Сертификация РБПО по ГОСТ Р 56939-2024: что изменилось для разработчиков ОС Аврора
ФСТЭК обновила сертификат РБПО по продуктам «Открытой мобильной платформы» — ОС «Аврора» и ППО «Аврора Центр». Документ №6, выданный ещё в 2025 году, теперь подтверждает соответствие процессов разработки ГОСТ Р 56939-2024.
Что там внутри этого ГОСТа
25 процессов. Не «чек-лист на 10 пунктов» и не «политика безопасности в Confluence». Это покрывает весь жизненный цикл: обучение персонала, планирование безопасности, постановка требований, работа с цепочками поставки, тестирование, устранение уязвимостей, техподдержка. То есть, грубо говоря, это ответ на вопрос «а почему у нас на проде библиотека с CVE 2023 года, и никто не заметил». Если у вас в команде нет ни SAST, ни SCA, ни нормального процесса реагирования на CVE — вы мимо всех 25 пунктов. Просто примите это.
Отдельно доставляет пункт про цепочки поставки. Это когда вы тянете 800 npm-пакетов через `npm install` и молитесь, чтобы ни в одном из них не оказался бэкдор. РБПО в этой части требует SBOM, контроль зависимостей и верификацию источников. Никакого «поставил из публичного реги — и ладно».
Что это даёт «Открытой мобильной платформе»
Сертификат позволяет самостоятельно проводить исследования безопасности при внесении изменений в сертифицированные версии продуктов. Перевод с канцелярского: они не бегают каждый раз в ФСТЭК за обновлением, когда меняют версию ядра или обновляют пакеты. Цикл вывода апдейтов на рынок сокращается. Для веб-разработчика это сигнал: регулятор начал признавать, что безопасная разработка — это процесс, а не разовый акт проверки кода. И дальше таких сертификатов будет больше, потому что рынок ГИС/КИИ требует импортозамещения, а сертифицировать каждое обновление заново никто не подпишется.
Что делать вам
Не нужно бежать и сертифицироваться. Нужно сесть и честно ответить себе на пять вопросов:
- У вас есть SBOM для прод-зависимостей? Если нет — это костыль номер один, с которым вы в любой ГИС не зайдёте.
- Кто и как реагирует на новые CVE в ваших зависимостях? Если ответ «никто, пока не упадёт прод» — вы вне процесса.
- SAST/DAST в пайплайне — это реально работающая штука или формальность, которую прикрутили, чтобы отстал безопасник?
- Цепочка поставки: вы контролируете, откуда приходят артефакты, или доверяете `pip install` на слово?
- Обучение команды безопасной разработке — это был один вебинар два года назад или что-то регулярное?
Если по большинству пунктов ответ «нет, кое-как, на отвали» — вы ровно тот кандидат, на кого этот сертификат и вся движуха вокруг РБПО в перспективе обрушатся требованиями заказчика. Бэкапы делайте. Процессы — тоже.