Сертификация безопасной разработки от ФСТЭК: зачем это нужно и почему на рынке всего 7 обладателей сертификатов РБПО

С июня 2024 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) проводит сертификацию процессов безопасной разработки (РБПО). При такой сертификации регулятор проверяет на соответствие не отдельное ПО, а всю компанию, удостоверяясь в том, что процессы в организации отлажены, а производимый продукт безопасен.

Спустя почти два года в специализированном реестре ФСТЭК всего семь компаний прошли все необходимые процессы для получения этого сертификата. В перечень, в соответствии с датой выдачи сертификатов, входят:

1. «Лаборатория Касперского»;
2. «СберТех»;
3. «РусБИТех-Астра»;
4. «ИнфоТеКС»;
5. Positive Technologies;
6. «Открытая мобильная платформа»;
7. Postgres Professional.

Прохождение сертификации — нетривиальная задача. Как отмечает руководитель центра сертификации и соответствия стандартам «Лаборатории Касперского» Карина Нападовская, стандарт содержит требования к 25 процессам разработки. Они касаются как организационных мероприятий (планирование, обучение), так и технических — статический и динамический анализ кода, композиционный анализ, тестирование уязвимостей и так далее.

«Кроме того, в ходе проверки организуется диалог с исполнителями этих процессов, — добавляет руководитель отдела методологии и сертификации Positive Technologies Дарья Голубовская. — Проверяющие убеждаются, что каждый из них обладает достаточной квалификацией и понимает внутреннее устройство процессов безопасной разработки в той части, за которую он отвечает».

В основе оценки лежит национальный стандарт ГОСТ Р 56939-2024, который задает требования к порядку и содержанию работ по созданию безопасного ПО и устранению его уязвимостей, отмечает руководитель отдела ИБ Postgres Professional Валерий Попов. Важно, что стандарт применяется в комплексе с другими профильными ГОСТами. На практике это означает, что задачу подготовки не удастся делегировать разработчикам — она требует прямого участия руководства и выделения значительных ресурсов. Помимо этого нужно выстроить сквозные процессы и описать их в регламентах и инструкциях, внедрить необходимые инструменты безопасности в инфраструктуре разработки, обучить команды. В итоге путь одной только подготовки к сертификации занимает немало времени.

«Если говорить коротко, ключевое требование — это реальное, а не формальное внедрение культуры безопасной разработки во всей компании», — подчеркивает Попов.

Таким образом, требования, выдвигаемые для соискателей сертификации, охватывают весь цикл разработки — от формирования требований к продукту, проектирования, разработки и тестирования до вывода релиза в промышленную эксплуатацию. Но и на этом, как говорит руководитель направления безопасной разработки и инфраструктуры «ИнфоТеКС» Анастасия Калугина, работа не заканчивается.

«При этом вывод продукта на рынок не является завершающей вехой безопасной разработки. Обязательный критерий — наличие в организации выстроенных процессов регулярного выявления, оценки и устранения уязвимостей ПО, находящегося в эксплуатации», — отмечает эксперт.

Как отмечает Попов, проверку проводит орган по сертификации — он всесторонне изучает компанию на ее территории. Оценка касается следующих компонентов:

1. Соответствие документации требованиям стандарта;
2. Фактическая работа процессов — насколько реальная практика соответствует написанным правилам;
3. Наличие и использование необходимого инструментария разработки и анализа кода;
4. Квалификация и достаточная численность ответственных сотрудников;
5. Инструментальный контроль (например, сборка ПО в специальной среде) для объективного подтверждения реализации процессов.

Именно комплексность проверки, как отмечает эксперт, приводит к тому, что владельцев сертификатов на рынке не так много.

«Это закономерный и даже показательный результат. Внедрение культуры РБПО — это не проставление галочки в одном процессе, а глубокая трансформация всей компании. Это сквозная методология, которая требует участия руководства, смены мышления команды, внедрения новых инструментов, постоянного обучения и строгого соблюдения стандартов. По сути, это новая философия работы, которую нельзя внедрить за месяц», — подчеркивает эксперт.

Голубовская из Positive Technologies дополняет мнение коллеги: не каждая компания готова полностью организовать РБПО, это требует значительных трудовых и финансовых ресурсов. Помимо этого, на это уходит много времени — сертификация может занять до полугода активной работы с органом сертификации. Так что владельцами сертификата, как правило, оказываются крупные компании и лидеры рынка. Сказывается и кадровая ситуация на рынке.

«На рынке наблюдается острая нехватка специалистов в области AppSec/DevSecOps, что препятствует широкому распространению практик безопасной разработки», — отмечает Голубовская.

При этом, по словам Нападовской из «Лаборатории Касперского», в России есть всего два органа по сертификации — причем второй получил соответствующую аккредитацию в середине 2025 года. До этого действовал лишь один.

«Указанное обстоятельство вызвало большую загруженность органов по сертификации, которая остается такой и на сегодняшний день», — говорит Нападовская.

Эксперты выводят на первый план разные преимущества, которые получают компании от прохождения сертификации. По мнению Нападовской из «Лаборатории Касперского», ключевое преимущество — это то, что организации получают вместе с ним право самостоятельно проводить сертификационные испытания разрабатываемых продуктов в случае внесения в них любых изменений.

«Проведение самостоятельных испытаний существенно сокращает сроки и затраты на пересертификацию продуктов», — подчеркивает эксперт.

Попов из Postgres Professional сходится во мнении с Нападовской, но выносит на передний план экономию и эффективность. Внедренные процессы позволяют находить и устранять дефекты безопасности на самых ранних этапах — на стадии проектирования. На его взгляд, это делает разработку в разы дешевле — особенно если сравнивать с ликвидацией инцидентов после выпуска продукта.

А Голубовская из Positive Technologies отмечает, что наличие такого сертификата — это гарантия качества и безопасности. Компания может уверенно заявлять о качестве продукта и отсутствии актуальных уязвимостей в нем. Выявление недостатков на ранних этапах помогает поддерживать репутацию компании. Впрочем, и экономию на ликвидации инцидентов Голубовская, как и Попов, тоже отмечает.

Жесткие требования по сертификации также косвенно помогают компаниям притягивать сильные кадры, отмечает Попов. По его словам, культура безопасной разработки и современный инструментарий делают компанию «привлекательной для сильнейших специалистов, создавая среду, в которой приятно и престижно работать».

Директор по информационной безопасности «Группы Астра» Дмитрий Сатанин также отмечает, что все эти преимущества складываются в то, что для заказчика сертификат соответствия РБПО становится «своеобразным отраслевым знаком качества».

Попов из Postgres Professional отмечает, что внедрение сертификатов РБПО — «это закономерный этап взросления IT-рынка и системный ответ на растущие киберугрозы». Сертификат устанавливает общую планку, и разработчики получают готовую, выверенную методологию, вместо того чтобы «изобретать велосипед». Он также устраняет асимметрию информации — заказчики из госсектора или финансов, благодаря ведению сертификации, получают объективное и проверяемое доказательство зрелости процессов поставщика. Кроме того, все это стимулирует инвестиции в безопасность — сертификация трансформирует безопасность из статьи затрат в конкурентный актив, который можно подтвердить и монетизировать.

«Создаются прозрачные правила игры: заказчик получает надёжный критерий выбора, ответственный разработчик — весомое преимущество, а регулятор — инструмент для повышения общей цифровой устойчивости», — резюмирует эксперт.

Ранее SecPost публиковал детальный разбор нового приказа ФСБ № 554. Он запрещает техподдержку иностранными вендорами, обязывает анализировать поведение пользователей и автоматически передавать данные об инцидентах в ГосСОПКА.