исследование 3 июня 2026

Безопасная разработка по ГОСТ Р 56939 и ФСТЭК: практика

ГОСТ Р 56939 — национальный стандарт по разработке безопасного программного обеспечения. Он описывает не конкретные технологии, а набор процессов разработки безопасного ПО (РБПО): что нужно делать на каждом этапе жизненного цикла — от проектирования и написания кода до тестирования, выпуска и реагирования на уязвимости. Для многих российских вендоров соответствие этим процессам — обязательный шаг к сертификации средства защиты во ФСТЭК и условие попадания продукта в доверенный контур. **Если коротко:** стандарт задаёт рамку, а не чек-бокс. Чтобы реально ему соответствовать, нужно встроить меры безопасности в существующий процесс разработки: моделирование угроз, безопасное кодирование, статический и динамический анализ, управление зависимостями и уязвимостями, контроль выпуска. Ниже — что регламентирует стандарт, какие меры закрывают каждый этап РБПО, как это внедрить на практике и как связать с сертификацией. Сравнить поставщиков инструментов и сервисов можно в [рейтинге DevSecOps-платформ](/rating/devsecops-secure-sdlc).

8 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Ирина Карпова

Короткий вывод

secure delivery

Secure SDLC работает только как часть процесса поставки

DevSecOps требует автоматических проверок, понятных gates и обратной связи разработчикам без ручного торможения релизов.

Тематическое фото для исследования: Безопасная разработка по ГОСТ Р 56939 и ФСТЭК: практика — Тематическая иллюстрация к исследованию: Безопасная разработка по ГОСТ Р 56939 и ФСТЭК: практика. Muhammed Ensar / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

9 лет в редакционной аналитике, проверке источников и методологии рейтингов
Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Что регламентирует ГОСТ Р 56939 и при чём здесь ФСТЭК

ГОСТ Р 56939 формулирует требования к процессам разработки безопасного ПО. Логика стандарта проста: безопасность нельзя «прикрутить» к готовому продукту в конце — она должна закладываться на всех этапах жизненного цикла и быть воспроизводимым, документированным процессом. Поэтому стандарт говорит языком процессов и мер, а не конкретных продуктов: важно не то, какой именно сканер вы используете, а то, что анализ кода и поиск уязвимостей системно встроены в разработку и выполняются на регулярной основе.

Связь с ФСТЭК — практическая. Для средств защиты информации, которые проходят сертификацию, регулятор предъявляет требования к доверию, и реализация процессов РБПО по ГОСТ Р 56939 становится одним из условий. Без выстроенного процесса безопасной разработки вывести сертифицированный продукт в [реестр сертифицированных СЗИ](https://reestr.fstec.ru/) на практике крайне сложно. Конкретные формулировки требований и их применимость к вашему классу продукта всегда сверяйте по официальным документам регулятора — ниже мы говорим о сути процессов, а не цитируем пункты дословно.

Безопасная разработка по ГОСТ Р 56939: коротко в цифрах

Что описывает стандарт процессы РБПО

Меры на всех этапах жизненного цикла, а не конкретные инструменты

Охват жизненного цикла от анализа до поддержки

Проектирование, кодирование, тестирование, выпуск, реагирование

Связь с ФСТЭК условие доверия

Часть требований при сертификации СЗИ

Типовое внедрение процессов 6–12 мес.

Редакционная оценка: зависит от зрелости команды и масштаба продукта

Меры РБПО по этапам жизненного цикла

Удобно смотреть на стандарт как на набор мер, привязанных к этапам разработки. Стандарт не диктует стек, но ожидает, что на каждом этапе есть свои контрольные действия и свидетельства их выполнения. Ниже — практическая раскладка «этап РБПО → какие меры его закрывают». Это редакционная интерпретация для планирования внедрения, а не дословный перечень из текста стандарта.

Этап РБПО	Что делаем	Какие меры закрывают этап
Анализ и проектирование	Определяем требования к безопасности, моделируем угрозы	[Моделирование угроз](/research/threat-modeling-praktika), требования безопасности, выбор архитектуры
Разработка (кодирование)	Пишем код по правилам безопасной разработки	Стандарты безопасного кодирования, ревью кода, обучение разработчиков
Сборка и зависимости	Контролируем компоненты и цепочку поставки	Управление зависимостями (SCA), проверка лицензий, контроль сборочной среды
Тестирование	Ищем уязвимости автоматически и вручную	Статический анализ (SAST), динамический анализ (DAST), фаззинг, ручной аудит
Выпуск	Подтверждаем готовность релиза к выпуску	Контроль исправления дефектов, целостность артефактов, документирование
Поддержка и реагирование	Обрабатываем уязвимости после выпуска	Управление уязвимостями, выпуск обновлений, информирование пользователей

Вклад мер РБПО в снижение риска уязвимостей

Усреднённая редакционная оценка относительного вклада мер в снижение риска по классу проектов на основе открытых практик (в т.ч. OWASP). Это не результат измерений на вашем продукте и не заменяет аудит.

Моделирование угроз на старте 90 /100

90 /100

Безопасное кодирование и ревью 85 /100

85 /100

Статический анализ (SAST) 80 /100

80 /100

Управление зависимостями (SCA) 80 /100

80 /100

Управление уязвимостями после выпуска 75 /100

75 /100

Динамический анализ (DAST) и фаззинг 70 /100

70 /100

Контроль целостности сборки и выпуска 65 /100

65 /100

Как внедрить РБПО на практике

Главная ошибка — пытаться «соответствовать ГОСТу» отдельным проектом в стороне от основной разработки. Работает обратный подход: встроить меры в тот процесс, который уже есть, и сделать их свидетельства воспроизводимыми. Несколько практических ориентиров:

- **Начинайте с угроз, а не с инструментов.** Модель угроз на этапе проектирования определяет, какие меры вообще нужны и куда направить усилия. Без неё анализ кода превращается в борьбу с шумом сканеров. - **Автоматизируйте в конвейере.** SAST, SCA и часть DAST должны запускаться в CI/CD как обязательные шаги, а не как разовая проверка перед релизом. - **Управляйте дефектами, а не просто находите их.** Стандарт ждёт прослеживаемости: найденная уязвимость должна иметь статус, приоритет, ответственного и подтверждение устранения. - **Фиксируйте свидетельства.** Для сертификации важны не только меры, но и документально подтверждённый факт их выполнения — журналы, отчёты сканеров, записи ревью. - **Назначьте владельца процесса.** РБПО — это процесс, а у процесса должен быть хозяин, иначе меры деградируют после первого аврального релиза.

Подробная последовательность внедрения — в материале [«Как внедрить DevSecOps: дорожная карта Secure SDLC»](/research/kak-vnedrit-devsecops); эта статья про ГОСТ Р 56939 даёт нормативную рамку, а дорожная карта — пошаговую механику.

Чек-лист соответствия ГОСТ Р 56939

Требования безопасности зафиксированы для продукта на этапе анализа и проектирования.

Модель угроз построена на старте и обновляется при изменении архитектуры.

Стандарт безопасного кодирования принят, разработчики обучены, ревью обязательно.

Статический анализ (SAST) встроен в конвейер сборки и запускается автоматически.

Управление зависимостями (SCA) компоненты и их уязвимости под контролем.

Динамический анализ и фаззинг выполняются для применимых классов приложений.

Управление уязвимостями дефекты прослеживаются от находки до устранения.

Контроль выпуска целостность артефактов и готовность релиза подтверждаются.

Реагирование после выпуска есть процесс обновлений и информирования пользователей.

Свидетельства процессов документированы и пригодны для проверки при сертификации.

План внедрения РБПО: 6 шагов

01 Оценка зрелости
Сопоставьте текущий процесс разработки с мерами РБПО и зафиксируйте разрывы по этапам жизненного цикла.
02 Требования и угрозы
Внедрите формирование требований безопасности и моделирование угроз на этапе проектирования.
03 Безопасное кодирование
Примите стандарт кодирования, организуйте обучение и обязательное ревью кода.
04 Автоматизация анализа
Встройте SAST, SCA и DAST в CI/CD как обязательные шаги с порогами качества.
05 Управление дефектами и выпуском
Настройте прослеживаемость уязвимостей, контроль исправления и целостности артефактов.
06 Свидетельства и сертификация
Соберите документальные подтверждения процессов и сверьте требования под сертификацию по официальным источникам ФСТЭК.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщиков инструментов и сервисов безопасной разработки мы сравниваем по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом DevSecOps-платформ](/rating/devsecops-secure-sdlc): здесь — нормативная рамка и меры, там — сравнение конкретных решений по подтверждённым фактам.

Следующий шаг

Разобрались с рамкой ГОСТ Р 56939 — переходите к выбору инструментов и сервисов: **[рейтинг DevSecOps-платформ →](/rating/devsecops-secure-sdlc)**. Полезно прочитать рядом: [дорожная карта внедрения DevSecOps](/research/kak-vnedrit-devsecops), [рейтинг DevSecOps-платформ и сервисов 2026](/research/rejting-devsecops-platform-2026) и [моделирование угроз на старте проекта](/research/threat-modeling-praktika).

Частые вопросы

Что такое ГОСТ Р 56939 простыми словами?

Это национальный стандарт, описывающий процессы разработки безопасного ПО (РБПО). Он говорит, какие меры безопасности нужно выполнять на каждом этапе создания продукта — от проектирования до поддержки после выпуска. Стандарт регламентирует процессы, а не конкретные инструменты, поэтому подходит для любого стека разработки.

Обязателен ли ГОСТ Р 56939 для всех разработчиков?

Сам по себе стандарт добровольный, но соответствие процессам РБПО на практике становится условием при сертификации средств защиты во ФСТЭК и при выводе доверенных продуктов. Применимость к вашему случаю зависит от класса продукта и требований заказчиков — сверяйте по официальным документам регулятора.

Как связаны ГОСТ Р 56939 и сертификация ФСТЭК?

Для сертифицируемых СЗИ регулятор предъявляет требования к доверию, и реализация процессов безопасной разработки — одна из их составляющих. Без выстроенного и документированного процесса РБПО пройти сертификацию и попасть в реестр сертифицированных СЗИ на практике крайне затруднительно.

Какие инструменты нужны для соответствия стандарту?

Стандарт не предписывает конкретные продукты. Обычно нужен набор: моделирование угроз, статический анализ (SAST), анализ зависимостей (SCA), динамический анализ (DAST) и фаззинг, а также система управления уязвимостями. Важнее не бренд инструмента, а то, что меры встроены в процесс и оставляют проверяемые свидетельства.

С чего начать внедрение РБПО?

С оценки зрелости текущего процесса и моделирования угроз, а не с закупки сканеров. Сначала определите, какие меры вам нужны и где разрывы, затем автоматизируйте анализ в CI/CD и настройте управление дефектами. Пошаговая механика — в дорожной карте внедрения DevSecOps.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source OWASP Foundation OWASP Foundation

Рейтинг DevSecOps-платформ Сравнить поставщиков по подтверждённым сигналам Как внедрить DevSecOps: дорожная карта Secure SDLC Рейтинг DevSecOps-платформ и сервисов 2026 Threat modeling: как моделировать угрозы на старте проекта