Безопасность · 098 · 2026
Аналитический обзор
Редакция it-institute.ru
DevSecOps в России 2026:
ФСТЭК, КИИ и практика
Регуляторика ФСТЭК, ГОСТ Р 56939, карта российских инструментов AppSec, уровни зрелости и практики лидеров. Данные верифицированы редакцией. Источники: ФСТЭК, УССЦ 2026, Positive Technologies.
Скачать PDF →~10%
Компаний с зрелым
DevSecOps в России
DevSecOps в России
ГОСТ Р 56939
Национальный стандарт
безопасной разработки
безопасной разработки
Приказ №177
Обновлённые требования
ФСТЭК (октябрь 2025)
ФСТЭК (октябрь 2025)
Инструменты AppSec
Россия, 2026
| Инструмент | Тип | Вендор |
|---|---|---|
| PT Application Inspector | SAST+DAST | Positive Technologies |
| Solar appScreener | SAST+SCA | ГК Солар |
| AppSec.Hub | Оркестрация | AppSec Solutions |
| + CodeScoring, Stingray | SCA, MAST | в PDF → |
+ сравнение функциональности, стоимость внедрения и рекомендации по выбору — в PDF
Ключевые данные
~30%
Компаний без систематических проверок безопасности кода — ни SAST, ни DAST, ни code review на уязвимости
~35%
На начальном уровне: SAST-сканер запущен, но результаты не интегрированы в CI/CD — «security theater»
~10%
Зрелый DevSecOps: threat modeling, SCA, мониторинг в продакшене, SLA на исправление уязвимостей
Приказ ФСТЭК №177 (октябрь 2025) расширил периметр: требования распространяются не только на операторов КИИ, но и на организации, интегрированные с ГИС, и на ФГУПы. Невыполнение — основание для предписания ФСТЭК. Рекомендуем провести gap-анализ текущих процессов.
Зрелость
Уровни зрелости DevSecOps в России
Доля компаний по уровням (%) · экспертная оценка
УССЦ, 2026
Между «поставили SAST-сканер» (уровень 1) и «встроили безопасность в культуру» (уровень 3) — 12–18 месяцев и кратный рост инвестиций в людей. Инструмент без процесса генерирует тысячи алертов, которые никто не разбирает. Лидеры (Сбер, Яндекс, PT) инвестируют в security champions и SLA на исправление.
Для кого
Три сценария применения
CISO
Построить compliance-roadmap по приказу ФСТЭК №177
Gap-анализ текущих процессов относительно ГОСТ Р 56939, карта инструментов с ценами, SLA на исправление уязвимостей — готовая основа для плана внедрения DevSecOps.
CTO
Выбрать инструменты AppSec для CI/CD-пайплайна
Сравнение PT AI, Solar appScreener, AppSec.Hub, CodeScoring — по функциональности, стоимости и сценариям интеграции. От «один SAST-сканер» до полной оркестрации.
Security-инженер
Обосновать бюджет на DevSecOps перед руководством
Данные о зрелости рынка, практики Сбера и Яндекса, стоимость внедрения (от 500K до 5M ₽/год) — аргументы для защиты бюджета с атрибуцией источников.
Содержание PDF
Что в исследовании
01Регуляторная рамка — ГОСТ Р 56939, приказы ФСТЭК №239 и №177: что обязательно, кого затрагивает, сроки
02Карта инструментов AppSec: PT AI, Solar appScreener, Stingray, AppSec.Hub, CodeScoring — тип, вендор, сценарий
03Уровни зрелости DevSecOps в России — от «отсутствует» до «зрелый», доля компаний на каждом уровне
04Практики лидеров: Сбер, Яндекс, Positive Technologies, T-Bank — security gate, SLA, security champions
05Supply chain security: SCA, SBOM, контроль open-source-зависимостей — новый фронт после приказа №177
06Кадровый дефицит и рекомендации — стоимость внедрения, roadmap по уровням зрелости, источники и методология
Получите PDF
в личном кабинете
Регуляторика, инструменты, зрелость и практики — в одном структурированном файле. Данные верифицированы редакцией. Каждый факт атрибутирован источнику.
ФСТЭК + УССЦ 2026 + Positive Technologies