Cloud.ru автоматизировал документооборот процессов РБПО
Cloud.ru — единственный российский облачный провайдер с сертификатом ФСТЭК на процессы разработки безопасного ПО. Чтобы пройти все проверки и не допустить деградации практик в дальнейшем, компания с помощью ПО Business Studio выстроила цифровую платформу управления процессами — от оргструктуры и ролей до регламентов и артефактов. Платформа работает непрерывно: она отслеживает изменения в командах и процессах, а при обновлении модели формирует новую документацию автоматически. Схема универсальна и подходит любой IT-компании, которая хочет пройти сертификацию РБПО или поддерживать актуальность процессов без постоянной ручной работы.
Проблема: 25 процессов, 200 артефактов и документация, которая устаревает быстрее, чем обновляется
Для соответствия ГОСТ Р 56939-2024 необходимо выстроить 25 взаимосвязанных процессов безопасной разработки, зафиксировать их во внутренних регламентах, внедрить требуемые инструменты и обучить команды. Сертификат выдается на 5 лет, но это не “индульгенция” — соответствие требованиям нужно подтверждать регулярно.
Структура документации — трехуровневая:
- Руководство по разработке безопасного ПО.
- 25 регламентов — конкретные предписания для каждого процесса.
- Приложения к регламентам — инструкции, задачи и дополнительные материалы.
Итого — около 200 артефактов. Причем аудиторы ИСП РАН (единственной на момент проведения сертификации организации с правом сертифицировать IT-компании по РБПО) проверяли не только факт наличия документов, а еще и оценивали реальный уровень внедрения практик — проводили интервью с командами, анализировали работу технологического стека.
Главная проблема — динамичность процессов. В крупной IT-компании команды постоянно перестраиваются: меняются лидеры, роли, зоны ответственности. Если вся документация лежит в Word-файлах или Confluence-страницах, написанных вручную, любое кадровое изменение порождает лавину правок. При 25 взаимосвязанных процессах отследить все несоответствия практически невозможно.
Вначале мы получили сертификат соответствия ФСТЭК на платформу виртуализации Evolution Stack, которая обладает функциями защиты информации. Для работы с государственными заказчиками такие разработки должны быть сертифицированы, поэтому получение сертификата на РБПО с областью применения, в которую входит облачная платформа Evolution Stack, стало логичным шагом. Наличие сертификата на процессы РБПО позволяет компании проводить необходимые испытания самостоятельно. Это значительно сокращает время выпуска сертифицированных версий и дает возможность оперативнее реагировать на потребности заказчиков.
Для облачных провайдеров оценка имеет свою специфику. Облачная платформа — это сотни взаимосвязанных микросервисов с различным технологическим стеком, которая включает в себя множество компонентов, поддержку которых обеспечивают десятки команд разработки. Такая архитектура требует сложной координации процессов безопасной разработки на каждом этапе жизненного цикла.
Решение Business Studio: оцифрованная архитектура процессов как живая система
Для построения бизнес-архитектуры Cloud.ru выбрал Business Studio — профессиональный инструмент процессного моделирования. В рамках проекта РБПО его возможности были задействованы системно. Business Studio оцифровала данные о бизнес-процессах, оргструктуре, ролях, артефактах, метриках и связях между всеми 25 процессами.
Что было занесено в модель:
- Организационная структура и иерархия команд.
- Роли исполнителей в каждом процессе (технические лиды, архитекторы, тестировщики).
- 25 процессов РБПО с полным описанием шагов, входов, выходов и связей.
- Все ~200 артефактов, привязанных к конкретным процессам и ролям.
Ключевое свойство системы — связность. Business Studio хранит не набор документов, а единую модель, где все объекты связаны явно. Если один процесс передает артефакт другому — эта связь зафиксирована. Система сама указывает на несоответствия: если связь не отражена или артефакт пропал, это видно в отчете. При кадровых изменениях достаточно обновить оргструктуру в одном месте — и все регламенты, где фигурирует изменившаяся роль или команда, обновятся автоматически.
Как устроена платформа сейчас: Business Studio + Wiki + ИИ-агент
Business Studio → HTML → Markdown → Wiki
Документы из Business Studio экспортируются в HTML, затем специализированный сервис автоматически конвертирует их в Markdown и публикует в корпоративной Wiki (Confluence). Документация доступна онлайн, ее можно выгрузить в PDF. Синхронизация запускается автоматически каждую ночь; при необходимости можно инициировать внеплановое обновление вручную.
RAG-платформа на базе собственных моделей Cloud.ru
Поверх Wiki Cloud.ru развернул внутреннюю платформу на основе RAG-технологии, которая объединяет репозитории GitLab, страницы Wiki и другие внутренние источники. Пользователь через личный кабинет добавляет ссылки на нужные ресурсы, система их индексирует (полная обработка — около 15 минут) и строит графы взаимосвязей между сервисами, компонентами и документами.
Ключевое отличие от обычного поиска — ответы на вопросы в естественной форме. Разработчик спрашивает: «Какими средствами я могу читать логи?» — и получает конкретный ответ со ссылкой на нужный регламент, а не 25 документов для самостоятельного изучения. Ответы адаптированы под роль пользователя.
Платформа дополнительно умеет выявлять связи между микросервисами, проводить базовый security-аудит кода и формировать структуру обучающих курсов для новых сотрудников. В качестве языковых моделей используется собственный сервис Evolution Foundation Models — все данные остаются внутри инфраструктуры Cloud.ru. Дополнительно реализована интеграция с корпоративными чатами через MCP-серверы: бот-консультант отвечает прямо в переписке.
Зачем Cloud.ru сертификат РБПО
Сертификат РБПО дал Cloud.ru одно ключевое преимущество — компания получила право самостоятельно вносить изменения в сертификат на платформу Evolution Stack без привлечения аккредитованной лаборатории.
Это подразумевает:
- Управляемый релизный цикл — плановые обновления плюс оперативные патчи без «сертификационных простоев».
- Сокращение затрат — лабораторная экспертиза для каждого промежуточного релиза больше не требуется.
- Доверие государственных заказчиков — безопасность встроена в процесс с самого начала, а не добавляется перед релизом, рынок видит подтвержденную зрелость процессов поставщика.
Июнь 2026 г.
Скопировано