Новый ГОСТ Р «Защита информации системы с конструктивной информационной безопасностью. Методология разработки»

В 2024 году в России был разработан и в 2025 году представлен проект нового национального стандарта ГОСТ Р, посвящённого методологии разработки систем с конструктивной информационной безопасностью (СКИБ).
Этот документ, разработанный при участии ведущих организаций, таких как ФСТЭК России, Лаборатория Касперского и Институт системного программирования РАН, устанавливает требования и рекомендации для создания систем, которые обеспечивают безопасность информации на уровне конструктивных решений.
Основные положения ГОСТ Р «Защита информации системы с конструктивной информационной безопасностью. Методология разработки»
Новый ГОСТ Р направлен на устранение пробелов в современной индустрии разработки компьютеризированных систем, где вопросы информационной безопасности часто рассматриваются только после проектирования функциональной составляющей.
Стандарт предлагает интегрировать требования по безопасности на всех этапах жизненного цикла системы, начиная с этапа замысла. Это позволит минимизировать количество уязвимостей в архитектуре, коде и конфигурации систем, а также оптимизировать использование средств защиты информации.
Ключевые элементы стандарта
Основными элементами стандарта являются:
- Конструктивная информационная безопасность (КИБ)
Стандарт определяет КИБ как подход, при котором система с момента её создания проектируется с учётом требований безопасности. Это позволяет снизить избыточную функциональную и архитектурную сложность, а также уменьшить эксплуатационные затраты на обеспечение защищённости систем. - Применение шаблонов проектирования
В документе особое внимание уделяется использованию шаблонов проектирования, которые помогают решать типовые задачи разработки безопасных систем. Эти шаблоны позволяют минимизировать поверхность атаки, снизить сложность архитектуры и обеспечить повторное использование проверенных решений. - Методология разработки
Стандарт описывает методологию разработки СКИБ, которая включает процессы планирования, анализа, проектирования, реализации, тестирования и сопровождения систем. Особое внимание уделяется синхронизации требований безопасности с основным функционалом системы. - Документирование и оценка соответствия
Разработчикам рекомендуется документировать все этапы создания системы, включая цели безопасности, предположения безопасности, архитектуру и механизмы защиты. Это необходимо для оценки соответствия системы требованиям стандарта. - Применение в различных областях
Стандарт может быть использован для создания систем в различных областях, включая промышленную автоматизацию, энергетику, транспортную инфраструктуру, а также для устройств Интернета вещей (IoT) и Промышленного интернета вещей (IIoT).
Примеры шаблонов проектирования
В приложении к стандарту приведены примеры типовых шаблонов проектирования, таких как:
- Шаблон «Монитор» – для организации мониторинга событий в системе
- Шаблон «Безопасная загрузка» – для обеспечения целостности и аутентичности программного обеспечения при загрузке системы
- Шаблон «Терминатор TLS» – для безопасной передачи данных по протоколу TLS
- Шаблон «Безопасное обновление» – для организации безопасного обновления системы через удалённый сервер
И другие шаблоны
Значение стандарта для отрасли
Внедрение нового ГОСТ Р позволит повысить уровень информационной безопасности в критически важных системах, таких как объекты критической информационной инфраструктуры (КИИ). Это особенно актуально в условиях растущих киберугроз и необходимости защиты данных в условиях цифровой трансформации.
Стандарт также способствует снижению затрат на разработку и эксплуатацию систем за счёт интеграции механизмов безопасности на этапе проектирования, что позволяет избежать дорогостоящих доработок и исправлений на поздних этапах жизненного цикла системы.
Новый ГОСТ Р по методологии разработки систем с конструктивной информационной безопасностью представляет собой важный шаг в стандартизации подходов к созданию защищённых систем.
Его внедрение позволит не только повысить уровень безопасности, но и упростить процесс разработки, сделав его более прозрачным и управляемым. Это особенно важно в условиях растущих требований к защите информации и необходимости обеспечения доверия к цифровым системам.