Войти

IT-импортозамещение в РФ становится фактом

0

IT ГОСТ

В октябре 2024 года Росстандарт утвердил новые правила для IT сектора в виде ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования». В нем обновлены требования к процессам разработки программного обеспечения (ПО) и регламентирована защита информации на всех этапах разработки ПО, от проектирования до завершения эксплуатации. Четкость сформулированных требований стала основным отличием от редакции 2016 года.

Новый стандарт вводит обязательное проведение внешнего аудита процессов разработки. Многим компаниям нужно будет адаптировать свои процессы под новые требования и пройти сертификацию в системах Федеральной службы по техническому и экспортному контролю (ФСТЭК) и ФСБ. Для безопасности всех этапов поставки ПО заимствованный код новыми правилами рассматривается как собственный. Кроме того, сейчас нужно будет описывать потенциальные точки входа для возможных атак, определяя модули и интерфейсы для усиленной проверки на уязвимости.

Внедрение стандарта, по оценкам экспертов, может увеличивать стоимость разработки на 10% и более. Но заказчики ПО при этом получают дополнительную гарантию безопасности. Для российских компаний, участвующих в тендерах, наличие сертифицированных процессов разработки становится необходимым условием.

Сертификат ФСТЭК предоставляет компаниям возможность самостоятельно вносить изменения в сертифицированные продукты. Теперь разработчики могут оперативно обновлять и адаптировать ПО в соответствии с запросами клиентов, без привлечения сторонних лабораторий для оценки безопасности изменений.

Первой в России прошла сертификацию по требованиям нового ГОСТа и получила сертификат от ФСТЭК России Лаборатория Касперского. В декабре 2024 года ее примеру последовала компания Сбербанк-Технологии (СберТех), разработчик Platform V — облачной платформы для создания бизнес-решений и промышленных приложений. Это открывает перед компанией новые возможности для участия в крупных проектах, связанных с информационной безопасностью.

Сертификация по ГОСТ Р 56939-2024 особенно необходима для компаний финансового сектора, где защита данных является критически важным аспектом. Например, для СберТеха ответственность за безопасность стороннего кода позволит постепенно и «безболезненно» перейти с западного ПО на продукты собственного производства и использовать решения с открытым кодом (open-source, свободно распространяемый код), предлагая российским компаниям надежные и эффективные инструменты управления данными.

Тестирование продуктов СберТеха, в частности Platform V, системным интегратором FERRUM IT Group — показало, что их решения не уступают западным аналогам по легкости эксплуатации и обслуживания, качеству документации и технической поддержки. На деле это означает возможность перейти на отечественные платформы без потери качества и функциональности. Сертификат также должен гарантировать заказчикам, что переход произойдет без снижения безопасности эксплуатируемых систем.

Введение ГОСТ Р 56939-2024 отражает стремление усилить безопасность информационных систем в России. Сертифицированные продукты будут соответствовать современным требованиям к защите информации, что повышает доверие и снижает риски эксплуатации, особенно в системах финансового сектора.

Проще говоря, импортозамещение в IT становится фактом.