1313030751 — ИНФОРМПРОЕКТ ГРУПП
Картотека документов

Электронный фонд правовой
и нормативно-технической документации

ГОСТ Р 72118-2025 Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки

ГОСТ Р 72118-2025 Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки

ГОСТ Р 72118-2025

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

СИСТЕМЫ С КОНСТРУКТИВНОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Методология разработки

Information protection. Systems secure by design. Development methodology



ОКС 35.020

Дата введения 2025-12-01

Предисловие

 

 

1 РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральным автономным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФАУ "ГНИИИ ПТЗИ ФСТЭК России"), Акционерным обществом "Лаборатория Касперского" (АО "Лаборатория Касперского"), Федеральным государственным бюджетным учреждением науки "Институт системного программирования им.В.П.Иванникова Российской академии наук" (ИСП РАН)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 6 июня 2025 г. № 539-ст

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение


Состояние современной индустрии разработки компьютеризированных систем, в том числе автоматизированных систем, информационных систем, информационно-управляющих систем, программно-аппаратных комплексов, прикладного программного обеспечения (ПО), программных платформ и компонентов (далее - системы), характеризуется недостаточным учетом вопросов обеспечения безопасности информации, информационных технологий и информационной инфраструктуры на ранних этапах жизненного цикла систем. Как результат соответствующие требования не имеют должного приоритета и часто определяются только после проектирования функциональной составляющей системы.

Вместе с тем данный пробел будет восполнен, если требования по обеспечению безопасности информации будут определены и сформулированы на этапе замысла системы, а реализованы на уровне конструктивных решений при проектировании и создании системы, то есть такие требования будут учитываться и прорабатываться в ходе всего жизненного цикла. Это позволит сократить количество потенциальных уязвимостей в архитектуре, коде и конфигурации систем, а также оптимизировать применение средств защиты информации. Таким образом, информационная безопасность, реализуемая на уровне конструктивных решений (конструктивная информационная безопасность), вероятно, позволит уменьшить избыточную функциональную и архитектурную сложность, а также эксплуатационные затраты, направленные на обеспечение защищенности соответствующих систем, в частности, за счет снижения вероятности появления уязвимостей, в том числе в программном обеспечении. При этом нужно отметить, что именно с факторами избыточной сложности связано существенное число ошибок в реализации системами информационных технологий, телекоммуникационных технологий и технологий управления, что подтверждает актуальность стандартизации конструктивной информационной безопасности.

Вместе с тем для обеспечения штатной работы систем (выполнения ими своих целевых функций) реализация требований безопасности информации должна быть согласована (синхронизирована) с реализацией основного функционала соответствующих систем на всех этапах их жизненного цикла. Целью настоящего стандарта является определение и описание содержания работ, необходимых для такой синхронизации при создании систем с конструктивной информационной безопасностью.

Процесс создания систем, в ходе которого обеспечивается учет опыта блокирования и исправления известных (типовых) уязвимостей и ошибок, а также минимизация числа потенциальных (новых, неизвестных) уязвимостей и ошибок, упрощается за счет формирования и использования шаблонов проектирования и разработки. Обеспечение конструктивной информационной безопасности может опираться на использование таких шаблонов, описание которых, а также принципов их формирования и применения содержится в настоящем стандарте.

С учетом изложенного конструктивная информационная безопасность может быть реализована в создаваемых системах и/или системах, для которых запланирована глубокая модернизация с полной заменой оборудования, где использование наложенных (внешних и (или) встраиваемых) средств защиты затруднено и (или) невозможно. В качестве примера можно привести системы, включающие малоресурсные устройства (в том числе многие устройства "Интернета вещей/Промышленного интернета вещей" - IоТ/IIоТ), применяемые для промышленной автоматизации, информатизации транспортных средств и других областей жизнедеятельности. Такие устройства должны разрабатываться как системы с конструктивной информационной безопасностью. Таким образом, данный подход может применяться для создания доверенных систем, в которых существует возможность подтверждения доверия.

Примечание - Малоресурсное устройство - это устройство (программно-аппаратный комплекс) с малыми объемами оперативной и долговременной памяти, невысокой (относительно низкой) производительностью и предназначенное (оптимизированное) для выполнения конкретной задачи (программы), например управления технологическим процессом (транспортным объектом, станком, механизмом и т.д.), сбора и передачи данных и т.д. На таком устройстве затруднены или невозможны установка и работа любого другого ПО, за исключением ПО, предназначенного для выполнения основной целевой функции (функции назначения) данного устройства.

1 Область применения

Настоящий стандарт распространяется на создаваемые системы, реализующие информационную технологию, а также осуществляющие с помощью информационной технологии контроль и управление различными процессами (информационными, телекоммуникационными, технологическими, производственными), и устанавливает требования и рекомендации для методологии разработки таких систем, обеспечивающие реализацию конструктивных подходов к информационной безопасности. Также данный стандарт может быть применен для обеспечения информационной безопасности систем, для которых запланирована глубокая модернизация с полной заменой оборудования, где использование наложенных (внешних и (или) встраиваемых) средств защиты затруднено и (или) невозможно.

Положения настоящего стандарта предназначены для заказчиков и разработчиков систем, реализующих информационную технологию. Положения стандарта содержат методологию разработки системы с конструктивной информационной безопасностью (далее - СКИБ) и дополняют положения комплексов стандартов "Информационная технология. Системная и программная инженерия" и "Защита информации. Разработка безопасного программного обеспечения". Также настоящий стандарт предназначен для организаций, проводящих оценку соответствия систем с конструктивной информационной безопасностью его положениям.

Название документа
ГОСТ Р 72118-2025 Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки
Номер документа
72118-2025
Вид документа
Нормативно-технический документ
Статус
Скрыто
Дата принятия
Скрыто
Дата начала действия
Скрыто

Чтобы получить полный доступ к этому и другим документам, приобретайте доступ к Информационной сети «Техэксперт» - лидеру в области комплексного обеспечения предприятий нормативно-технической документацией.

Нормативно-техническая документация (ГОСТ, СНиП, ГН, Р, ГЭСН и др.)
Нормативно-правовые акты органов государственной власти (законы, законопроекты, постановления)
Технологическая документация (чертежи, схемы и др.)
Аналитические материалы
Классификаторы и словари
Справочная информация
Все документы и информация о них
доступны в системах «Техэксперт» и «Кодекс»