Рекомендации по безопасной разработке индустриального программного обеспечения (ИПО) и моделей искусственного интеллекта (ИИ) 6 октября 2025 г. представила АНО "Консорциум технологической независимости индустриального ПО" - это произошло на конференции byteoilgas в Москве. Они состоят из девяти модулей: архитектурные принципы, анализ требований, практика разработки, обеспечение качества, сборка и поставка, развертывание и эксплуатация, механизмы интеграции, управление данными, машинное обучение.

https://www.comnews.ru/content/241614/2025-10-07/2025-w41/1008/softvernyy-rynok-poluchil-rekomendacii-razrabotke-industrialnogo

Полного текста рекомендаций в общем доступе в данный момент нет. На сайте Консорциума имеется лишь их краткое описание, названия модулей и имена авторов рекомендаций. На этом сайте есть возможность отправить заявку на доступ к документу, заполнив короткую форму. Однако получить этот документ по заявке может пока лишь ограниченный круг представителей отрасли. Эту информацию корреспонденту ComNews подтвердил представитель консорциума.

Участники российского ИТ-рынка разделились во взглядах на новые рекомендации: одни видят в них дополнительный барьер, искусственно ограничивающий конкуренцию, а другие считают документ полезным для отрасли.

Кто против?

Заместитель генерального директора по науке АО "СиСофт Девелопмент" (входит в ГК "СиСофт") Михаил Бочаров раскритиковал рекомендации по разработке: "Для крупных разработчиков программного обеспечения, хорошо знающих потребности рынка и зачастую формирующих его новыми продуктами, подобные рекомендации вряд ли представляют существенную практическую ценность. Для сегмента среднего, а тем более малого бизнеса, рекомендации еще могут оказаться более востребованными. Однако при этом существует высокий риск того, что некачественные или несогласованные между собой документы приведут к серьезным последствиям. Для малых и средних предприятий ошибки в нормативных или методических материалах могут стать критическими".

Генеральный директор АНО "Национальный центр компетенций по информационным системам управления холдингом" (НЦК ИСУ) Кирилл Семион указал на неопределенный статус рекомендаций: "Так как статус разработанных рекомендаций не определен, придерживаться их никто не обязан, и требовать их соблюдения тоже нельзя. Но рекомендации точно могут быть полезны для организации внутренней разработки. Пока компании устанавливают для нее правила так, как сами решат, или не устанавливают их вообще".

"В текущих условиях избыточное количество рекомендаций и стандартов не способствует системному развитию отрасли. Особенно это заметно в области информационного моделирования, где уже можно наблюдать значительное дублирование и противоречивость требований, исходящих из многочисленных ГОСТов, стандартов и сводов правил. Рынок фактически перегружен документами, направленными в разные стороны, что приводит к снижению эффективности и замедляет принятие решений. Появление новых рекомендаций, даже в добровольном формате, может лишь усилить эту тенденцию и внести дополнительную неопределенность", - добавил Михаил Бочаров.

"Речь идет пока о рекомендациях, а не о барьерах. Отчасти эти рекомендации продиктованы требованиями компаний отрасли, и мотивация консорциума понятна. С другой стороны, в 2024 г. вышла новая редакция ГОСТ-56939, в котором описаны требования к процессу безопасной разработки, однако до сих пор не ясно, как планируется позиционировать и поддерживать эти рекомендации", - отметил старший управляющий директор ООО "АппСек Солюшенс" (AppSec Solutions) Антон Башарин.

ГОСТ-56939-2024 носит название "Разработка безопасного программного обеспечения. Общие требования". Этот документ разработала Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и еще девятью структурами, включая АО "Лаборатория Касперского", АО "Позитив Текнолоджиз", АО "ИнфоТеКС", ООО "РусБИТех-Астра" и АО "Сбер-Тех". Росстандарт ввел его в действие 20 декабря 2024 г. Обновленный ГОСТ-56939 имеет объем 34 страницы.

Как сообщил представитель Консорциума на представлении Рекомендаций по безопасной разработке индустриального ПО, первая версия этого документа насчитывает около 150 страниц и 345 рекомендаций.

Борис Харас, председатель Союза разработчиков программного обеспечения и информационных технологий топливно-энергетического комплекса (СРПО ТЭК) и генеральный директор ООО "ИнфТех", видит в рекомендациях Консорциума "PR-акцию без реальных последствий". "Компании при закупках не ориентируются на рекомендации Консорциума. Так же поступают коммерческие разработчики, - сообщил Борис Харас. - К бизнесу по продвижению отечественного ПО эти рекомендации отношения не имеют. Что нам даст следование этим рекомендациям? Затраты. Выручка с этими рекомендациями никак не связана. У нас есть отличные продукты. Без рекомендаций".

Глава СРПО ТЭК добавил, что Консорциум технологической независимости индустриального ПО является "порождением" индустриального центра компетенций "Нефтегаз, нефтехимия и недропользование". "Разработкой коммерческого ПО Консорциум не занимается. ИЦК фактически исполняет роль центра компетенций по импортозамещению. По форме это клуб который финансируется отдельными компаниями. При этом ИЦК осуществляет деятельность, которая закрывает возможности продвижения для коммерческих разработчиков промышленного ПО. Рекомендации ИЦК не сильно влияют на технологическую политику заказчиков. Коммерческие разработчики промышленного ПО на них совсем не ориентируются", - утверждает Борис Харас.

Некоторые игроки российского рынка ПО считают, что рекомендации могут создать дополнительный барьер между разработчиками решений и заказчиками. "Риски барьера существуют, так как независимым игрокам придется адаптировать решения под новые требования. Это может потребовать дополнительных затрат, например, сертификации и обучения сотрудников. Рекомендации должны стать не ограничением, а универсальным инструментом, который сделает вход в закупочные процедуры и тендеры более прозрачным", - считает руководитель венчурного фонда Softline Venture Partners Елена Волотовская.

"Иногда случается, что обычные рекомендации могут стать отраслевым требованием, и это будет уже очень серьезным барьером для независимых ИТ-компаний. Поэтому в этом вопросе самое главное - не переусердствовать", - отметил технический директор ГК "Цифровые привычки" Дмитрий Романов.

"Действительно существует риск, что подобные рекомендации станут инструментом создания нового административного барьера для производителя. Фактически это может привести к ограничению конкуренции и затруднить доступ независимых разработчиков на корпоративный рынок. В современных условиях развития ИТ-отрасли появление дополнительных барьеров представляется нежелательным и контрпродуктивным", - рассуждает Михаил Бочаров из "СиСофт Девелопмент".

Начальник департамента по цифровой трансформации ПАО "Газпром нефть" Олег Третьяк ("Газпром нефть" является одним из соучредителей АНО "Консорциум технологической независимости индустриального ПО" и одним из авторов рекомендаций - прим. ComNews) на конференции byteoilgas 2025 фактически признал, что при выборе продукта заказчики будут ориентироваться на эти рекомендации: "Они содержат некий посыл разработчикам - "посмотрите, что именно для нас, заказчиков, важно". Нам нужен качественный продукт. Каждый из них мы будем проверять на соответствие этим требованиям, включая безопасность. Если вы будете придерживаться принципов и стандартов, то вероятность того, что ваше решение попадет в наш ландшафт, сильно выше, чем если бы вы не придерживались этих рекомендаций".

Кто воздержался?

Тем не менее директор по работе с государственным сектором ООО "Элма" (ELMA) Полина Павлова уверена, что рекомендации не создают непреодолимый барьер между заказчиками и разработчиками: "Напротив, они могут стать конкурентным преимуществом для независимых компаний. Единые стандарты экономят время и ресурсы. Вместо того, чтобы изучать и подстраиваться под уникальные ТЗ каждого крупного заказчика, можно один раз привести решение в соответствие с общими рекомендациями и выходить на весь пул корпораций-участниц".

Директор по разработке ООО "Некстби" Константин Беседин перечислил возможные последствия становления рекомендаций барьером для независимых ИТ-компаний: "Рекомендации могут привести к требования к ресурсам и компетенциям, формализации и соответствию, неравным условиям конкуренции, инновационным решениям и гибкости, увеличению срока и стоимости поставки решений. Превращать рекомендации в жесткие фильтры допуска поставщиков будет рискованно: это может создать барьеры для независимых компаний, затормозить инновации и усилить влияние крупных игроков внутри консорциума. Оптимально было бы начать с добровольного применения, пилотных проектов и постепенного внедрения с учетом обратной связи рынка с целью сделать рекомендации инструментом развития, а не узким "пропускным фильтром". В то же время стандарты должны быть максимально открытыми и подвергаться переработке с течением времени для сохранения актуальности заложенных в них механизмов обеспечения безопасности".

Кто за?

Многие из тех, кто поддерживают рекомендации Консорциума, считают, что они окажут помощь, особенно молодым разработчикам, имеющим мало опыта.

"На российском рынке более 26 тыс. решений. Но каждое из них написано по разным стандартам. Поэтому речь идет о том, чтобы дать разработчикам ориентиры для безопасной разработки. Хотелось бы, чтобы стандарты пошли на пользу и рыночным компаниям, и кэптивным. Уверен, что мы сможем найти компромисс", - рассказал вице-президент по взаимодействию с государственными органами ассоциации РУССОФТ Роман Клецких на конференции byteoilgas 2025.

"На рынке сотни компаний, и каждая приносит решение под разные цели, которые основаны на неких нормах производства. ИТ-директор получает ландшафт из разрозненных решений, которые надо как-то эксплуатировать, чтобы это было эффективно и безопасно. А это сложно, особенно если мы хотим за три-четыре года пройти путь по полному импортозамещению. Для того чтобы эту задачу упростить, конечно, надо искать некий общий подход к производству решений", - отметил генеральный директор ПАО "ВК Технологии" (VK Tech) Павел Гонтарев.

"Есть заметные пробелы в знаниях разработчиков: от понимания, что такое уязвимость и моделирование угроз, до того, что ответственность за используемый open source лежит на плечах самого разработчика и что нужно проверять конфигурацию поставляемого ПО на очевидные дыры. Отсутствие подобных знаний в эпоху регулярных атак особенно критично. Этот пробел в России ударными темпами закрывается со всех сторон: регуляторами, отраслевыми консорциумами, образовательными учреждениями и вендорами средств безопасной разработки. Поэтому любые профессиональные рекомендации будут полезны", - отметил основатель и генеральный директор платформы безопасной разработки ПО CodeScoring (ООО "Профископ") Алексей Смирнов.

Технический директор российской платформы для разработчиков GitFlic (ООО "РеСолют") Максим Козлов также считает рекомендации полезными для отрасли: "В условиях цифровой трансформации и роста требований к безопасности, совместимости и устойчивости ИТ-инфраструктур, единые отраслевые рекомендации становятся не просто полезным инструментом, а необходимым ориентиром. Особенно это актуально для разработчиков ПО, чьи решения интегрируются в крупные корпоративные и государственные экосистемы. Такие рекомендации помогают стандартизировать подходы к архитектуре, обеспечению безопасности и взаимодействию компонентов, снижая риски фрагментации и технического долга".

"Отрасль однозначно нуждается в подобных рекомендациях, поскольку они позволяют выровнять общий уровень технологической и ИБ зрелости компаний. Рекомендации были подготовлены с учетом лучших практик и требований законодательства — к их разработке привлекали опыт индустриальных экспертов. Поэтому в документе нет ничего лишнего, а только грамотно описаны правила гигиены по кибербезопасности. Соблюдать эти правила — в интересах самих разработчиков. Я уверена, что часть из них в работе уже опирается на принципы, описанные в документе", - отметила директор по построению процессов DevSecOps и безопасности ИИ АО "Позитив Текнолоджиз" (Positive Technologies) Светлана Газизова.

Поддержал рекомендации и президент ГК Naumen Игорь Кириченко: "В разработке методических рекомендаций принимали участие эксперты из ведущих ИТ-компаний, что создает основания для уверенности в их прагматичном подходе и удобстве для рынка. В целом, данные рекомендации можно рассматривать как стандарты разработки, способствующие упрощению коммуникации между заказчиками и исполнителями". Пои этом глава ГК Naumen подчеркнул, что любые стандарты будут эффективными лишь при условии, что они не создают монополии для одних участников и не ущемляют интересы других. "В данном контексте необходимо обеспечить защиту интересов рыночных компаний и избежать предоставления преимущественного положения кэптивным структурам", - резюмировал Игорь Кириченко.

"Безопасной разработки нет в большей части компаний, которые пишут промышленной софт. Системно и качественно это реализовано только у крупных и богатых корпораций. Организация полноценно безопасной разработки стоит денег, ее нельзя сделать инцидентной. Хоть сколько-то системный подход требует несколько десятков млн руб. в год. А выручка большинства нишевых разработчиков, которые делают прикладные промышленные программные продукты, составляет как раз от нескольких десятков и до нескольких сотен млн руб. То есть инвестиции для них существенны. А с учетом того, что сертификация пока не обязательная, а добровольная, эти инвестиции реализуются эпизодически", - рассказал управляющий директор ООО "Экспанта" (входит в ГК "УльтимаТек") Илья Измайлов.