Зарегистрировано в Минюсте России 18 сентября 2025 г. N 83573
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ПРИКАЗ
от 30 июня 2025 г. N 230
О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ПОРЯДОК ПРОВЕДЕНИЯ СЕРТИФИКАЦИИ ПРОЦЕССОВ БЕЗОПАСНОЙ РАЗРАБОТКИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, УТВЕРЖДЕННЫЙ ПРИКАЗОМ ФСТЭК РОССИИ ОТ 1 ДЕКАБРЯ 2023 Г. N 240
В соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, и пунктом 9 приложения, утвержденного постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330, приказываю:
Внести изменения в Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утвержденный приказом ФСТЭК России от 1 декабря 2023 г. N 240 (зарегистрирован Минюстом России 16 апреля 2024 г., регистрационный N 77896), согласно приложению к настоящему приказу.
по техническому и экспортному контролю
ИЗМЕНЕНИЯ, КОТОРЫЕ ВНОСЯТСЯ В ПОРЯДОК ПРОВЕДЕНИЯ СЕРТИФИКАЦИИ ПРОЦЕССОВ БЕЗОПАСНОЙ РАЗРАБОТКИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, УТВЕРЖДЕННЫЙ ПРИКАЗОМ ФСТЭК РОССИИ ОТ 1 ДЕКАБРЯ 2023 Г. N 240
1. В пункте 1:
слова "ГОСТ Р 56939-2016" заменить словами "ГОСТ Р 56939-2024";
слова "1 июня 2016 г. N 458-ст <1>" заменить словами "24 октября 2024 г. N 1504-ст <1>".
2. Сноску <1> к пункту 1 изложить в новой редакции:
"<1> М., ФГБУ "Институт стандартизации", 2024.".
3. В пункте 5 слова "пунктом 4.10 требований по безопасной разработке" заменить словами "пунктом 5.1 настоящего Порядка".
4. Дополнить пунктом 5.1 следующего содержания:
"5.1. В руководстве по безопасной разработке программного обеспечения указываются:
описание области действия руководства по безопасной разработке программного обеспечения;
цели изготовителя в области создания безопасного программного обеспечения;
перечень и описание реализованных процессов по безопасной разработке программного обеспечения;
распределение ролей и обязанностей, связанных с реализацией процессов по безопасной разработке программного обеспечения;
перечень регламентов по безопасной разработке программного обеспечения в соответствии с пунктами 5.1 - 5.25 раздела 5 требований по безопасной разработке;
правила и требования, относящиеся к планированию и проведению внутренних проверок реализации требований по безопасной разработке программного обеспечения;
описание действий, направленных на улучшение процессов, связанных с безопасной разработкой программного обеспечения.
Руководство по безопасной разработке программного обеспечения должно быть утверждено изготовителем, издано и доведено до всех работников, имеющих отношение к безопасной разработке программного обеспечения.".
5. В пункте 8 слова "пункту 4.10 требований по безопасной разработке" заменить словами "пункту 5.1 настоящего Порядка".
6. Пункт 18 изложить в новой редакции:
"18. Сертификация проводится на материально-технической базе изготовителя, используемой для разработки, модернизации, производства, хранения, распространения и поддержки безопасности программного обеспечения, расположенной на территории Российской Федерации. Изготовитель должен обеспечить доступ представителей органа по сертификации к материально-технической базе изготовителя, в том числе к среде сборки и разработки программного обеспечения.".
7. Пункт 19 изложить в новой редакции:
"19. В процессе сертификации осуществляются:
оценка соответствия руководства по безопасной разработке программного обеспечения требованиям пункта 5.1 настоящего Порядка;
проверка соответствия артефактов реализации процессов безопасной разработки программного обеспечения, имеющихся у изготовителя, требованиям пунктов 5.1 - 5.25 раздела 5 требований по безопасной разработке;
проверка наличия у изготовителя средств разработки и тестирования программного обеспечения, а также средств, предназначенных для проведения композиционного, статического, динамического анализа программного обеспечения, предусмотренных пунктами 5.8 - 5.12, 5.16, 5.18 и 5.19 раздела 5 требований по безопасной разработке;
проверка фактического соответствия процессов безопасной разработки программного обеспечения, реализованных у изготовителя, руководству по безопасной разработке программного обеспечения;
инструментальный контроль представителями органа по сертификации реализации изготовителем процессов безопасной разработки программного обеспечения, в том числе среды сборки и разработки программного обеспечения;
проверка полноты и обеспеченности изготовителя сотрудниками, обладающими знаниями и умениями, необходимыми для реализации процессов безопасной разработки программного обеспечения.".
8. Сноску <4> к пункту 19 исключить.
9. В пункте 20:
в абзаце первом слово "Протоколы" заменить словом "Протокол" и слово "содержащие" заменить словом "содержащий";
в абзаце седьмом слово "Протоколы" заменить словом "Протокол" и слово "подписываются" заменить словом "подписывается".
10. Абзац третий пункта 21 признать утратившим силу.
11. В абзаце втором пункта 23 слова "оформляются протоколы" заменить словами "оформляется протокол".
12. В пункте 24:
в абзаце пятом слово "протоколы" заменить словом "протокол";
в абзаце шестом слово "протоколы" заменить словом "протокол".
13. Абзац второй пункта 30 изложить в новой редакции:
"Сертификат соответствия выдается на область действия, указанную в руководстве по безопасной разработке программного обеспечения, и срок, указанный в заявке, но не более чем на пять лет.".
14. В приложении N 3 к Порядку проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утвержденному приказом ФСТЭК России от 1 декабря 2023 г. N 240:
слова "ГОСТ Р 56939-2016" заменить словами "ГОСТ Р 56939-2024";
слова "1 июня 2016 г. N 458-ст." заменить словами "24 октября 2024 г. N 1504-ст.".