация в дальнейшем поможет разработчикам предотвращать случайное внедрение уязвимостей, тем самым повысить устойчивость цифрового продукта к воздействию вредоносных программ и несанкционированному доступу.
В результате проекта Атомик Софт подтвердил зрелость процессов безопасной разработки ПО «Альфа платформа» и получил заключение УЦСБ о соответствии требованиям пункта 29.3 Приказа №239 ФСТЭК России. Таким образом, программный комплекс может использоваться на значимых объектах критической информационной инфраструктуры второй и третьей категории. У компании есть полный пакет подтверждающей документации для Альфа платформы.
«Качество разработки, уровень защищенности решений компании очень важны для нас и наших клиентов. Функциональные возможности программной платформы позволяют реализовывать проекты автоматизации технологических и производственных процессов практически любой сложности и применять наш продукт на объектах КИИ. Благодаря проведенным работам на соответствие требованиям ФСТЭК России у нас есть документальное подтверждение соответствия высоким стандартам безопасности», — отметил Кирилл Силкин, технический директор Атомик Софт.
О компаниях
Атомик Софт — ведущий российский разработчик программного обеспечения для автоматизации промышленных и гражданских объектов.
Альфа платформа — инструментальная программная платформа, разработанная «Атомик Софт» для создания АСУ ТП и многоуровневых систем диспетчеризации. Применяется для построения высоконадежных систем постоянного мониторинга и управления технологическим оборудованием и производственными процессами на предприятиях.
*
Центр кибербезопасности — объединение профильных компетенций Уральского центра систем безопасности (УЦСБ) по внедрению передовых практик и технологий для защиты критически важных систем от цифровых угроз.
Экспертиза УЦСБ позволяет проводить комплексные аудиты защищенности и выстраивать процессы безопасной разработки ПО для технически сложных программных продуктов и систем, в том числе предназначенных для внедрения на объектах КИИ.
По версии аналитических агентств CNews Analytics и TAdviser, УЦСБ входит в топ-100 крупнейших российских ИТ-компаний и в топ-15 крупнейших поставщиков решений для защиты информации.
За 17 лет работы УЦСБ реализовал более 2000 проектов для государственных предприятий, компаний из банковского сектора, нефтегазовой, топливно-энергетической, машиностроительной и других отраслей промышленности.