Документ определяет основные понятия и принципы конструктивной безопасности, а также утверждает приоритет такого подхода при разработке ПО и систем
Росстандарт утвердил проект нового государственного стандарта (ГОСТ) «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки». Документ был создан при участии «Лаборатории Касперского». Стандарт определяет основные понятия и принципы конструктивной безопасности, а также утверждает приоритет такого подхода при разработке ПО и систем. Он начнёт действовать с 1 декабря 2025 года.
Конструктивная безопасность (или Secure-by-Design) — это подход, при котором безопасность продукта или системы встраивается в его архитектуру на этапе проектирования и поддерживается в течение всего жизненного цикла, то есть обеспечивается изнутри. Это делает их более устойчивыми к кибератакам и сокращает количество потенциальных уязвимостей, которыми могут воспользоваться злоумышленники.
В основу ГОСТа легли базовые стандарты системной инженерии, а также опыт и методы, которые применяются в «Лаборатории Касперского» на протяжении многих лет, в частности при разработке операционной системы KasperskyOS и кибериммунных продуктов на её базе.
Документ относится не только к программному обеспечению, но и к цифровым системам в целом — например, это могут быть АСУ ТП на промышленных предприятиях, смартфоны.
Новый ГОСТ поможет сформировать общее понятийное поле в области конструктивной безопасности. Его можно будет использовать как основу для создания отраслевых стандартов и шаблонов, например шаблонов безопасного обновления для транспорта. ГОСТ также будет способствовать повышению доверия к продуктам, поскольку с помощью конструктивно-безопасного подхода можно создавать доверенные системы из потенциально небезопасных компонентов, обеспечивая устойчивость даже в сложной и агрессивной цифровой среде.
Кроме того, стандарт позволит распространить методы проектирования конструктивно безопасных продуктов и систем с ПО на целые инфраструктуры. У «Лаборатории Касперского» уже есть подобный опыт: например, подход Secure-by-Design лежит в основе тонкого клиента Kaspersky Thin Client, автомобильного шлюза Kaspersky Automotive Secure Gateway и других решений, не относящихся к классическим защитным продуктам.
«Утверждение нового ГОСТа — это не окончание, а только начало работы над стандартом. Нам ещё предстоит развивать методы, решения, проекты, архитектуры, которые должны привести нас к такому уровню развития цифровой инфраструктуры и состоянию отрасли, в которой безопасность будет обязательным элементом, неотделимым от качества разрабатываемых продуктов. Новый ГОСТ — это отражение зрелости инженерного мышления, к которому сейчас приходит вся индустрия. В дальнейшем мы планируем вовлекать разработчиков, интеграторов, отраслевых регуляторов и партнёров для расширения сообщества, а также применения такой методологии на практике», — комментирует Андрей Духвалов, директор департамента перспективных технологий «Лаборатории Касперского».
