25 процессов, около 200 артефактов и постоянные изменения в командах превращают поддержку требований РБПО в сложную задачу. Cloud.ru и Business Studio создали цифровую платформу, которая автоматически поддерживает актуальность процессов и документации.
- 1. Введение
- 2. Проблема: 25 процессов, 200 артефактов и документация, которая устаревает быстрее, чем обновляется
- 3. Решение Business Studio: оцифрованная архитектура процессов как живая система
- 4. Как устроена платформа сейчас: Business Studio + Wiki + ИИ-агент
- 5. Выводы
Введение
Cloud.ru — единственный российский облачный провайдер с сертификатом ФСТЭК России, подтверждающим соответствие процессов разработки безопасного программного обеспечения (РБПО) требованиям ГОСТ Р 56939-2024. Чтобы пройти все проверки и не допустить деградации практик в дальнейшем, компания с помощью ПО Business Studio выстроила цифровую платформу управления процессами — от оргструктуры и ролей до регламентов и артефактов.
Платформа работает непрерывно: она получает информацию об изменениях в командах и процессах, а при обновлении модели автоматически формирует новую документацию. Схема универсальна и подходит любой ИТ-компании, которая хочет пройти сертификацию РБПО или поддерживать актуальность процессов без постоянной ручной работы.
Проблема: 25 процессов, 200 артефактов и документация, которая устаревает быстрее, чем обновляется
Для соответствия ГОСТ Р 56939-2024 необходимо выстроить 25 взаимосвязанных процессов безопасной разработки, зафиксировать их во внутренних регламентах, внедрить требуемые инструменты и обучить команды. Сертификат выдаётся на 5 лет, но это не «индульгенция» — соответствие требованиям нужно подтверждать регулярно.
Структура документации — трёхуровневая:
- Руководство по разработке безопасного ПО.
- 25 регламентов — конкретные предписания для каждого процесса.
- Приложения к регламентам — инструкции, задачи и дополнительные материалы.
Итого — около 200 артефактов. Причём аудиторы ИСП РАН (Институт системного программирования Российской академии наук) — единственной организации на тот момент, имевшей право проводить сертификационные проверки по РБПО, — проверяли не только факт наличия документов, но и оценивали реальный уровень внедрения практик: проводили интервью с командами, анализировали работу технологического стека.
Главная проблема — динамичность процессов. В крупной ИТ-компании команды постоянно перестраиваются: меняются лидеры, роли, зоны ответственности. Если вся документация лежит в Word-файлах или на страницах Confluence, написанных вручную, любое кадровое изменение порождает лавину правок. При 25 взаимосвязанных процессах отследить все несоответствия практически невозможно.
Вначале Cloud.ru получил сертификат соответствия ФСТЭК России на платформу виртуализации Evolution Stack, которая обладает функциями защиты информации. Для работы с государственными заказчиками такие разработки должны быть сертифицированы, поэтому получение сертификата на РБПО с областью применения, в которую входит облачная платформа Evolution Stack, стало логичным шагом.
Наличие сертификата на процессы РБПО позволяет компании проводить необходимые испытания самостоятельно. Это значительно сокращает время выпуска сертифицированных версий и даёт возможность оперативнее реагировать на потребности заказчиков.
Для облачных провайдеров оценка имеет свою специфику. Облачная платформа — это сотни взаимосвязанных микросервисов с различным технологическим стеком, которые включают множество компонентов, поддержку которых обеспечивают десятки команд разработки. Такая архитектура требует сложной координации процессов безопасной разработки на каждом этапе жизненного цикла.
Решение Business Studio: оцифрованная архитектура процессов как живая система
Для построения бизнес-архитектуры Cloud.ru выбрал Business Studio — профессиональный инструмент процессного моделирования. В рамках проекта РБПО его возможности были задействованы системно. Business Studio оцифровала данные о бизнес-процессах, организационной структуре, ролях, артефактах, метриках и связях между всеми 25 процессами.
Что было занесено в модель:
- Организационная структура и иерархия команд.
- Роли исполнителей в каждом процессе (технические лиды, архитекторы, тестировщики).
- 25 процессов РБПО с полным описанием шагов, входов, выходов и связей.
- Все около 200 артефактов, привязанных к конкретным процессам и ролям.
Ключевое свойство системы — связность. Business Studio хранит не набор документов, а единую модель, где все объекты связаны явно. Если один процесс передаёт артефакт другому, эта связь зафиксирована. Система сама указывает на несоответствия: если связь не отражена или артефакт пропал, это видно в отчёте. При кадровых изменениях достаточно обновить организационную структуру в одном месте — и все регламенты, где фигурирует изменившаяся роль или команда, обновятся автоматически.
Как устроена платформа сейчас: Business Studio + Wiki + ИИ-агент
После того как процессы, роли, артефакты и связи между ними были перенесены в единую модель, возникла следующая задача — сделать эту информацию удобной для повседневной работы сотрудников. Для этого Cloud.ru выстроил многоуровневую платформу, которая не только автоматически публикует актуальную документацию, но и позволяет быстро находить нужные сведения через корпоративную базу знаний и инструменты на базе искусственного интеллекта.
Business Studio → HTML → Markdown → Wiki
Документы из Business Studio экспортируются в HTML, затем специализированный сервис автоматически конвертирует их в Markdown и публикует в корпоративной Wiki-системе Confluence. Документация доступна онлайн, её можно выгрузить в PDF. Синхронизация запускается автоматически каждую ночь; при необходимости можно инициировать внеплановое обновление вручную.
RAG-платформа на базе сервиса Evolution Foundation Models Cloud.ru
Поверх Wiki Cloud.ru развернул внутреннюю платформу на основе RAG-технологии, которая объединяет репозитории GitLab, страницы Wiki и другие внутренние источники. Пользователь через личный кабинет добавляет ссылки на нужные ресурсы, система их индексирует (полная обработка — около 15 минут) и строит графы взаимосвязей между сервисами, компонентами и документами.
Ключевое отличие от обычного поиска — ответы на вопросы в естественной форме. Разработчик спрашивает: «Какими средствами я могу читать логи?» — и получает конкретный ответ со ссылкой на нужный регламент, а не 25 документов для самостоятельного изучения. Ответы адаптированы под роль пользователя.
Платформа дополнительно умеет выявлять связи между микросервисами, проводить базовый security-аудит кода и формировать структуру обучающих курсов для новых сотрудников. Используется сервис Evolution Foundation Models Cloud.ru, обеспечивающий доступ к языковым моделям, все данные при этом остаются внутри инфраструктуры Cloud.ru. Дополнительно реализована интеграция с корпоративными чатами: бот-консультант отвечает прямо в переписке.
Выводы
Опыт Cloud.ru показывает, что поддержание соответствия требованиям РБПО — это не разовый проект по подготовке документов, а непрерывная работа с процессами, ролями и артефактами. При большом количестве взаимосвязей между командами и процессами ручное сопровождение документации становится слишком трудоёмким и неизбежно приводит к появлению несоответствий.
Использование Business Studio позволило превратить набор регламентов и инструкций в единую цифровую модель, где изменения автоматически распространяются на связанные процессы и документы. Это снижает нагрузку на сотрудников, упрощает подготовку к проверкам и помогает поддерживать актуальность требований по мере развития компании.
Дополнительным шагом стала интеграция с корпоративной базой знаний и ИИ-инструментами. Такой подход позволяет не только хранить информацию о процессах, но и быстро предоставлять сотрудникам нужные сведения с учётом их задач и ролей, повышая эффективность внедрения практик безопасной разработки.
Реклама, 18+. ООО «Облачные технологии». ИНН 7736279160
ERID: 2Vfnxw6ypwU
