Заметки аудитоконсалтера РБПО

Данной статьей мы открываем блок «заметок аудитоконсалтера», посвященный нашему видению типажей, проблем и задач, возникающих в молодой и бурно развивающейся сфере внедрения и развития практик качественной и безопасной разработки программного обеспечения (далее — РБПО). И по линии работы испытательной лаборатории, и по линии участия в Центре компетенций ФСТЭК России и ИСП РАН, и по линии участия в деятельности ТК362 (в качестве соавторов нескольких актуальных ГОСТ в области РБПО) мы активно вовлечены в процессы, связанные с формирование отечественных регуляторики и лучших практик, имеем опыт взаимодействия по вопросам внедрения и развития РБПО уже с несколькими десятками компаний, в том числе обладателями сертификатов на процессы РБПО. Общий формат ресурса не предполагает академичности тезисов, чем мы с удовольствием и воспользуемся, позволив себе публикацию частных заметок и рассуждений, в удобном для авторов формате «личного блога».

Тема №1: «Типы приходящих к аудиту РБПО организаций, их цели на аудит и внезапные головные боли»

Если вы читаете эту статью, значит и вы подхвачены «волной РБПО». Поэтому для вас не будет новостью, что в последнее время со стороны отечественных компаний отмечается неумолимый рост желания причислить себя к числу тех, чьи процессы выстроены в парадигме безопасности.

На сегодняшний день наиболее полное представление о зрелости процессов можно составить, оценив их соответствие требованиям ГОСТ Р 56939-2024.

Известный способ это сделать — пройти аудит: внутренний, то есть создать экспертную группу из собственных сотрудников, или внешний, то есть привлечь эксперта из профильной организации.

Автор данной статьи как раз является профильным аудитором и имеет обширный опыт работы как исполнитель работ по внешнему аудиту во многих российский компаниях. Об опыте аудитора речь и пойдет дальше.

За время нашей аудиторской практики мы не сталкивались ни с одной похожей парой организаций — у всех разные ресурсы (внимание, мы тут говорим не только про материальное обеспечение, но и про человеческую сторону вопроса, а именно отношение к деятельности, которую осуществляешь) и возможности ими распоряжаться. Во всем их многообразии классифицировать клиента можно только по причине, которая привела его к аудитору. По этому случаю мы сформировали следующие типы клиентов:

* здесь и далее «серт» — сертификат соответствия процессов требованиям отечественных стандартов в области РБПО (Приказ ФСТЭК России от 01.12.2023 N 240 (ред. от 30.06.2025) «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации»).

Из названий, думаю, и так понятно, но я всё же опишу более подробно суть каждого типа, а главное — цели на аудит и ожидания от него каждой из типовых организаций.

Первый тип «надо чисто для себя, а серт — как пойдет». Эти организации приходят к аудитору с целью узнать зрелость своих процессов и получить консультацию по стратегии их оптимизации и улучшения. Таким организациям от аудитора в первую очередь нужна оценка выстроенных процессов внешним экспертным лицом. Эти компании не ставят первой целью возможность выхода на сертификацию. Их интерес состоит в анализе полученных в ходе аудита результатов и дальнейшая разработка или же отказ от разработки стратегии по подготовке к сертификации. Что интересно, как правило, к первому типу относятся компании с достаточно высоким уровнем РБПО-культуры, а также компании, которые by design открыты к предложениям по стратегическому улучшению.

Для компаний, относящихся ко второму типу «надо и для себя, и серт тоже надо», аудитор — это эксперт, который может оценить степень соответствия выстроенных процессов разработки требованиям актуальной отечественной базы стандартов в области РБПО. От аудитора такие компании ожидают объективной оценки готовности к сертификации по ГОСТ Р 56929-2024 и помощь в оценке трудозатрат на требуемую подготовку. Такие организации ждут, что аудит будет являться финальной (или предфинальной) стадией подготовки к сертификации процессов РБПО и, по итогу исправления выявленных в ходе аудита несоответствий, выход на сертификацию будет уверенным, а сама сертификация пройдет гладко.

К третьему типу «надо чисто серт получить» относятся компании, которые приглашают аудитора в надежде получить от него простой ответ на вопрос: «А как ничего (или почти ничего) не делать и получить сертификат?». В таких компаниях вопрос улучшения качества процессов не стоит — любое изменение у них проходит через призму «и так работает, зачем что-то менять». Представители этого типа ожидают, что само по себе прохождение аудита (вне зависимости от объема выявленных несоответствий целевым требованиям) является фактом того, что компания готова к сертификации уже на следующий день после завершения аудита.

Каждый из типов помимо своей цели и своих ожиданий характеризуется собственной проблематикой, которая выявляется в ходе самого аудита.

Так, компании первого типа рискуют столкнуться с осознанием неидеальности выстроенных процессов на совокупном объеме выбранного для исследования множества. Как упоминалось ранее, как правило, они обладают достаточно глубокими знаниями в сфере РБПО (в то время, когда они начинали внедрять РБПО, более привычной была аббревиатура SDL) и лояльны к необходимости её интеграции в свои процессы. Однако обеспечение одинаково высокого уровня качества для каждого процесса жизненного цикла разработки каждого продукта и каждой команды, и, что ещё более важно, обеспечение синхронности их развития, — это задача весьма непростая и до сих пор не имеющая ни одного примера «эталонной» реализации. Здесь мы обращаемся к известному тезису «РБПО вглубь и РБПО вширь» [Пономарев Д. Многоликий динамический анализ // BIS Journal. — 2025. — № 3 (58). https://ib-bank.ru/bisjournal/post/2540, Пономарев Д. Архитектурный анализ // BIS Journal. — 2025. — № 4 (59). https://ib-bank.ru/bisjournal/number/99]. Компании первого типа, обладают качественной экспертизой «вглубь», при этом «вширь» вырождается в отсутствие системы процессов на области их применения.

Компании, которые мы относим ко второму типу, ловят первую меланхолию после осознания того, что с выходом на сертификацию придется притормозить. В ходе аудита обнаруживается меньшая, чем ожидается самими аудируемыми, готовность к сертификации. Как правило, выясняется, что либо степень реализации процессов (и подтверждающий её объем артефактов) не достаточна для необходимого минимума, либо процессы в регламентах описаны из расчета, что в некотором будущем фактическая реализация будет соответствовать составленному описанию.

А вот для третьего типа становится откровением, что нет лёгкого пути в решении задачи выстраивания процессов в новой парадигме. Компаниям приходится осознать, что сертификация заключается не в формальной сверке наименований составленных регламентов со списком из ГОСТ Р 56939-2024, а в демонстрации системной связи выстроенных процессов и высокого уровня корпоративной культуры в вопросах РБПО.

Вместо заключения для каждой типовой компании приведем по одной рекомендации по подготовке к встрече с аудитором.

Компаниям первого типа предлагается на старте четко очерчивать границы области аудита и разумно оценивать качество системной реализации процессов во всех командах, попадающих в область применения этих процессов.

Компаниям второго типа видится необходимым к моменту выхода на сертификацию нарастить требуемую базу артефактов и убедиться в системном функционировании всех новых процессов, заложенных с момента выхода обновленного стандарта ГОСТ Р 56939-2024.

Компаниям третьего типа рекомендуется задуматься о масштабе и значимости реформ в области безопасной разработки и на старте прикинуть объем и целесообразность требуемых вложений — в первую очередь на построение РБПО-культуры у себя внутри.

Автор:
Елена Быханова, ведущий специалист по РБПО, руководитель группы аудита, НТЦ Фобос-НТ.