17.12.2025 12:42
AlbinaAskerova 0 3600 Источник

Привет, эксперты!

В апреле мы завершили цикл обзорных статей действующей регуляторики РФ, которая прямо или косвенно отсылала бы нас к внедрению процессов и практик РБПО, а также посмотрели на будущие планы регуляторов.

Наступил декабрь, пришла пора посмотреть, что произошло за год.

С вами по-прежнему Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security.

Спойлер: читать придется немного!

p.s. Кстати, в апрельской статье мы разыгрывали мерч среди читателей этого цикла статей, и как же отрадно, что приз нашел своего обладателя всего за пару часов после публикации.

Итак, что нам нового принесли ФСТЭК, Банк России и ГОСТы.

ФСТЭК России, как и обещала:

  1. Обновила приказ № 17 от 11.02.2013, теперь требования к защите информации в гос.системах утверждены Приказом ФСТЭК № 117 от 11.04.2025

Требования применяются для обеспечения защиты информации, содержащейся в функционирующих на территории РФ государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений.

Приказ обязателен для гос.организаций (государственных органов, государственных унитарных предприятий, государственных учреждений).

Требования по безопасной разработке встречаются в следующих пунктах (далее цитаты):

П. 14. Организация деятельности по защите информации должна включать:

д) разработку и утверждение внутренних регламентов по защите информации, содержащих в том числе:

порядок разработки безопасного программного обеспечения в случае его самостоятельной разработки оператором (обладателем информации)

П. 50. Мероприятия по разработке безопасного программного обеспечения должны быть направлены на предотвращение появления, выявление и устранение уязвимостей в разрабатываемом оператором (обладателем информации) программном обеспечении. Мероприятия по разработке безопасного программного обеспечения проводятся в случае осуществления оператором (обладателем информации) самостоятельной разработки программного обеспечения, применяемого в информационных системах.

В случае самостоятельной разработки оператором (обладателем информации) программного обеспечения, предназначенного для использования в информационных системах, должны быть реализованы меры, предусмотренные разделами 4 и 5 ГОСТ Р 56939-2024.

В случае привлечения оператором (обладателем информации) для разработки программного обеспечения подрядной организации по решению руководителя (ответственного лица) в техническое задание на разработку программного обеспечения могут быть включены требования по разработке безопасного программного обеспечения в соответствии с ГОСТ Р 56939-2024.

Интересно, что кроме требований безопасности к ПО, теперь еще и есть требования по безопасности при внедрении технологий ИИ (далее цитаты):

П. 60. Посредством проведения мероприятий по обеспечению защиты информации при использовании для функционирования информационных систем искусственного интеллекта должна быть обеспечена возможность исключения несанкционированного доступа к информации или воздействия на информационные системы, несанкционированного распространения и модификации информации, а также использования информационных систем не по их назначению за счет воздействия на наборы данных, применяемые модели искусственного интеллекта и их параметры, процессы и сервисы по обработке данных и поиску решений.
Не допускается передача лицу, разработавшему модель искусственного интеллекта, информации ограниченного доступа, содержащейся в информационных системах, в том числе для улучшения функционирования модели искусственного интеллекта.

П. 61. При взаимодействии пользователей в целях выполнения ими своих обязанностей (функций) с сервисами на основе искусственного интеллекта посредством направления запроса и получения ответа должны быть:

а) при взаимодействии в формате строго заданных шаблонов запросов и ответов:

определены шаблоны запросов пользователей, направляемых в искусственный интеллект, и обеспечен контроль соответствия запросов установленным шаблонам;

определены шаблоны ответов искусственного интеллекта и обеспечен контроль соответствия ответов установленным оператором (обладателем информации) шаблонам;

б) при взаимодействии в формате свободной текстовой формы запросов и ответов:

определены для направляемых в искусственный интеллект запросов пользователей допустимые тематики и обеспечен контроль соответствия запросов допустимым тематикам;

определены форматы ответов искусственного интеллекта в соответствии с допустимыми тематиками и обеспечен контроль соответствия ответов установленным оператором (обладателем информации) форматам и допустимым тематикам;

в) разработаны статистические критерии для выявления недостоверных ответов искусственного интеллекта для последующего сбора и анализа недостоверных ответов;

г) обеспечено реагирование на недостоверные ответы искусственного интеллекта посредством ограничения области принимаемых решений и (или) реализации функций информационной системы на основе недостоверных ответов искусственного интеллекта.

При использовании в информационных системах искусственного интеллекта или сервисов на основе искусственного интеллекта должно быть исключено нерегламентированное влияние искусственного интеллекта на параметры модели искусственного интеллекта и на функционирование информационных систем.

Непосредственно в состав информационных систем должны включаться доверенные технологии искусственного интеллекта или их компоненты.

Требований по безопасности при использовании ИИ множество! Не для всего пока есть автоматизированные решения, сейчас, можно сказать, только формируется практика.

Недавно коллеги из отдела консалтинга потрудились и выпустили первую версию фреймворка «Swordfish: SAIMM. Фреймворк оценки зрелости безопасности ИИ». Ознакомиться с ним можно тут.

Тема AI Security и доверия к технологиям ИИ – на наш взгляд, большая общая задача на ближайшие пару лет.

2. Еще ФСТЭК обновила приказ № 240 от 01.12.2023 (приказом от 30.06.2025 № 230)

Этот приказ определяет порядок сертификации процессов безопасной разработки ПО.

Обновления делают процесс сертификации более прозрачным и детализированным.

Ключевые новые тезисы:

1) Учтены требования ГОСТ Р 56939-2024, вступившего в силу в 2024 году.

2) В приказе теперь прописаны конкретные требования к содержанию документов РБПО. Это делает процесс сертификации более прозрачным и предсказуемым.

3) Также в приказе обозначено, что сертификационная проверка будет проводиться непосредственно на материально-технической базе разработчика, что обеспечивает более глубокий и точный аудит соответствия заявленных процессов реальной практике.

4) Зафиксировано, что Орган по сертификации будет проверять процесс разработки с использованием инструментальных средств, включая контроль среды сборки.

5)  И одно из важных дополнений порядка – прозрачность в вопросе области действия сертификата соответствия РБПО. Теперь четко прописано, что сертификат выдается только для той области разработки, которая указана в руководстве по РБПО.

Что по изменениям в ГОСТах?

На 2025 год была проведена работа по следующим ГОСТам:

  1. Опубликован ГОСТ Р 72118-2025 «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки».

    Вступил в действие с 01.12.2025. Положения этого стандарта дополняют ГОСТ Р 56939 о РБПО.

  2. В августе состоялось обсуждение проекта ГОСТ про Композиционный анализ ПО. С ним можно ознакомиться на сайте ФСТЭК.

    Выписка из Программы национальной стандартизации на 2026 год говорит, что ГОСТ планируется к утверждению уже в 2026 году!

Банк России -

новых требований не выпустил, кроме тех, что мы обозревали в прошлой статье.

Ждем в следующем году обновления профиля защиты (п.7.4 про РБПО) с подходами к РБПО, адаптированными под ГОСТ Р 56939.

Из интересного: Банк России выпустил кодекс этики в сфере разработки и применения ИИ на финансовом рынке. Среди принципов, конечно, есть безопасность, и регулятор делает акцент на том, что она должна быть «на всех этапах разработки и применения искусственного интеллекта, в том числе в отношении наборов данных».

Что еще остается и что нового появляется в планах на 2026 год?

В части ГОСТов - согласно Выписке из Программы национальной стандартизации на 2026 год ждем еще:

  1. ГОСТ Защита информации. Разработка безопасного программного обеспечения. Динамический анализ программного обеспечения

    В стандарте будут установлены требования к средствам и методам динамического анализа ПО, а также исходным данным, необходимым для его проведения.

    Публично проект пока не размещен.

  2. ГОСТ Защита информации. Разработка безопасного программного обеспечения. Методика оценки уровня реализации процессов разработки безопасного ПО

    Он станет продолжением ГОСТ 56939-2024 и войдет в комплекс стандартов, направленных на достижение целей, связанных с предотвращением появления, выявлением и устранением недостатков, в том числе уязвимостей, в ПО, путем реализации процессов разработки безопасного программного обеспечения и последующей оценки уровня их реализации. Также ГОСТ может быть применим для самостоятельного или внешнего аудита, например, перед заявкой на сертификацию процесса разработки безопасного ПО.

    Публично проект пока не размещен.

  3. ГОСТ Защита информации. Разработка безопасного программного обеспечения. Руководство по внедрению процессов разработки безопасного ПО

    Планируется, что стандарт предложит детальное руководство по внедрению требований ГОСТ Р 56939-2024.

    Публично проект пока не размещен.

  4. ГОСТ Защита информации. Разработка безопасного программного обеспечения. Термины и определения

    Название говорит само за себя. Публично проект пока не размещен.

В части приказов ФСТЭК России - согласно выписке из плана по разработке НПА на 2026 год:

  1. Планируется обновление приказа № 239 от 25.12.2017, утверждающего требования по безопасности к значимым объектам КИИ.

    Исходя из тезисов регулятора ожидаем, что в новой редакции приказа № 239 появится больше требований по практикам безопасного ПО, по аналогии с требованиями по безопасности к системам гос.организаций.

  2. Еще регулятор планирует обновление требований по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности (приказ № 76 от 2.06.2020).

    Совместно с этим в планах регулятора обновить методику выявления уязвимостей и НДВ в ПО.

    В части РБПО в этих документах ожидаются уточнения требований к проведению статического и динамического анализа, а также требование о предоставлении информации о сторонних компонентах и проведении в их отношении композиционного анализа.

Из планов Правительства и Минцифры:

Продолжается работа по регулированию применения ИИ в госсекторе и КИИ. Возможно, в 2026 году мы уже увидим реестр доверенных технологий ИИ в первом релизе.

Насыщенный получился год! До встречи в новом! И пусть ваши приложения делают только то, что вы от них ожидаете, особенно в эпоху ИИ!)

Ниже можно найти все обновленные Майндкарты:

Вся действующая регуляторика в хронологическом порядке:

Регуляторика РБПО (относительно дат)
Регуляторика РБПО (относительно дат)

(В хорошем качестве скачать и посмотреть можно тут)

Регуляторика в разрезе источников регулирования: ФЗ, ФСТЭК, ЦБ, ГОСТ, отраслевые регуляторы (Минэнерго):

Регуляторика РБПО (относительно регуляторов)
Регуляторика РБПО (относительно регуляторов)

(В хорошем качестве скачать и посмотреть можно тут)

И регуляторика в разрезе направлений регулирования:

Регуляторика РБПО (относительно направлений/отраслей)
Регуляторика РБПО (относительно направлений/отраслей)

(В хорошем качестве скачать и посмотреть можно тут)

Комментарии (0)