Безопасность и нормативное соответствие цифровых сервисов на платформе «ГосТех»

Платформа «ГосТех» — это единая цифровая среда, предназначенная для размещения и эксплуатации государственных информационных систем (ГИС) и цифровых сервисов на основе облачной инфраструктуры.

С 2024 года использование платформы стало обязательным на федеральном и региональном уровнях, а с 2025 — планируется обязательное подключение всех вновь создаваемых ИС госорганов и подведомственных учреждений.

Платформа представляет собой централизованный технологический стек с унифицированной архитектурой, сертифицированной системой безопасности и встроенными DevSecOps-инструментами.

Требования к безопасности цифровых сервисов на платформе «ГосТех»

Одним из ключевых условий допуска сервиса к размещению на «ГосТех» является соответствие его архитектуры и компонентов требованиям по защите информации.
Эти требования основаны на действующих нормативных правовых актах, в том числе:

1. ФЗ №152-ФЗ «О персональных данных»
2. ФЗ №187-ФЗ «О безопасности КИИ»
3. ГОСТ Р 57580.1 и 57580.2
4. ГОСТ Р 56939–2016 (безопасная разработка ПО)
5. Рекомендации Минцифры по включению сервисов в ЕЦП

Все сервисы, претендующие на размещение, должны обеспечить:

1. Интеграцию с базовыми сервисами безопасности «ГосТех»: IAM (управление доступом), логирование, аудит событий, централизованный мониторинг.
2. Поддержку многофакторной аутентификации и гибкой модели RBAC.
3. Разделение уровней доступа и контроль действий пользователей.
4. Шифрование данных при передаче и хранении.
5. Сканирование кода на уязвимости и устранение критических дефектов до публикации

Разработка безопасного ПО: DevSecOps-подход как обязательное условие

Если ваш цифровой продукт не имеет сертификата ФСТЭК, необходимо документально подтвердить реализацию подхода DevSecOps:

1. Внедрение шагов обеспечения безопасности на всех этапах жизненного цикла ПО.
2. Автоматизация анализа уязвимостей (SAST, DAST).
3. Описание защищённых процессов CI/CD.
4. Документация процедур контроля поставок компонентов (SBOM).

Для продуктов, работающих с конфиденциальной информацией, требуется:

1. Оценка уязвимостей по AVA_VAN.2 (ГОСТ Р ИСО/МЭК 15408–3)
2. Наличие аттестата соответствия или заключения о внедрённых мерах защиты
3. Экспертное заключение ФКУ ГосТех по итогам испытаний

После подачи заявления на включение сервиса в каталог ГосТех проводится комплекс технических испытаний:

1. Развёртывание на стенде в инфраструктуре платформы
2. Тестирование интеграции с сервисами IAM, логирования, мониторинга
3. Проверка стабильности, отказоустойчивости и безопасности при имитации рабочих нагрузок
4. Анализ соответствия системных требований и производительности заявленным параметрам

Перечень документации и итоговый аудит

Чтобы цифровой сервис был допущен к размещению на платформе «ГосТех», разработчику необходимо подготовить обширный пакет документации. В него входят не только технические руководства и инструкции по эксплуатации, но и описание архитектуры, модели угроз, процедуры безопасной разработки и результаты анализа уязвимостей. Также важно отразить, как обеспечивается защита на уровне идентификации пользователей, аудита действий, журналирования и мониторинга.

Дополнительно требуется обосновать соблюдение требований государственных стандартов, таких как ГОСТ 57580 и ГОСТ Р 56939, и продемонстрировать, что процесс разработки учитывает весь жизненный цикл ПО — от проектирования до сопровождения. При этом особое внимание уделяется не только безопасности кода, но и управлению зависимостями, механизмам обновления и средствам защиты в контейнеризованных средах.

После подачи заявки команда ФКУ «ГосТех» проводит комплексную проверку: от анализа документации до реального развёртывания сервиса на тестовой инфраструктуре. Испытания охватывают функциональные сценарии, нагрузочное тестирование, проверку взаимодействия с базовыми сервисами платформы, а также моделирование отказов и попыток компрометации. Только после успешного завершения этих испытаний сервис может быть внесён в официальный каталог цифровых продуктов «ГосТех».

Интеграция цифровых решений в экосистему «ГосТех» требует не просто технической совместимости, а полного соответствия нормативным требованиям, прозрачности процессов и высокой зрелости разработки. Такой подход позволяет государственным заказчикам быть уверенными в безопасности, отказоустойчивости и контролируемости внедряемых решений.

Для разработчиков это — вызов, но также и возможность выйти на новый уровень взаимодействия с публичным сектором. В условиях растущих рисков и регуляторного давления «ГосТех» становится не только платформой, но и вектором стандартизации всей государственной цифровой инфраструктуры.