Новый ГОСТ Р «Защита информации системы с конструктивной информационной безопасностью. Методология разработки»

В 2024 году в России был разработан и в 2025 году представлен проект нового национального стандарта ГОСТ Р, посвящённого методологии разработки систем с конструктивной информационной безопасностью (СКИБ).

Этот документ, разработанный при участии ведущих организаций, таких как ФСТЭК России, Лаборатория Касперского и Институт системного программирования РАН, устанавливает требования и рекомендации для создания систем, которые обеспечивают безопасность информации на уровне конструктивных решений.

Основные положения ГОСТ Р

Новый ГОСТ Р направлен на устранение пробелов в современной индустрии разработки компьютеризированных систем, где вопросы информационной безопасности часто рассматриваются только после проектирования функциональной составляющей.

Стандарт предлагает интегрировать требования по безопасности на всех этапах жизненного цикла системы, начиная с этапа замысла. Это позволит минимизировать количество уязвимостей в архитектуре, коде и конфигурации систем, а также оптимизировать использование средств защиты информации.

Ключевые элементы стандарта

Основными элементами стандарта являются:

1. Конструктивная информационная безопасность (КИБ).
   Стандарт определяет КИБ как подход, при котором система с момента её создания проектируется с учётом требований безопасности. Это позволяет снизить избыточную функциональную и архитектурную сложность, а также уменьшить эксплуатационные затраты на обеспечение защищённости систем.
2. Применение шаблонов проектирования.
   В документе особое внимание уделяется использованию шаблонов проектирования, которые помогают решать типовые задачи разработки безопасных систем. Эти шаблоны позволяют минимизировать поверхность атаки, снизить сложность архитектуры и обеспечить повторное использование проверенных решений.
3. Методология разработки.
   Стандарт описывает методологию разработки СКИБ, которая включает процессы планирования, анализа, проектирования, реализации, тестирования и сопровождения систем. Особое внимание уделяется синхронизации требований безопасности с основным функционалом системы.
4. Документирование и оценка соответствия.
   Разработчикам рекомендуется документировать все этапы создания системы, включая цели безопасности, предположения безопасности, архитектуру и механизмы защиты. Это необходимо для оценки соответствия системы требованиям стандарта.
5. Применение в различных областях.
   Стандарт может быть использован для создания систем в различных областях, включая промышленную автоматизацию, энергетику, транспортную инфраструктуру, а также для устройств Интернета вещей (IoT) и Промышленного интернета вещей (IIoT).

Примеры шаблонов проектирования

В приложении к стандарту приведены примеры типовых шаблонов проектирования, таких как:

• Шаблон «Монитор» – для организации мониторинга событий в системе
• Шаблон «Безопасная загрузка» – для обеспечения целостности и аутентичности ПО при загрузке системы
• Шаблон «Терминатор TLS» – для безопасной передачи данных по протоколу TLS
• Шаблон «Безопасное обновление» – для организации безопасного обновления системы через удалённый сервер

И другие шаблоны.

Значение стандарта для отрасли

Внедрение нового ГОСТ Р позволит повысить уровень информационной безопасности в критически важных системах, таких как объекты критической информационной инфраструктуры (КИИ). Это особенно актуально в условиях растущих киберугроз и цифровой трансформации.

Стандарт также способствует снижению затрат на разработку и эксплуатацию систем за счёт интеграции механизмов безопасности на этапе проектирования — это позволяет избежать дорогостоящих доработок и исправлений на поздних этапах жизненного цикла.

Новый ГОСТ Р по методологии разработки систем с конструктивной информационной безопасностью — важный шаг в стандартизации подходов к созданию защищённых систем. Его внедрение позволит не только повысить уровень безопасности, но и упростить процесс разработки, сделав его более прозрачным и управляемым.