Системный синтез

Защита информации и информационная безопасность в Российской Федерации

Содержание

Введение

Современный этап развития цифровой экономики Российской Федерации характеризуется кардинальным пересмотром подходов к обеспечению информационной безопасности. В условиях обострения геополитической обстановки и необходимости достижения технологического суверенитета, государственные регуляторы (ФСТЭК России, Росстандарт) инициировали масштабную реформу нормативно-технической базы. Период 2024–2026 годов становится переломным моментом в стандартизации процессов создания защищенного программного обеспечения и криптографических средств.

Настоящий отчет представляет собой углубленное исследование четырех основополагающих национальных стандартов, формирующих новый ландшафт требований к разработчикам и заказчикам информационных систем:

  1. ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
  2. ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования».
  3. ГОСТ Р 72118-2025 «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки».
  4. ГОСТ Р 34.14-2025 «Информационная технология. Криптографическая защита информации. Термины и определения».

Исследование базируется исключительно на официальных данных Федерального агентства по техническому регулированию и метрологии (Росстандарт), Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и текстах утвержденных нормативных актов, исключая сторонние экспертные толкования, не подтвержденные нормативной базой. Целью работы является выявление системных связей между новыми документами, анализ конкретных технических требований и определение вектора развития государственной политики в области стандартизации ИБ.

Раздел 1. Нормативно-правовой базис и архитектура новой системы стандартов

1.1. Стратегический контекст обновления фонда стандартов

Разработка и введение в действие рассматриваемых стандартов осуществляется в рамках реализации Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации».  Данный закон устанавливает приоритет национальных стандартов при формировании требований к объектам закупок для государственных и муниципальных нужд, а также при обеспечении безопасности критической информационной инфраструктуры (КИИ).

Анализируемые документы относятся к двум ключевым группам Общероссийского классификатора стандартов (ОКС):

  • 35.020 «Информационные технологии (ИТ) в целом»: Сюда входят ГОСТ Р 56939-2024, ГОСТ Р 71207-2024 и ГОСТ Р 72118-2025.  Это подчеркивает, что безопасность теперь рассматривается не как отдельная надстройка, а как неотъемлемая часть общих ИТ-процессов.
  • 35.040 «Наборы знаков и кодирование информации»: К этой группе отнесен ГОСТ Р 34.14-2025, регулирующий криптографические аспекты. 

1.2. Роль Технических комитетов и регуляторов

Разработка стандартов ведется под эгидой профильных технических комитетов, в частности ТК 362 «Защита информации», деятельность которого курирует ФСТЭК России. Утверждение документов производится приказами Росстандарта, что придает им статус национальных стандартов (ГОСТ Р), обязательных к применению в случаях, установленных законодательством (например, при аттестации систем или сертификации средств защиты).

Важной особенностью текущего цикла стандартизации (2024–2026 гг.) является синхронизация сроков ввода документов. Как показывают данные официальных приказов, регулятор применяет ступенчатый подход: сначала вводятся инструментальные требования (статический анализ, апрель 2024), затем процессные (общие требования к разработке, декабрь 2024), затем методологические (конструктивная безопасность, декабрь 2025) и, наконец, терминологические (январь 2026). 

Стандарт Дата утверждения Дата введения Статус Код ОКС
ГОСТ Р 71207-2024 18.01.2024  01.04.2024  Действует 35.020
ГОСТ Р 56939-2024 24.10.2024  20.12.2024  Действует 35.020
ГОСТ Р 72118-2025 06.06.2025 01.12.2025  Действует 35.020
ГОСТ Р 34.14-2025 Не позднее 2025 01.01.2026  Действует 35.040

Таблица 1. Хронология введения новых национальных стандартов.

Раздел 2. ГОСТ Р 56939-2024: Фундамент процессов безопасной разработки

2.1. Эволюция требований: от 2016 к 2024 году

Национальный стандарт ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» пришел на смену версии 2016 года. Официальная база Росстандарта фиксирует отмену ГОСТ Р 56939-2016 и введение нового документа с 20 декабря 2024 года на основании Приказа № 1504-ст. 

Смена версии стандарта — это не косметическая правка, а фундаментальный пересмотр подхода к жизненному циклу программного обеспечения (ПО). Если версия 2016 года носила во многом рекомендательный характер и ориентировалась на сертификационные испытания готового продукта, то версия 2024 года жестко регламентирует сами процессы разработки. Документ устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного ПО и, что критически важно, устранением выявленных недостатков. 

2.2. Императив автоматизации процессов (Clause 5.5.2.5)

Одним из наиболее значимых нововведений ГОСТ Р 56939-2024 является прямой мандат на автоматизацию. Пункт 5.5.2.5 стандарта гласит: «Использовать средства автоматизации для управления недостатками и запросами на изменение разрабатываемого ПО».7

Это требование радикально меняет ландшафт разработки в регулируемом сегменте. Ранее допускалось ведение журналов учета ошибок в ручном режиме (например, в электронных таблицах). Теперь стандарт де-юре обязывает организации внедрять специализированные инструментальные средства:

  • Системы отслеживания ошибок (Bug Tracking Systems).
  • Системы управления версиями и конфигурациями.
  • Средства CI/CD (Continuous Integration / Continuous Delivery).

Отсутствие таких средств автоматизации теперь будет трактоваться как несоответствие требованиям национального стандарта, что может стать препятствием при сертификации ПО или аттестации информационных систем.

2.3. Управление уязвимостями и недостатками (Clause 5.5.2.3)

Стандарт вводит строгую терминологию в отношении дефектов ПО. Пункт 5.5.2.3 обязывает разработчика «контролировать реализацию изменений, связанных с недостатками ПО».  Это требование неразрывно связано с пунктом 5.5.2.4, предписывающим контроль всех запросов на изменение (Change Requests) в рамках жизненного цикла.

Фактически, ГОСТ Р 56939-2024 внедряет процессный подход к безопасности (Vulnerability Management) непосредственно в ткань разработки. Речь идет не просто о фиксации факта наличия уязвимости, а о прослеживаемости (traceability) всего пути ее устранения: от обнаружения до верификации исправления в коде и закрытия тикета в системе автоматизации.

2.4. Интеграция с инструментальными методами

Новый стандарт выступает в роли «зонтичного» документа. Он устанавливает требование о необходимости проведения анализа кода, но детализацию методов делегирует специализированным стандартам. В частности, для статического анализа ГОСТ Р 56939-2024 работает в связке с ГОСТ Р 71207-2024, который содержит конкретные метрики и методики. 

Такая структура нормативной базы (разделение общих процессных требований и частных инструментальных методик) повышает гибкость регулирования: при появлении новых технологий анализа достаточно будет выпустить отдельный стандарт на метод, не переписывая основной процессный ГОСТ.

Раздел 3. ГОСТ Р 71207-2024: Стандартизация технологий статического анализа (SAST)

3.1. Предмет регулирования и статус документа

ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования» введен в действие с 1 апреля 2024 года.  Это первый в российской практике национальный стандарт, полностью посвященный технологии статического анализа (SAST — Static Application Security Testing).

Документ предназначен для широкого круга субъектов :

  • Разработчиков инструментов статического анализа (вендоров).
  • Разработчиков средств защиты информации (СЗИ).
  • Разработчиков прикладного ПО, стремящихся к соответствию требованиям безопасности.

3.2. Метрики эффективности: Борьба с ложными срабатываниями

Ключевой проблемой внедрения SAST-инструментов исторически являлся высокий уровень шума (ложных срабатываний), который приводил к саботажу использования инструментов со стороны разработчиков. ГОСТ Р 71207-2024 решает эту проблему регуляторным путем, вводя количественные критерии качества для анализаторов.

Согласно требованиям стандарта, статический анализатор должен обеспечивать на наборе квалификационных тестов следующие показатели :

  • Ложноположительные срабатывания (False Positives) — не более 50%.
  • Ложноотрицательные срабатывания (False Negatives) — не более 50%.

Данное требование является революционным для отечественной стандартизации. Оно устанавливает измеримый порог вхождения для инструментов. Инструмент, который «кричит» о несуществующих ошибках в каждом втором случае (более 50% False Positives), признается не соответствующим ГОСТу. Точно так же дисквалифицируется инструмент, пропускающий более половины реальных угроз.

Стандарт также предписывает регулярный пересмотр состава набора квалификационных тестов, упоминая в качестве примера международный набор Juliet Test Suite.   Это свидетельствует о гармонизации российских требований с лучшими мировыми практиками тестирования анализаторов.

3.3. Требования к производительности и интеграции в CI/CD

ГОСТ Р 71207-2024 учитывает современные реалии непрерывной разработки. Стандарт запрещает подход «отложенного анализа», когда проверка запускается только перед релизом. В документе прямо указано: «Накопление непроанализированных изменений ухудшает качество проводимой экспертизы». 

Вводится конкретное временное ограничение: полный анализ программного обеспечения, включая все заимствованные компоненты (сторонние библиотеки, open source), должен выполняться не более двух суток. Хотя двое суток (48 часов) может показаться длительным сроком для Agile-команд, в контексте полного анализа крупных промышленных систем это жесткое требование, заставляющее оптимизировать алгоритмы анализа и аппаратную инфраструктуру.

3.4. Технологические требования: Контекстная чувствительность и классификация

Стандарт требует от инструментов глубины анализа, выходящей за рамки простого поиска по сигнатурам. В примечаниях к стандарту указано, что анализ должен учитывать контекст вызова процедуры (interprocedural analysis). Это означает необходимость сопоставления информации из вызывающей и вызываемой функций, отслеживания потоков данных (Data Flow Analysis) и состояния глобальных переменных. 

Кроме того, результаты анализа должны быть унифицированы. Стандарт требует, чтобы описания ошибок содержали ссылки на общепринятые идентификаторы, в частности CWE (Common Weakness Enumeration).  Для каждой ошибки документация должна предоставлять:

  1. Детальное описание.
  2. Причину возникновения.
  3. Пример уязвимого кода.
  4. Рекомендации по устранению (Remediation).

Такой подход обеспечивает интероперабельность различных инструментов и упрощает обучение персонала.

Раздел 4. ГОСТ Р 72118-2025: Смена парадигмы на «Конструктивную безопасность»

4.1. Концептуальный прорыв

ГОСТ Р 72118-2025 «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки» является, пожалуй, наиболее визионерским документом в рассматриваемом пакете. Утвержденный 6 июня 2025 года и вступающий в силу 1 декабря 2025 года  , этот стандарт вводит в российское правовое поле концепцию «Secure by Design» (Конструктивная информационная безопасность).

4.2. Определение и сущность конструктивной безопасности

Согласно разделу 3 стандарта, конструктивная информационная безопасность определяется как состояние защищенности, достигаемое не за счет наложенных средств (антивирусов, межсетевых экранов), а за счет применения конструктивных подходов на этапе создания системы. 

Под конструктивным подходом понимается придание системе специфических характеристик (свойств) еще в момент ее замысла (inception/concept stage). К таким характеристикам стандарт относит :

  • Модульность: Разделение системы на изолированные компоненты для локализации потенциального ущерба.
  • Иерархичность: Строгое упорядочивание уровней доступа и управления.
  • Распределенность: Отсутствие единой точки отказа.
  • Устойчивость (Resilience): Способность системы сохранять работоспособность при отказе отдельных элементов за счет избыточности.

4.3. Методология: От «Замысла» до «Паттернов»

Методология ГОСТ Р 72118-2025 требует смещения фокуса внимания на самые ранние этапы жизненного цикла. Ключевые положения методологии включают :

  1. Формирование требований на этапе замысла: Безопасность должна закладываться тогда, когда система существует только в виде идеи или концепции. Это предотвращает появление неустранимых архитектурных дефектов.
  2. Синхронизация: Процессы обеспечения безопасности должны идти параллельно и синхронно с разработкой функционала. Недопустима ситуация, когда безопасность «догоняет» разработку.
  3. Использование шаблонов (Patterns): Стандарт поощряет использование проверенных шаблонов проектирования безопасности (Security Design Patterns). Это позволяет не изобретать защиту заново для каждой системы, а использовать типовые архитектурные блоки, устойчивость которых уже доказана.
  4. Минимизация неизвестных уязвимостей: Цель методологии — не просто закрыть известные дыры (patching), а создать архитектуру, в которой появление новых (unknown) уязвимостей статистически маловероятно или их эксплуатация не приведет к критическим последствиям.

Особое значение данный стандарт имеет для систем промышленного интернета вещей (IIoT) и автоматизированных систем управления (АСУ ТП), где применение наложенных средств защиты часто невозможно из-за ограничений вычислительных ресурсов или требований реального времени. 

Раздел 5. ГОСТ Р 34.14-2025: Унификация языка криптографии

5.1. Необходимость терминологической стандартизации

Завершает обзор пакет стандартов ГОСТ Р 34.14-2025 «Информационная технология. Криптографическая защита информации. Термины и определения», вступивший в силу 1 января 2026 года.  В отличие от процессных стандартов, этот документ выполняет функцию фундаментального словаря отрасли.

Введение данного стандарта призвано устранить правовые и технические коллизии, возникающие из-за различного толкования терминов в нормативных актах, технической документации и судебной практике. Стандарт тесно связан с действующим ГОСТ Р 34.13-2015 (режимы работы блочных шифров) и другими документами серии 34.xx. 

5.2. Структура терминологического аппарата

ГОСТ Р 34.14-2025 систематизирует понятийный аппарат, группируя термины по функциональным областям  :

  1. Ключевая система (Key System): Определения, касающиеся жизненного цикла криптографических ключей — от генерации и распределения до хранения, смены и уничтожения. Точность этих определений критична для построения инфраструктур открытых ключей (PKI).
  2. Система шифрования (Encryption System): Термины, описывающие процессы преобразования информации для обеспечения ее конфиденциальности. Сюда входят определения симметричных и асимметричных криптосистем.
  3. Система цифровой подписи (Digital Signature System): Определения, связанные с обеспечением неотрекаемости и авторства. Это юридически значимый блок, влияющий на применение электронной подписи.
  4. Система имитозащиты (Imitation Protection System): Понятия, касающиеся защиты от навязывания ложных данных. Важно для систем управления и передачи команд.
  5. Система аутентификации стороны (Entity Authentication System): Терминология процедур проверки подлинности субъектов взаимодействия.
  6. Средства криптографической защиты информации (СКЗИ): Классификация и определения аппаратных, программных и программно-аппаратных средств.

Введение единого стандарта дефиниций к 2026 году создаст базу для однозначной интерпретации требований регуляторов при лицензировании деятельности и сертификации продуктов.

Раздел 6. Системный анализ трансформации нормативного поля

6.1. Переход к модели «Shift Left» на государственном уровне

Совокупный анализ четырех новых стандартов позволяет констатировать, что Российская Федерация на уровне национального регулирования внедряет стратегию «Shift Left» («Сдвиг влево»). Суть этой стратегии заключается в переносе мероприятий по безопасности на максимально ранние этапы жизненного цикла.

  • Этап замысла: Регулируется ГОСТ Р 72118-2025 (Конструктивная безопасность).
  • Этап разработки: Регулируется ГОСТ Р 56939-2024 (Процессы безопасной разработки) и ГОСТ Р 71207-2024 (Статический анализ).
  • Сквозная терминология: Обеспечивается ГОСТ Р 34.14-2025.

Регулятор больше не удовлетворяется проверкой готового продукта (испытаниями). Он требует выстраивания конвейера производства, который гарантирует безопасность продукта еще до его выпуска.

6.2. Иерархия стандартов и их взаимосвязь

Новые ГОСТы формируют стройную иерархическую систему:

  1. Методологический уровень (ГОСТ Р 72118): Отвечает на вопрос «КАКУЮ систему мы строим?» (Архитектура, принципы).
  2. Процессный уровень (ГОСТ Р 56939): Отвечает на вопрос «КАК мы организуем работу?» (Управление уязвимостями, контроль изменений).
  3. Технологический уровень (ГОСТ Р 71207): Отвечает на вопрос «ЧЕМ мы проверяем?» (Инструменты, метрики точности).
  4. Семантический уровень (ГОСТ Р 34.14): Отвечает на вопрос «КАКИЕ слова мы используем?» (Термины).

6.3. Последствия для отрасли

Для субъектов рынка (разработчиков, интеграторов, заказчиков) введение этих стандартов влечет серьезные последствия:

  • Инвестиции в инструменты: Необходимость закупки и внедрения систем автоматизации (Bug Tracking, CI/CD) и статических анализаторов, соответствующих критериям ГОСТ Р 71207 (50% FP/FN).
  • Изменение компетенций: Потребность в специалистах, владеющих методологией конструктивной безопасности и умеющих работать с шаблонами проектирования (Security Patterns).
  • Пересмотр документации: Необходимость актуализации внутренней нормативной базы и технических заданий с учетом новой терминологии ГОСТ Р 34.14.

Заключение

Период 2024–2026 годов знаменует собой завершение формирования нового поколения российской нормативной базы в сфере защиты информации. Принятие пакета стандартов ГОСТ Р 56939-2024, ГОСТ Р 71207-2024, ГОСТ Р 72118-2025 и ГОСТ Р 34.14-2025 демонстрирует системный, зрелый подход государства к вопросам кибербезопасности.

Отказ от фрагментарных требований к средствам защиты в пользу комплексного регулирования процессов их создания (Secure Software Development Life Cycle — SSDLC) и архитектурного проектирования (Secure by Design) гармонизирует российское правовое поле с передовыми мировыми практиками, сохраняя при этом фокус на национальном технологическом суверенитете. Для участников рынка это означает начало эры инженерной безопасности, основанной на измеримых метриках, автоматизации и глубокой интеграции защиты в производственные процессы.

МАТЕРИАЛЫ ПО ТЕМЕ:

Сертификация ФСТЭК: полное руководство по выживанию на рынке информационной безопасности КИИ для IT-компаний: когда вы субъект и что делать (Гайд без воды) Когда ваш бот продаст Tesla за $1: Глобальный отчет о юридической инженерии галлюцинаций и архитектуре безопасности ИИ Антихрупкая система сохранения и приумножения капитала в России. Переход от бизнеса к институции (Капитал и Хаос часть 5 из 5)

Библиотека исследований

ГОСТ Р 71657-2024 и новая эра ответственности CISO: Полный гид по нормативной трансформации 2025–2026 годов

20 января, 2026

Штрафы за нарушение 187-ФЗ: судебная практика 2024–2025

20 января, 2026

Как выжить в эпоху AGI, Хаоса и Великой деградации. Протокол антихрупкости

16 декабря, 2025

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *