Компания УЦСБ завершила для вендора «КомКонт Текнолоджис» проект по внедрению практик безопасной разработки и приведению его программного обеспечения в соответствие с требованиями пункта 29.3 Приказа ФСТЭК России № 239. Данная работа укрепила позиции заказчика как ответственного поставщика для объектов критической информационной инфраструктуры (КИИ). Об этом CNews сообщили в УЦСБ.
ООО «КомКонт Текнолоджис» занимается техническим сопровождением систем управления турбоагрегатами на базе промышленных программируемых контроллеров (ПЛК) других производителей, а также созданием собственного программного обеспечения для таких систем на промышленных объектах. Компания строго следует требованиям ФСТЭК России, необходимым для поставки и внедрения её ПО на объектах КИИ.
В ходе проекта специалисты УЦСБ не только выполнили стандартный комплекс работ — от подготовки документов до проведения испытаний, — но и создали уникальный инструмент для повышения эффективности фаззинг-тестов.
«Ключевой задачей для нас было получение официального заключения о соответствии программного комплекса «Стоум» регуляторным нормам. Без этого документа использование продукта на объектах КИИ третьей категории значимости было невозможно, что существенно сужало его рыночные перспективы. Дополнительным преимуществом стали экспертные рекомендации по совершенствованию процессов безопасной разработки, а также специальный алгоритм для фаззинг-тестирования, который будет неоднократно применяться для оценки качества нашего специализированного ПО. Мы уже имели опыт сотрудничества с УЦСБ и были уверены в высокой квалификации их команды как в области безопасной разработки, так и в защите КИИ», — прокомментировал главный инженер ООО «КомКонт Текнолоджис» Александр Сенцов.
Работы проводились поэтапно с июля по ноябрь 2025 года. На начальной стадии были разработаны руководство по безопасной разработке, модель угроз, а также процедуры отслеживания уязвимостей и оповещения пользователей. Затем была проведена серия испытаний, включавшая статический анализ кода и фаззинг-тестирование. После дополнительной проверки было сформировано итоговое Заключение об оценке соответствия.
«В процессе испытаний мы столкнулись со сложностью: типовые инструменты фаззинг-тестирования оказались неприменимы к системам на базе программируемых логических контроллеров (ПЛК). Проблему удалось решить, создав специализированный инструмент для фаззинга ПЛК, учитывающий архитектуру приложения «КомКонт Текнолоджис». Этот подход не только устранил препятствие, но и позволил провести испытания с более высокой эффективностью и точностью по сравнению с использованием рыночных аналогов. Тестирование, настроенное под конкретный продукт Заказчика, дало более содержательные и надежные результаты», — добавила заместитель руководителя направления безопасной разработки УЦСБ Алла Очеретяная.
В результате проекта клиент получил официальный акт соответствия требованиям пункта 29.3 Приказа ФСТЭК России № 239, удостоверяющий правомерность применения продукта на объектах критической информационной инфраструктуры (КИИ). Помимо этого, поставщик программного обеспечения теперь ясно понимает, какие возможные слабые места могут присутствовать в ИТ-решениях, и как предотвратить их на этапах проектирования и создания. Это уменьшает риски возникновения затратных инцидентов в сфере информационной безопасности в перспективе.
Удачная реализация данного проекта создала основу для продолжения совместной работы. Стороны планируют деятельность по повышению категории значимости объектов КИИ до первой, проведение обучающих программ для разработчиков, а также приведение процедур в соответствие с положениями национального стандарта ГОСТ Р 56939-20024 «Защита информации. Разработка безопасного программного обеспечения».
