Notamedia.Integrator: Как разработчики ИТ-решений для госсектора готовятся к ужесточению требований к информационной безопасности Изображение: recraft Интегратор и разработчик ИТ-сервисов для государства и бизнеса Notamedia.Integrator собрал данные о подготовке компаний-разработчиков ПО для госсектора к вступлению в силу с 1 марта 2026 года нового приказ ФСТЭК России № 117, который вводит более 70 новых требований к информационной безопасности при разработке ИТ-решений для государства. Ключевые изменения затрагивающие разработчиков ИТ-решений для госсектора в основном касаются смещения фокуса на безопасность при полном жизненном цикле ПО, начиная с проектирования. Требования формализуют процессы безопасной разработки (DevSecOps). Обязательным становится анализ не менее 95% исходного кода на наличие уязвимостей и использование российских криптографических алгоритмов при взаимодействии с внешними системами. Новый приказ конкретизирует и дополняет требования по анализу защищенности и контролю внутренних угроз, включая самих разработчиков, что требует внедрения строгого контроля доступа. Детализируются требования к регулярному тестированию на проникновение и документирование всех этапов жизненного цикла ПО. Кроме того, приказ вводит требование о соответствии разработки стандартам, например, в случае самостоятельной разработки должны быть реализованы меры, предусмотренные разделами 4 и 5 ГОСТ Р 56939-2024. В случае привлечения разработчиком для создания ПО подрядной организации могут быть включены требования по разработке безопасного программного обеспечения в соответствии с ГОСТ Р 56939-2024. Стоимость реализации мер, предусмотренных разделами 4 и 5 ГОСТ Р 56939-2024 для одной информационной системы может составлять от 5 млн руб., куда входят затраты на внедрение статических и динамических анализаторов кода (SAST/DAST), а также проведения регулярного аудита безопасности силами внешних подрядчиков. Все это потребует от компаний создания отдельного подразделения или лаборатории. Годовые затраты на организацию такого процесса, включая зарплаты специалистов и услуги пентестеров, могут составлять еще от 3 руб. для средней компании-разработчика. Также, для выполнения требований по непрерывному взаимодействию с ГосСОПКА, продукты должны иметь встроенные функции защиты, в том числе, для регистрации событий безопасности, которые передаются в SIEM для их корреляции и выявления инцидентов, о которых необходимо сообщить в ГосСОПКА. Это один из примеров , с которым может столкнуться разработчик и инвестиции в это могут достигать от 10 млн руб. в год. Параллельно разработчики должны перестроить внутренние процессы, внедряя практики безопасной разработки и готовиться к регулированию в сфере искусственного интеллекта. Регуляторы уже анонсировали скорый выход проекта стандарта безопасной разработки систем ИИ, который станет дополнением к общим требованиям по безопасной разработке. “Этот приказ – не просто очередное обновление требований. Это системный переход от контроля результата к контролю всего процесса создания системы. Для отрасли это знаковое событие, которое разделит рынок на тех, кто серьезно относится к информационной безопасности, защищенности кода как к процессу, и тех, кто продолжает работать по инерции. Компаниям из отрасли заказной разработки уже давно нужно менять культуру создания кода. Речь идет о внедрении сквозных процессов, когда каждый архитектор и программист думает о создании безопасного, защищенного продукта на этапе проектирования, а не после сдачи проекта. Заблаговременно инвестируя время и экспертизу в анализ кода, техническую защиту и формализацию процессов, мы, как индустрия сможем значительно повысить качество наших разработок”, – сказал партнер, коммерческий директор Notamedia.Integrator Алексей Власов. Source: https://cisoclub.ru/notamedia-integrator-kak-razrabotchiki-it-reshenij-dlja-gossektora-gotovjatsja-k-uzhestocheniju-trebovanij-k-informacionnoj-bezopasnosti/