Орган по сертификации ИСП РАН
Добро пожаловать на официальный сайт Органа по сертификации Института системного программирования имени В.П. Иванникова Российской академии наук. Наш институт является ведущим научным учреждением в области системного программирования и кибербезопасности.
Направления деятельности Органа по сертификации:
- Сертификация процессов разработки безопасного программного обеспечения (РБПО) — оценка процессов разработки ПО в организации на соответствие требованиям ГОСТ Р 56939-2024.
- Экспертная работа — сотрудники Органа по сертификации принимают участие в разработке национальных стандартов, в первую очередь – в ТК 362 Защита Информации. Опыт наших экспертов в системном программировании, в частности – в разработке и внедрении технологий анализа кода, используется при разработке методик, методических рекомендаций и иных документов в области РБПО.
Наша экспертиза
ИСП РАН обладает уникальной экспертизой, основанной на многолетнем опыте научных исследований и практической работы в области системного программирования и кибербезопасности. Мы сочетаем фундаментальные научные знания с практическим опытом и применяем их при сертификации сложно выстроенных процессов промышленной разработки ПО.
Коллектив Органа по сертификации состоит из более чем 15 сотрудников ИСП РАН, аттестованных экспертов в пятой области аккредитации. Специализация экспертов покрывает:
- Процессное моделирование
- DevOps-/ DevSecOps-/ MlSecOps
- Компиляторные технологии
- Статический анализ исходного кода
- Динамический анализ ПО, включая фаззинг-тестирование
- Функциональное тестирование ПО
- Тестирование на проникновение, анализ безопасности приложений
- Композиционный анализ ПО
- Управление требованиями, технологии проектирования архитектуры ПО
- Информационная безопасность
Аттестат аккредитации
Деятельность ведется на основании аттестата аккредитации № СЗИ RU.0001.01БИ00.А009 от 24.05.2024 г.
Услуги по сертификации
Деятельность Органа по сертификации регламентирована Порядком сертификации процессов безопасной разработки средств защиты информации, утвержденным приказом ФСТЭК России № 240 от 01.12.2023 г. с изменениями, внесенными приказом ФСТЭК России № 230 от 30.06.2025 г. Перечень организаций, успешно прошедших сертификацию процессов разработки безопасного ПО представлен на официально портале ФСТЭК России.
Сертификация процессов разработки безопасного программного обеспечения
Проводим всестороннюю оценку процессов разработки ПО в организации-разработчике на соответствие требованиям ГОСТ Р 56939-2024. Несмотря на то, что нормативные документы явно адресуют сертификацию процессов РБПО средствам защиты информации (СЗИ), провести сертификацию возможно в отношении процессов разработки любого программного обеспечения.
Сертификация процессов РБПО осуществляется на добровольной основе.
Процесс сертификации
Заключение договора о сертификации процессов РБПО
Для подготовки коммерческого предложения со стороны органа по сертификации у организации-заявителя запрашивается информация.
- Руководство по РБПО,
- Описание по направляемой форме программных продуктов, попадающих в области действия Руководства по РБПО.
По результатам анализа запрошенной информации оценивается трудоемкость работ, между органом по сертификации и организацией-заявителем согласуются возможные сроки проведения сертификационных работ.
Проверка руководства по безопасной разработке ПО
Оценка выполняется после получения Органом по сертификации материалов согласно порядку сертификации.
Оценивается соответствие документа требованиям, описанным в пункте 5.1 Порядка.
Проверка артефактов реализации процессов
Оценка выполняется после получения Органом по сертификации материалов согласно порядку сертификации.
Выполняется проверка наличия и соответствия всего комплекта организационно-распорядительной документации по процессам РБПО требованиям национальных стандартов ГОСТ Р 56939-2024 и ГОСТ Р 71207-2024 в части процессов.
Проверка наличия инструментария
Составляется перечень всех информационных систем и инструментальных средств, используемых в РБПО.
Формируется таблица, показывающая назначение и тип используемого ПО (проприетарное или с открытым исходным кодом, собственная разработка).
Составляется карта, отражающая связь этапов жизненного цикла ПО с используемыми инструментами.
Оценка выполнения требований ГОСТ Р 71207-2024 в части применяемых технологий и инструментов статического анализа.
Проверка соответствия процессов РБПО (процессное моделирование)
Строится модель процесса на основе документации (модель «Д»).
Строится модель процесса на базе информации, полученной в ходе интервью (модель «Ф»).
Сравниваются модели «Ф» и «Д», так проверяется соответствие документации реальным процессам и знание методологии сотрудниками.
Сравнивается модель «Ф» с референтной моделью из стандарта.
Требования ГОСТ Р 56939-2024
| Описание процесса в стандарте |  |
Интерпретация описания процесса | ||
|---|---|---|---|---|
| 5.Х.1. | Цель | 1. | Цель процесса 5.Х | |
| 5.Х.2. | Требования к реализации | 2. | Функции процесса 5.Х | |
| 5.Х.2.1. Описание требования | Функция 5.Х.2.1 | |||
| 5.Х.2.2. Описание требования | Функция 5.Х.2.2 | |||
| … | … | |||
| 5.Х.3. | Артефакты реализации требований | 3. | Входы, выходы, связи процесса 5.Х | |
| 5.Х.3.1. Описание артефакта | 5.Х.3.1 Описание входа, выхода или связи процесса | |||
| 5.Х.3.2. Описание артефакта | 5.Х.3.2 Описание входа, выхода или связи процесса | |||
| … | … | |||
Пример декомпозиции процесса на функции
Инструментальный контроль
Используется инструмент Buildography разработки ИСП РАН. Для прохождения сертификации процессов РБПО инструмент предоставляется бесплатно. Инструмент Buildography разворачивается в сборочных средах, используемых сертифицируемой организацией в процессах РБПО.
- Оценка изолированной сборки –сбор и анализа низкоуровневых реквизитов сборки ПО.
- Оценка выполнения требований ГОСТ Р 71206-2024 – тестирование безопасности компиляции Си/Си++.
Проверка обеспеченности сотрудниками
- Предоставляется штатное расписание, отражающее должности специалистов, задействованных в РБПО.
- Оценивается кадровая обеспеченность и количество вакантных позиций.
- Анализируется текучесть кадров.
Схема процесса сертификации
Подготовка к сертификации и консалтинг
Помогаем организациям подготовиться к процессу сертификации процессов РБПО: проводим предварительный аудит, выявляем несоответствия, разрабатываем рекомендации по устранению замечаний, помогаем подготовить необходимую документацию.
Контакты Органа по сертификации ИСП РАН
Для получения консультации по вопросам сертификации, подачи заявки или получения дополнительной информации, пожалуйста, свяжитесь с нами удобным для вас способом.
Адрес
109004, г. Москва, ул. А. Солженицына, д. 25, ИСП РАН (юридический адрес, доставка корреспонденции)
115035, г. Москва, ул. Садовническая, д. 41, стр. 2 (физический адрес)