ГОСТ Р 56939-2024: аудит безопасной разработки и ключевые изменения стандарта

В конце декабря 2024 года вступил в силу Национальный стандарт РФ «Защита информации. Разработка безопасного программного обеспечения. Общие требования» (ГОСТ Р 56939-2024), заменивший ГОСТ Р 56939-2016. В аудит безопасной разработки внесены важные изменения.

1. Введение
2. О сути стандарта
   
   1. 2.1. Различия версий 2016 и 2024 годов
3. Аудит по ГОСТ Р 56939-2024. Методика, этапы и результаты
   
   1. 3.1. Итоги аудита
4. Выводы

Введение

Новый ГОСТ описывает построение и развитие процессов разработки безопасного программного обеспечения (РБПО) и предназначен для разработчиков и производителей ПО. Специалистам, связанным с разработкой и последующей сертификацией средств защиты информации, следует обратить особое внимание на данный стандарт. Согласно обновлённым требованиям ФСТЭК России (приказ от 30 июня 2025 г. № 230), при сертификации процессов РБПО средств защиты информации необходимо руководствоваться требованиями ГОСТ Р 56939-2024.

Кроме того, требования регулятора по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ) РФ в редакции Приказа ФСТЭК России от 28 августа 2024 г. № 159 дополнены новыми критериями в части безопасной разработки (п. 29.3). Эти критерии предъявляются к прикладному программному обеспечению, которое планируется внедрить в рамках создания (модернизации) значимого объекта КИИ. Результаты оценки ПО включаются в проектную документацию на значимый объект (подсистему безопасности значимого объекта) и представляются субъекту критической информационной инфраструктуры.

Учитывая возрастающие требования к сертификации процессов РБПО, аудит безопасной разработки становится актуальным и востребованным. Он также проводится в соответствии с требованиями ГОСТ Р 56939-2024.

О сути стандарта

ГОСТ Р 56939-2024 — национальный стандарт по разработке безопасного программного обеспечения. Он определяет требования и процессы, необходимые для обеспечения защиты информации на этапе создания, эксплуатации и сопровождения ПО, и направлен на формализацию и контроль мер, позволяющих минимизировать риски появления уязвимостей и инцидентов безопасности. Действие ГОСТа распространяется на организации, занимающиеся разработкой и сопровождением программных продуктов.

Различия версий 2016 и 2024 годов

В чём основные отличия новой версии стандарта от редакции 2016 года? ГОСТ Р 56939-2024 устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного ПО и устранением выявленных недостатков, в том числе уязвимостей и дефектов. Он учитывает рост и ужесточение требований к безопасности разработки, увеличение количества уязвимостей и инцидентов, связанных с их эксплуатацией, а также усиление контроля со стороны регуляторов.

Стандарт 2024 года учитывает требования смежных стандартов, принятых после 2016 года, обновлённые требования, в т. ч. к сертификации ПО и подтверждению его качества и безопасности. Все требования по безопасной разработке направлены на повышение зрелости процессов, снижение рисков, управление качеством разработки и экономии ресурсов, при одновременном повышении конкурентоспособности ПО и росте доверия партнёров.

Для облегчения восприятия мы соотнесли новые процессы со старыми мерами, чтобы упростить их понимание, и сделали акцент на тех, что появились впервые.

Рисунок 1. Сравнение старой и новой версии ГОСТа

Основные новшества:

• появился чётко структурированный процессный подход: выделено 25 процессов, каждый из которых сопровождается конкретными целями, требованиями к внедрению и регламентом оформления артефактов. Это является ключевым отличием от версии 2016 года, где такие требования отсутствовали;
• появилось 8 концептуально новых процессов, например, моделирование угроз, композиционный анализ и управление секретами;
• снижена неоднозначность трактовок за счёт детализации ключевых понятий, таких как поверхность атаки, сборочная среда и др.;
• сделан акцент на реальных процессах и результатах, а не на формальном соответствии;
• повышена прозрачность использования стандарта и управляемость процессами.

При проведении аудита безопасной разработки по требованиям нового ГОСТа стоит отметить хорошо формализованную и прозрачную структуру стандарта, уточнённую терминологию, снижающую риски неоднозначной интерпретации, и применимость требований на практике. В ГОСТе сделан акцент на автоматизации, системном управлении уязвимостями и безопасности инфраструктуры разработки. Чёткий перечень необходимых артефактов значительно упрощает подготовку документации. Разработчики получают «дорожную карту» по развитию процессов и повышению зрелости, а не просто списки мер, как это было в старой версии стандарта.

При этом стоит отметить рост объёма обязательных процессов и документации, например:

• появились новые виды анализа и тестирования, что требует дополнительных ресурсов и ПО;
• выросли требования к квалификации и регулярному обучению сотрудников, участвующих в разработке ПО;
• контроль цепочки поставок и сторонних компонентов требует интеграции новых инструментов и подходов.

Таким образом, подготовка к сертификации с учётом требований ГОСТ Р 56939-2024 и регуляторов стала более трудоёмкой.

Аудит по ГОСТ Р 56939-2024. Методика, этапы и результаты

Аудит проводится в несколько этапов. Основная цель аудита — оценить процессы разработки программного обеспечения на соответствие требованиям ГОСТ Р 56939-2024, а также сформировать понятный план улучшений для повышения эффективности и безопасности.

Первоначально определяется объект аудита (команды и проекты). Приоритет отдаётся критичности проектов и командам с более зрелыми процессами. Используя разработанные на базе требований ГОСТ Р 56939-2024 чек-листы, аудиторы проводят интервью команд и анализ внутренней документации. После чего даётся оценка фактических процессов на соответствие требованиям.

Что получает заказчик по итогам аудита? Детализированный отчёт по каждому требованию стандарта с оценкой соответствия, описанием выявленных проблем и рекомендаций по их устранению, тепловую карту соответствия процессов, на которой отражены сильные стороны и области для улучшения, и диаграмму зрелости, которая помогает оценить, какие направления требуют внимания и доработок.

Рисунок 2. Тепловая карта соответствия

Рисунок 3. Диаграмма зрелости

Итоги аудита

По итогам аудита разрабатывается дорожная карта с детальным планом внедрения и практико-ориентированный план развития, который включает:

• создание и утверждение регламентирующей документации, в т. ч. планы и внутренние нормативы;
• выбор конкретных инструментов на основе сравнительной характеристики и предложенных рекомендаций;
• внедрение технологических и организационных решений, направленных на полное исполнение требований;
• настройка интеграций, политик безопасности и механизмов контроля.

Порядок реализации мероприятий также основывается на дорожной карте.

Выводы

Аудит разработки программного обеспечения — важный инструмент, позволяющий системно оценить процессы и повысить качество и безопасность продуктов. Он даёт возможность получить объективную картину текущего состояния и определить зоны роста. Стандарт ГОСТ Р 56939-2024 играет ключевую роль в практическом упорядочении процессов разработки, задаёт чёткие требования и лучшие практики.

Аудит безопасной разработки обеспечивает устойчивое развитие и надёжность программных продуктов, что особенно важно в условиях постоянного развития технологий и растущих требований к безопасности.

Аудит разработки программного обеспечения — важный элемент предварительной подготовки к сертификации компании во ФСТЭК России.