Лаборатория Касперского прошла сертификацию процессов безопасной разработки

Яков Шпунт 22 Октября 2024 - 21:58

Корпорации

Лаборатория Касперского

Средства защиты веб-сайтов (приложений)

Безопасная разработка приложений (DevSecOps)

Соответствие требованиям регуляторов

Соответствие законодательству РФ

Сертификаты ФСТЭК

...

Лаборатория Касперского прошла сертификацию процессов безопасной разработки

«Лаборатория Касперского» стала первой компанией в России, которая получила сертификат ФСТЭК России о соответствии процессов безопасной разработки программного обеспечения требованиям ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

При этом сертификация проведена как по действующей редакции ГОСТ Р 56939-2016, так и по новой ГОСТ Р 56939-2024. Требование соответствию ГОСТ Р 56939 уже включается во все проводимые коммерческие конкурсы и прописано в документах всех значимых отраслей, включая медицину, транспорт, финансовую сферу и объекты критической информационной инфраструктуры.

Сертификация, когда регулятор проверяет соответствие ГОСТ не на уровне отдельного программного обеспечения, а на уровне компании, начала проводиться с 1 июня 2024 года. Тогда же получил аккредитацию первый и пока единственный орган по сертификации в данной области — Институт системного программирования Российской академии наук им. В. П. Иванникова (ИСП РАН).

«„Лаборатория Касперского” начала внедрять практики безопасной разработки задолго до того, как стали предъявлять те или иные требования по этой части регуляторы и заказчики. Мы первыми поддержали ФСТЭК России, когда требования ГОСТ 2016 года стали обязательными к выполнению при сертификации продуктов. Мы вошли в рабочую группу с ИСП РАН и испытательной лабораторией НТЦ „Фобос-НТ”, апробировали новые инструменты и подходы, на практике показали, что документ выполним. Но жизнь менялась, с каждым годом запрос на безопасность растёт, и пришла пора актуализировать ГОСТ, что мы и сделали в инициативном порядке. Поэтому мы особенно гордимся тем, что первыми в отрасли получили сертификат соответствия, — комментирует Карина Нападовская, руководитель центра сертификации и соответствия стандартам в „Лаборатории Касперского”. — Этот процесс требовал больших ресурсов и серьёзной подготовки. Во многих тендерах уже присутствуют требования к безопасной разработке, и сертификат даёт нам значительные конкурентные преимущества. Мы предлагаем заказчикам первоклассные и соответствующие всем требованиям регуляторов решения по защите информации».

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 05 Июня 2026 - 15:29

Уязвимости программ Соответствие законодательству РФ Общее Средства поиска уязвимостей Соответствие требованиям регуляторов

ФСТЭК обновила правила поиска уязвимостей и скрытых возможностей в ПО

ФСТЭК России утвердила новую методику выявления уязвимостей и недекларированных возможностей в программном обеспечении. Проще говоря, регулятор обновил правила, по которым будут искать дыры, ошибки и потенциально опасные функции в софте, проходящем сертификацию.

Новый документ предназначен прежде всего для испытательных лабораторий и разработчиков, которые участвуют в сертификации средств защиты информации, защищённого программного обеспечения и программно-аппаратных комплексов.

Методика будет применяться как при первичной сертификации продуктов, так и при внесении изменений в уже сертифицированные решения.

Особое внимание документ уделяет разработчикам средств защиты информации. Им рекомендуют использовать положения новой методики для выстраивания внутренних процессов безопасной разработки программного обеспечения в соответствии с требованиями ГОСТ Р 56939-2024.

Фактически речь идёт о том, чтобы искать потенциальные проблемы не только на финальном этапе испытаний, но и на протяжении всего жизненного цикла продукта.

При этом ФСТЭК официально отправила на пенсию предыдущую версию документа. Методика выявления уязвимостей и недекларированных возможностей, утверждённая ещё 25 декабря 2020 года, больше не применяется.

Для рынка информационной безопасности это не просто бюрократическое обновление. Методики ФСТЭК напрямую влияют на то, как проходят сертификацию российские средства защиты информации, какие проверки проводят лаборатории и какие требования предъявляются к разработчикам.

А учитывая, что количество уязвимостей в программном обеспечении продолжает расти, а требования к безопасной разработке становятся всё жёстче, обновление правил игры было лишь вопросом времени.

Так что разработчикам защищённого ПО, испытательным лабораториям и ИБ-подразделениям теперь придётся сверяться уже с новым набором требований. Старые инструкции официально ушли в архив.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!