Новый ГОСТ Р «Защита информации системы с конструктивной информационной безопасностью. Методология разработки»

Новый ГОСТ Р «Защита информации системы с конструктивной информационной безопасностью. Методология разработки»

В 2024 году в России был разработан и в 2025 году представлен проект нового национального стандарта ГОСТ Р, посвящённого методологии разработки систем с конструктивной информационной безопасностью (СКИБ).

Этот документ, разработанный при участии ведущих организаций, таких как ФСТЭК России, Лаборатория Касперского и Институт системного программирования РАН, устанавливает требования и рекомендации для создания систем, которые обеспечивают безопасность информации на уровне конструктивных решений.

Основные положения ГОСТ Р «Защита информации системы с конструктивной информационной безопасностью. Методология разработки»

Новый ГОСТ Р направлен на устранение пробелов в современной индустрии разработки компьютеризированных систем, где вопросы информационной безопасности часто рассматриваются только после проектирования функциональной составляющей.

Стандарт предлагает интегрировать требования по безопасности на всех этапах жизненного цикла системы, начиная с этапа замысла. Это позволит минимизировать количество уязвимостей в архитектуре, коде и конфигурации систем, а также оптимизировать использование средств защиты информации.

Ключевые элементы стандарта

Основными элементами стандарта являются:

  1. Конструктивная информационная безопасность (КИБ)
    Стандарт определяет КИБ как подход, при котором система с момента её создания проектируется с учётом требований безопасности. Это позволяет снизить избыточную функциональную и архитектурную сложность, а также уменьшить эксплуатационные затраты на обеспечение защищённости систем.
  2. Применение шаблонов проектирования
    В документе особое внимание уделяется использованию шаблонов проектирования, которые помогают решать типовые задачи разработки безопасных систем. Эти шаблоны позволяют минимизировать поверхность атаки, снизить сложность архитектуры и обеспечить повторное использование проверенных решений.
  3. Методология разработки
    Стандарт описывает методологию разработки СКИБ, которая включает процессы планирования, анализа, проектирования, реализации, тестирования и сопровождения систем. Особое внимание уделяется синхронизации требований безопасности с основным функционалом системы.
  4. Документирование и оценка соответствия
    Разработчикам рекомендуется документировать все этапы создания системы, включая цели безопасности, предположения безопасности, архитектуру и механизмы защиты. Это необходимо для оценки соответствия системы требованиям стандарта.
  5. Применение в различных областях
    Стандарт может быть использован для создания систем в различных областях, включая промышленную автоматизацию, энергетику, транспортную инфраструктуру, а также для устройств Интернета вещей (IoT) и Промышленного интернета вещей (IIoT).

Примеры шаблонов проектирования

В приложении к стандарту приведены примеры типовых шаблонов проектирования, таких как:

  • Шаблон «Монитор» – для организации мониторинга событий в системе
  • Шаблон «Безопасная загрузка» – для обеспечения целостности и аутентичности программного обеспечения при загрузке системы
  • Шаблон «Терминатор TLS» – для безопасной передачи данных по протоколу TLS
  • Шаблон «Безопасное обновление» – для организации безопасного обновления системы через удалённый сервер

И другие шаблоны

Значение стандарта для отрасли

Внедрение нового ГОСТ Р позволит повысить уровень информационной безопасности в критически важных системах, таких как объекты критической информационной инфраструктуры (КИИ). Это особенно актуально в условиях растущих киберугроз и необходимости защиты данных в условиях цифровой трансформации.

Стандарт также способствует снижению затрат на разработку и эксплуатацию систем за счёт интеграции механизмов безопасности на этапе проектирования, что позволяет избежать дорогостоящих доработок и исправлений на поздних этапах жизненного цикла системы.

Новый ГОСТ Р по методологии разработки систем с конструктивной информационной безопасностью представляет собой важный шаг в стандартизации подходов к созданию защищённых систем.

Его внедрение позволит не только повысить уровень безопасности, но и упростить процесс разработки, сделав его более прозрачным и управляемым. Это особенно важно в условиях растущих требований к защите информации и необходимости обеспечения доверия к цифровым системам.