Аудит процессов разработки безопасного ПО в компаниях

Ввод в действие ФСТЭК России приказа №240, регламентирующего Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации, сопровождается ажиотажным желанием компаний, судя по количеству обращений к нам, побыстрее сертифицировать процессы РБПО в своих компаниях. Однако стоит «остудить горячие головы», так как для получения заветного сертификата компаниям потребуется не только внедрить требуемый набор самых перспективных технологий безопасной разработки, но и защитить их перед экспертами-профессионалами в данной области. На момент 10 июня 2024 г. в реестре аккредитованных ФСТЭК России органов по сертификации присутствует только один орган, аккредитованный по 5 области, разрешающей сертификацию процессов РБПО – Институт системного программирования РАН им. В. П. Иванникова. Институт является бесспорным лидером в области создания технологий и методик анализа, сотрудник института В. А. Падарян является председателем подкомитета №4 «Безопасная разработка» в техническом комитете № 362.

С учетом этого, представляется вполне обоснованным проведение предварительной оценки готовности компании к сертификации своих процессов РБПО, и последующей доработки регламентов и процессов перед подачей заявки на сертификацию. В этом, в значительной степени, может помочь предлагаемый нами аудит процессов разработки безопасного ПО в ваших компаниях.

Данный аудит заключается в проверке соответствия реализованных в компании процессов, требованиям обновленного ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», а также, по запросу заказчика, требованиям Методики ВУ и НДВ ФСТЭК России (в части конкретных инженерных практик) и комплекту лучших практик.

Аудит проводится в форме онлайн и офлайн собеседований с представителями команд разработки и сервисных команд, направленных на непосредственный анализ уровня знаний, глубины и регулярности выполнения практик. Собеседования сопровождаются демонстрацией технологических артефактов, подтверждающих глубину, качество и регулярность выполнения соответствующих практик. При этом сам факт наличия тех или иных регламентов (документов) в компании является только поводом для вопросов аудитора, но сам по себе не является подтверждением выполнения компанией требований ГОСТ.

Результаты аудита позволят сформировать дорожную карту внедрения и развития процессов безопасной разработки в компании, оценить ресурсозатраты, оценить готовность к подаче заявки на прохождение сертификации процессов РБПО.

Компетенции наших экспертов в проведении аудита процессов разработки безопасного ПО в компаниях и их соответствия сертификационным требованиям, заключаются:

  • опыт проведения аудита в различных средних и крупных компаниях, в том числе АО «Лаборатория Касперского» - основном разработчике ГОСТ Р 56939-2024;
  • непосредственное участие в разработке нормативно-методической базы в данной области. НТЦ Фобос-НТ является соавтором принятого ГОСТ Р 56939-2024, соавтором разрабатываемого ГОСТ «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования»;
  • квалификацией сотрудников, являющихся активными участниками сообщества Центра компетенций ФСТЭК России и ИСП РАН, и преподавателями на курсах ФСТЭК России по фаззинг-тестированию и архитектурному анализу.

Состав, перечень, формат услуг по аудиту процессов разработки безопасного ПО, их ориентировочную стоимость и другие интересующие вас вопросы, можно уточнить, написав Хрыкову Сергею Владимировичу и Пономареву Дмитрию Владимировичу .

Отзывы о работе с нами

Отзыв от ИСП РАН

Арутюн Ишханович Аветисян

Академик РАН, Директор Института системного программирования РАН

Давно работаем с коллегами из «Фобос-НТ». Они умеют выстраивать все РБПО-процессы на нужном технологическом уровне и обладают колоссальным практическим опытом. Для нас очень полезны обратные связи от «Фобоса» по нашим инструментам и работе с нормативными документами. Внимательно выслушиваем…

Прочитать полностью...

Отзыв от компании Базальт СПО

Трандин Сергей

Генеральный директор "Базальт СПО"

«Базальт СПО» сотрудничает с НТЦ «Фобос-НТ» более 3 лет. За это время лаборатория показала себя как надежный партнер в области защиты конфиденциальной информации. «Фобос-НТ» активно продвигает методы безопасной разработки, что созвучно с принципиальной позицией «Базальт СПО». Благодаря продуктивному…

Прочитать полностью...

Отзыв от компании Postgres Professional

Панченко Иван

Заместитель генерального директора и сооснователь Postgres Professional

Фобос-НТ — признанные эксперты и активные проводники SDL в России. За годы сотрудничества они помогли нам внедрить методы безопасной разработки и сопровождают процесс сертификации при выпуске обновлений СУБД Postgres Pro. Требовательные, и в то же время всегда готовы помочь советом или дополнительными…

Прочитать полностью...

Отзыв от компании БЕЛЛСОФТ

Карпов Роман Дмитриевич

Директор по стратегии и развитию технологий Axiom JDK

Для нас, профессиональных разработчиков OpenJDK, несмотря на промышленный процесс производства ПО включая практики безопасной разработки, выбор партнера по сертификации ФСТЭК был очень трепетный. На тот момент для нас это был новый рынок о котором мы ничего не знали. Учитывая мой колоссальный опыт в…

Прочитать полностью...

Отзыв от компании Гарда Технологии

Пономарев Владимир

Заместитель генерального директора ООО «Гарда Технологии»

С лабораторией мы сотрудничаем уже много лет, и коллеги всегда показывали себя с самой лучшей стороны – и как профессионалы, и в плане чисто человеческого общения.  Оглядываясь назад, могу с уверенностью сказать, что объем полученных нами знаний и опыта сильно превосходит формальные требования контрактных обязательств,…

Прочитать полностью...

Отзыв от компании Аладдин

Бауткин Антон

Компания Аладдин. Руководитель отдела обеспечения безопасной разработки.

Успешные завершенные проекты сертификации решений Аладдин на соответствие требованиям ФСТЭК – лучшее доказательство профессионализма и глубокой экспертизы испытательной лаборатории Фобос-НТ. В подобных проектах разработчику решений невозможно обойтись без оперативной, грамотной работы и поддержки…

Прочитать полностью...

Отзыв от ООО «НПЦ «КСБ»

Сергеев Сергей Николаевич

Генеральный директор ООО «НПЦ «КСБ»

НТЦ «Фобос-НТ» - надежный партнер! Коллеги умеют грамотно подойти к делу, что обеспечивает необходимый уровень профессионализма, и, что немаловажно постоянно вкладываются в собственное образование, освоение и развитие передовых практик и инструментов ApplicationSecurity. Часто совместно работаем…

Прочитать полностью...

Отзыв от компании Айдеко

Коренберг Марк

СТО ООО "Айдеко"

Единственная лаборатория, в которой специалисты действительно могут сказать что именно нужно делать: разъяснить что означают требования, какую документация как нужно писать, предлагают инструменты и др. В общем — чувствуется помощь и поддержка. Смотрят вглубь продукта, задают неудобные вопросы,…

Прочитать полностью...

Отзыв от компании BI.ZONE

Меджлумов Муслим Асфендерович

Директор по продуктам и технологиям BI.ZONE

Мы выражаем благодарность компании Фобос-НТ за помощь с проектом по сертификации продукта BI.ZONE WAF. Для нашей компании это был первый опыт сертификации продуктов в системе ФСТЭК. Поэтому нам было важно не только решить задачу по сертификации отдельного решения, но и выстроить этот процесс…

Прочитать полностью...

Отзыв от компании

Смирнов Алексей Алексеевич

Генеральный директор ООО «Профископ»

Наша команда сотрудничает с Фобос-НТ относительно недавно, и мы уже на 100% убедились, что это компания с адекватным упором на экспертизу и технологии, с адекватным восприятием нормативной базы. Совместно ведем работу по разработке стандартов безопасной разработки в ТК 362 ФСТЭК России и проходим…

Прочитать полностью...

Отзыв от МГТУ им. Баумана

Сычев Михаил Павлович

Первый заместитель заведующего кафедрой ИУ10 «Защита информации» МГТУ им. Н.Э. Баумана

МГТУ им. Н.Э. Баумана в лице кафедры ИУ10 «Защита информации» имеет пока еще непродолжительный, но при этом крайне положительный опыт работы с испытательной лабораторией «Фобос-НТ», выражает сердечную благодарность руководству и коллективу «Фобос-НТ» за безупречный подход и всестороннюю поддержку…

Прочитать полностью...

Отзыв от ООО

Мартиросов Давид

Генеральный директор ООО "Базис"

Команда БАЗИСа начала сотрудничество с НТЦ "Фобос-НТ" в 2023 году и я уже сейчас могу заявить, что это настоящие профессионалы своего дела. Успешное обновление сертификата ФСТЭК в сжатые сроки с проведением всех необходимых исследований и с качественной проверкой защиты информации стало результатом…

Прочитать полностью...

Последние новости

Информационное письмо ФСТЭК России
25/09/2024

Информационное письмо ФСТЭК России

В адрес лабораторий и разработчиков поступило информационное письмо ФСТЭК России об изменении порядка исследования критичных компонентов с открытым исходным кодом при проведении испытаний.

Ecumene 2024: Участие Фобос-НТ
17/09/2024

Ecumene 2024: Участие Фобос-НТ

17 сентября прошел Глобальный форум Ecumene 2024, одной из тем которого была «Информационная безопасность».