Приказ ФСТЭК России №230 от 30.06.2025 «О внесении изменений в Порядок проведения сертификации процессов БРПО СрЗИ, утвержденный приказом ФСТЭК России от 1 декабря 2023 г. № 240»

Приказ Федеральной службы по техническому и экспортному контролю от 30.06.2025 № 230 «О внесении изменений в Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утвержденный приказом ФСТЭК России от 1 декабря 2023 г. № 240»

Ссылки

• Публикация на Официальном интернет-портале правовой информации (PDF-файл)
• Сохранённый текст в формате PDF
• Консультант+
• Гарант

Изменяемые документы

• Приказ ФСТЭК России №240 от 01.12.2023 «Об утверждении Порядка проведения сертификации процессов БРПО СрЗИ»

Обзоры документа

Аналитический центр УЦСБ

19 сентября 2025 года официально опубликован приказ ФСТЭК России от 30.06.2025 № 230 «О внесении изменений в Порядок проведения сертификации процессов безопасной разработки ПО (далее – БРПО) средств защиты информации (далее – СрЗИ), утвержденный приказом ФСТЭК России от 01.12.2023 № 240».

См. ГОСТ Р 56939-2024

Изменения вносятся по причине ввода в действие новой редакции ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного ПО. Общие требования» (далее – ГОСТ Р 56939-2024).

В Порядок сертификации добавлены требования к руководству по БРПО (далее – Руководство), которое должно быть утверждено изготовителем ПО СрЗИ и доведено до всех работников, имеющих отношение к БРПО.

К изготовителю СрЗИ предъявляется требование по обеспечению представителям органа по сертификации доступа к материально-технической базе изготовителя СрЗИ, включая среду сборки и разработки ПО.

Процесс сертификации теперь включает 6 обязательных мероприятий:

• оценка содержания Руководства требованиям Порядка сертификации процессов БРПО;
• проверка соответствия артефактов реализации процессов БРПО требованиям ГОСТ Р 56939-2024;
• проверка наличия у изготовителя СрЗИ средств разработки и тестирования ПО, а также средств, предназначенных для проведения композиционного, статического, динамического анализа ПО;
• проверка фактического соответствия реализованных процессов БРПО Руководству;
• инструментальный контроль реализации процессов БРПО;
• проверка укомплектованности штата изготовителя СрЗИ компетентными сотрудниками.

Сертификат соответствия выдается именно на область действия, указанную в Руководстве – это связывает действие сертификата с конкретными процессами, описанными изготовителем СрЗИ.

Гарант ПРАЙМ

Скорректирован порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации.

Большая часть поправок связана с обновлением ГОСТ Р 56939-2024 “Защита информации. Разработка безопасного программного обеспечения. Общие требования”.

Также установлено, что должно содержать руководство по безопасной разработке программного обеспечения.

Текст документа

Быстрый просмотр сохранённой копии