Кейс УЦСБ: кастомный фаззинг подтвердил соответствие промышленного ПО требованиям ФСТЭК России

ИТ-компания УЦСБ реализовала для вендора «КомКонт Текнолоджис» проект по внедрению безопасной разработки и обеспечению соответствия его ПО пункту 29.3 Приказа ФСТЭК России № 239. Это позволило заказчику укрепить свой статус как надежного поставщика для объектов критической информационной инфраструктуры (КИИ). Об этом CNews сообщили представители УЦСБ.

ООО «КомКонт Текнолоджис» специализируется на технической поддержке систем управления турбомашинными агрегатами на базе промышленных программируемых логических контроллеров сторонних вендоров, а также разработке собственных программ и приложений для систем управления турбомашинными агрегатами на промышленных предприятиях. Компания соблюдает строгие регуляторные требования ФСТЭК России для поставки и внедрения своего ПО на объектах КИИ.

В рамках проекта команда УЦСБ выполнила не только стандартный пул работ от формирования документации до проведения испытаний, но и разработала кастомизированный инструмент для повышения эффективности фаззинг-тестирования.

«Нашей главной целью было получение официального заключения о соответствии прикладного ПО ПТК «Стоум» требованиям регуляторов. Без этого документа продукт не мог использоваться на объектах КИИ третьей категории значимости, что серьезно ограничивает его рыночные возможности. Бонусом стали экспертные рекомендации по повышению уровня зрелости процессов безопасной разработки нашего ПО, а также специализированный алгоритм фаззинг-тестирования, который еще не раз пригодится для оценки качества специализированного ПО, разработанного нашей компанией. Мы и ранее сотрудничали с УЦСБ, поэтому были уверены в компетенциях команды как в сфере безопасной разработки, так и защиты КИИ», – сказал главный инженер ООО «КомКонт Текнолоджис» Александр Сенцов.

Работа велась в несколько этапов с июля по ноябрь 2025 г. На старте проекта были созданы руководство по безопасной разработке ПО, модель угроз, а также регламенты по отслеживанию уязвимостей и информированию пользователей. Далее проводилась серия испытаний, в ходе которой специалисты выполнили статический анализ кода и фаззинг-тестирование. После перепроверки было разработано итоговое Заключение об оценке соответствия.

«В процессе испытаний мы столкнулись с вызовом: стандартные средства фаззинг-тестирования не подходили для систем программируемых логических контроллеров (ПЛК). Задачу решили разработкой специализированного инструмента для фаззинга ПЛК, адаптированного под архитектуру приложения ООО «КомКонт Текнолоджис». Этот подход решил проблему, заодно позволив провести испытания с более высокой эффективностью и точностью, чем при применении имеющихся на рынке аналогов. Тестирование, целенаправленно «заточенное» под продукт Заказчика, предоставило более информативные и достоверные результаты», – отметила заместитель руководителя направления безопасной разработки ИТ-компании УЦСБ Алла Очеретяная.

По итогам проекта заказчик получил официальное заключение о соответствии требованиям пункта 29.3 Приказа ФСТЭК России № 239, подтверждающее легитимность его использования на объектах КИИ. Кроме того, вендор ПО теперь четко представляет, какие потенциальные уязвимости могут быть в ИТ-решениях и как не допустить их на стадии проектирования и разработки. Это снижает вероятность дорогостоящих инцидентов информационной безопасности в будущем.

Успешное завершение текущего проекта открыло дорогу для дальнейшего сотрудничества. В планах сторон – работа по повышению категории значимости для объектов КИИ вплоть до первой, организация обучения для разработчиков и приведение процессов в соответствие с требованиями национального стандарта ГОСТ Р 56939-20024 «Защита информации. Разработка безопасного программного обеспечения».