17 декабря 2025 г.
Рис. 1. Жизненный цикл разработки ПО. Источник: АО «НПО Эшелон», декабрь 2025 г.
Рис. 2. Инструменты, необходимые для тестирования ПО c точки зрения его безопасности. Источник: АО «НПО Эшелон», декабрь 2025 г.
На это обратили внимание многие спикеры «Дня безопасной разработки ПО», прошедшего 10 декабря в рамках Открытой Конференции Института системного программирования Российской Академии наук и организованного АРПП «Отечественный софт» при участии ИСП РАН. О степени интереса к методам разработки безопасного ПО (РБПО), среди прочего, говорит то, мероприятие собрало около 200 очных участников и более 700 «онлайновых». В течение восьми часов их вниманию были представлены свыше 15 докладов.
Одну из главных тем этого Дня можно в самом общем виде можно обозначить так: «Как нам обеспечить соответствие требованиям ГОСТ Р 56939-2024 „Защита информации. Разработка безопасного программного обеспечения“?» Если не всем, то хотя бы некоторым. Напомним: данный стандарт — он пришел на смену ранее действовавшему, но уже во многом устаревшему стандарту ГОСТ Р 56939-2016 — активно обсуждался в июне прошлого года во время двухчасового круглого стола «Национальные стандарты по разработке безопасного программного обеспечения», собравшего около двухсот ИТ-специалистов и состоявшегося в рамках XI научно-практической конференции «OS DAY. Архитектурные аспекты безопасности операционных систем». Тогда ведущий этого стола Андрей Духвалов, вице-президент, директор департамента перспективных технологий «Лаборатории Касперского», отметил: «Безопасность — это такое же свойство разрабатываемой системы, как и любая другая функциональность. И проектировать свойства безопасности нужно одновременно с проектированием системы в целом. А, значит, и требования к безопасности системы нужно предъявлять одновременно с остальными требованиями».
В настоящее время официальную сертификацию на соответствие требованиям cтандарта ГОСТ Р 56939-2024 прошли 7 компаний. На конференции ИСП РАН их имена были озвучены 9 октября в докладе заместителя начальника второго управления ФСТЭК России Ирины Гефнер «Развитие нормативных правовых актов и стандартов в области разработки безопасного ПО». Она напомнила, что порядок сертификации процессов разработки безопасного программного обеспечения СЗИ утвержден приказом ФСТЭК России от 1 декабря 2023 г. № 240 и сообщила, что к настоящему времени было поданы 18 заявок на сертификацию. Но лишь 14 заявителей получили положительные решения на проведение сертификации.
Много это или мало? Для сравнения: в Реестре аккредитованных ИТ-компаний Минцифры сейчас содержатся сведения примерно о 25 тыс. компаний, а в Едином реестре отечественного ПО — о более чем 10 тыс. правообладателях. Кроме того, существует множество ИТ-стартапов, находящихся на разных стадиях жизненного цикла, и разработчиков ПО, относящихся к категории МСП и не входящих ни в какие Реестры.
В упомянутом выше ГОСТ Р 56939-2024 содержится общее описание 25 процессов обеспечения методов РБПО. Казалось бы, использовать если не все эти процессы, то хотя бы некоторые из них должны практически все компании, занимающиеся разработкой тиражируемого или заказного ПО. Однако в реальности это не так. Вот что рассказал руководитель Комитета по информационной безопасности АРПП «Отечественный софт», директор по стратегии и развитию технологий Axiom JDK Роман Карпов: «По нашим оценкам, несколько лет назад интерес к методам РБПО проявляли лишь 3-5% разработчиков ПО. К настоящему времени эта цифра увеличилась до 20%. Мы предполагаем, что в обозримом будущем она вырастет примерно до 50%».
С этими оценками согласен Сас Арустамян, директор Центра оценки соответствия и тестирования АО «НПО Эшелон». По его мнению, росту интереса компаний к методам РБПО способствует постоянное ужесточение требований ФСТЭК к безопасности разрабатываемого и используемого ПО, а также повышение внимания к вопросам обеспечения ИБ со стороны отраслевых стандартов.
К идее создания многоцветной «тепловой карты», характеризующей важность и/или степень востребованности тех или иных процессов обеспечения методов РБПО, Сас Арустамян отнесся отрицательно. Заметив, что степень важности каждого из 25 процессов, упомянутых в ГОСТ Р 56939-2024, сильно зависит от размеров и специфики компании. В то же время он отметил: «Чтобы разрабатывать конкурентноспособные продукты, необходимо учитывать требования разработки безопасного ПО. При этом важно понимать, что безопасность ПО — это не просто этап тестирования, а качество, закладываемое на каждом этапе жизненного цикла разработки ПО (рис. 1). Более того, о безопасности продукта необходимо задумываться задолго до написания первой строчки кода. Однако разработка безопасного ПО возможна только в случае существования общей культуры ответственности на уровне компании. Да, можно использовать различные инструменты (некоторые из них перечислены на рис. 2), но внедрить РБПО не для галочки, а по существу, возможно только при активном содействии руководства компании. Ведь принять решение в выборе между „сделать дешевле и быстрее“ и „сделать безопаснее“ может только оно».
Источник: Владимир Митин
