Как автоматизировать процессы РБПО

Работа с госзаказчиками обязывает Cloud.ru иметь сертификат  ФСТЭК на процессы РБПО. Среди российских облачных провайдеров компания пока единственная, кто его получил. Чтобы пройти необходимые проверки и не допустить деградации практик в дальнейшем, Cloud.ru выстроила цифровую платформу управления процессами с помощью ПО Business Studio. Платформа работает непрерывно: она отслеживает изменения в командах и процессах, а при обновлении модели формирует новую документацию автоматически. Схема универсальна и подходит любой ИТ компании, которая хочет пройти сертификацию РБПО или поддерживать актуальность процессов без постоянной ручной работы.

Проблема

Для соответствия  ГОСТ Р 56939-2024  необходимо выстроить 25 взаимосвязанных процессов безопасной разработки, зафиксировать их во внутренних регламентах, внедрить требуемые инструменты и обучить команды. Все это очень трудоемко. При этом сертификат выдается на пять лет, но и это не «индульгенция» – соответствие требованиям нужно подтверждать регулярно. 

Три уровня структуры документации:

1. Руководство по разработке безопасного ПО;

2. 25 регламентов – конкретные предписания для каждого процесса;

3. Приложения к регламентам – инструкции, задачи и дополнительные материалы.

Итого – около 200 артефактов. Причем аудиторы  ИСП РАН  не только проверяли факт наличия документов, но еще и оценивали реальный уровень внедрения практик. Они проводили интервью с командами, анализировали работу технологического стека.

Главная проблема – динамичность процессов. В крупной ИТ компании команды постоянно перестраиваются: меняются лидеры, роли, зоны ответственности. Если вся документация лежит в word-файлах или Confluence -страницах, написанных вручную, любое кадровое изменение порождает лавину правок. При 25 взаимосвязанных процессах отследить все несоответствия практически невозможно.

Вначале мы получили сертификат соответствия ФСТЭК на платформу виртуализации Evolution Stack, которая обладает функциями защиты информации. Для работы с государственными заказчиками такие разработки должны быть сертифицированы, поэтому получение сертификата на РБПО с областью применения, в которую входит облачная платформа Evolution Stack, стало логичным шагом. 

Это значительно сокращает время выпуска сертифицированных версий и дает возможность оперативнее реагировать на потребности заказчиков.

Для облачных провайдеров оценка имеет свою специфику. Облачная платформа – это сотни взаимосвязанных микросервисов с различным технологическим стеком. Она включает в себя множество компонентов, поддержку которых обеспечивают десятки команд разработки. Такая архитектура требует сложной координации процессов безопасной разработки на каждом этапе жизненного цикла.

Решение Business Studio

Для построения бизнес-архитектуры Cloud.ru выбрала Business Studio – профессиональный инструмент процессного моделирования. В рамках проекта РБПО его возможности были задействованы системно. Программный продукт оцифровал данные о бизнес-процессах, оргструктуре, ролях, артефактах, метриках и связях между всеми 25 процессами.

Что было занесено в модель:

• организационная структура и иерархия команд;

• роли исполнителей в каждом процессе ;

• 25 процессов РБПО с полным описанием шагов, входов, выходов и связей;

• все ~200 артефактов, привязанных к конкретным процессам и ролям.

Система хранит не набор документов, а единую модель, где все объекты связаны явно. Это ключевое свойство системы. Если один процесс передает артефакт другому – эта связь фиксируется. Система сама указывает на несоответствия: если связь не отражена или артефакт пропал, это видно в отчете. При кадровых изменениях достаточно обновить оргструктуру в одном месте – и все регламенты, где фигурирует изменившаяся роль или команда, обновятся автоматически.

Как устроена платформа сейчас

Документы из общей базы экспортируются в HTML, затем специализированный сервис автоматически конвертирует их в Markdown и публикует в корпоративном  вики (Confluence). Документация доступна онлайн, ее можно выгрузить в PDF. Синхронизация запускается автоматически каждую ночь; при необходимости можно инициировать внеплановое обновление вручную.

RAG-платформа на базе собственных моделей Cloud.ru

Поверх вики Cloud.ru развернула внутреннюю платформу на основе  RAG-технологии , которая объединяет  репозитории GitLab , страницы вики и другие внутренние источники. Пользователь через личный кабинет добавляет ссылки на нужные ресурсы, система их  индексирует и строит графы взаимосвязей между сервисами, компонентами и документами.

Ключевое отличие от обычного поиска – ответы на вопросы в естественной форме. Разработчик спрашивает: «Какими средствами я могу читать логи?» – и получает конкретный ответ со ссылкой на нужный регламент, а не 25 документов для самостоятельного изучения. Ответы адаптированы под роль пользователя.

Платформа дополнительно умеет выявлять связи между микросервисами, проводить базовый  аудит безопасности кода  и формировать структуру обучающих курсов для новых сотрудников. В качестве языковых моделей используется собственный сервис Evolution Foundation Models – все данные остаются внутри инфраструктуры Cloud.ru. Дополнительно реализована интеграция с корпоративными чатами через  MCP-серверы : бот-консультант отвечает прямо в переписке.

Зачем Cloud.ru сертификат РБПО

Сертификат РБПО дал Cloud.ru одно ключевое преимущество – компания получила право самостоятельно вносить изменения в сертификат на платформу Evolution Stack без привлечения аккредитованной лаборатории. 

Это подразумевает: 

• управляемый релизный цикл – плановые обновления плюс оперативные патчи без «сертификационных простоев»;

• сокращение затрат – лабораторная экспертиза для каждого промежуточного релиза больше не требуется;

• доверие государственных заказчиков – безопасность встроена в процесс с самого начала, а не добавляется перед релизом. Рынок видит подтвержденную зрелость процессов поставщика.

Сертификация ФСТЭК требует порядка. Автоматизированная модель этого порядка – единственный способ не утонуть в вордовских файлах и ручных правках и не переписывать все заново регулярно.