Приказ Федеральной службы по техническому и экспортному контролю от 30 июня 2025 г. № 230 “О внесении изменений в Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утвержденный приказом ФСТЭК России от 1 декабря 2023 г. N 240” (документ не вступил в силу)

В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, и пунктом 9 приложения, утвержденного постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330, приказываю:

Внести изменения в Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утвержденный приказом ФСТЭК России от 1 декабря 2023 г. N 240 (зарегистрирован Минюстом России 16 апреля 2024 г., регистрационный N 77896), согласно приложению к настоящему приказу.

Зарегистрировано в Минюсте России 18 сентября 2025 г.

Регистрационный № 83573

ПРИЛОЖЕНИЕ
к приказу ФСТЭК России
от 30 июня 2025 г. N 230

Изменения,
которые вносятся в Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утвержденный приказом ФСТЭК России от 1 декабря 2023 г. N 240

1. В пункте 1:

слова "ГОСТ Р 56939-2016" заменить словами "ГОСТ Р 56939-2024";

слова "1 июня 2016 г. N 458-ст1" заменить словами "24 октября 2024 г. N 1504-ст1".

2. Сноску "1” к пункту 1 изложить в новой редакции:

"1 M., ФГБУ "Институт стандартизации", 2024.".

3. В пункте 5 слова "пунктом 4.10 требований по безопасной разработке" заменить словами "пунктом 5.1 настоящего Порядка".

4. Дополнить пунктом 5.1 следующего содержания:

"5.1. В руководстве по безопасной разработке программного обеспечения указываются:

описание области действия руководства по безопасной разработке программного обеспечения;

цели изготовителя в области создания безопасного программного обеспечения;

перечень и описание реализованных процессов по безопасной разработке программного обеспечения;

распределение ролей и обязанностей, связанных с реализацией процессов по безопасной разработке программного обеспечения;

перечень регламентов по безопасной разработке программного обеспечения в соответствии с пунктами 5.1-5.25 раздела 5 требований по безопасной разработке;

правила и требования, относящиеся к планированию и проведению внутренних проверок реализации требований по безопасной разработке программного обеспечения;

описание действий, направленных на улучшение процессов, связанных с безопасной разработкой программного обеспечения.

Руководство по безопасной разработке программного обеспечения должно быть утверждено изготовителем, издано и доведено до всех работников, имеющих отношение к безопасной разработке программного обеспечения.".

5. В пункте 8 слова "пункту 4.10 требований по безопасной разработке" заменить словами "пункту 5.1 настоящего Порядка".

6. Пункт 18 изложить в новой редакции:

"18. Сертификация проводится на материально-технической базе изготовителя, используемой для разработки, модернизации, производства, хранения, распространения и поддержки безопасности программного обеспечения, расположенной на территории Российской Федерации. Изготовитель должен обеспечить доступ представителей органа по сертификации к материально-технической базе изготовителя, в том числе к среде сборки и разработки программного обеспечения.".

7. Пункт 19 изложить в новой редакции:

"19. В процессе сертификации осуществляются:

оценка соответствия руководства по безопасной разработке программного обеспечения требованиям пункта 5.1 настоящего Порядка;

проверка соответствия артефактов реализации процессов безопасной разработки программного обеспечения, имеющихся у изготовителя, требованиям пунктов 5.1 - 5.25 раздела 5 требований по безопасной разработке;

проверка наличия у изготовителя средств разработки и тестирования программного обеспечения, а также средств, предназначенных для проведения композиционного, статического, динамического анализа программного обеспечения, предусмотренных пунктами 5.8 - 5.12, 5.16, 5.18 и 5.19 раздела 5 требований по безопасной разработке;

проверка фактического соответствия процессов безопасной разработки программного обеспечения, реализованных у изготовителя, руководству по безопасной разработке программного обеспечения;

инструментальный контроль представителями органа по сертификации реализации изготовителем процессов безопасной разработки программного обеспечения, в том числе среды сборки и разработки программного обеспечения;

проверка полноты и обеспеченности изготовителя сотрудниками, обладающими знаниями и умениями, необходимыми для реализации процессов безопасной разработки программного обеспечения.".

8. Сноску "4" к пункту 19 исключить.

9. В пункте 20:

в абзаце первом слово "Протоколы" заменить словом "Протокол" и слово "содержащие" заменить словом "содержащий";

в абзаце седьмом слово "Протоколы" заменить словом "Протокол" и слово "подписываются" заменить словом "подписывается".

10. Абзац третий пункта 21 признать утратившим силу.

11. В абзаце втором пункта 23 слова "оформляются протоколы" заменить словами "оформляется протокол".

12. В пункте 24:

в абзаце пятом слово "протоколы" заменить словом "протокол";

в абзаце шестом слово "протоколы" заменить словом "протокол".

13. Абзац второй пункта 30 изложить в новой редакции:

"Сертификат соответствия выдается на область действия, указанную в руководстве по безопасной разработке программного обеспечения, и срок, указанный в заявке, но не более чем на пять лет.".

14. В приложении N 3 к Порядку проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утвержденному приказом ФСТЭК России от 1 декабря 2023 г. N 240:

слова "ГОСТ Р 56939-2016" заменить словами "ГОСТ Р 56939-2024";

слова "1 июня 2016 г. N 458-ст." заменить словами "24 октября 2024 г. N 1504-ст.".