ГРУППА АСТРА [новости]

НОВОСТИ АКЦИЙ

Новый стандарт от ГРУППЫ АСТРА

2025-04-10T20:35:31+03:00 7 635

Утвержден новый стандарт для создания моделей управления доступом в сертифицированных средствах защиты информации, разработанный «Группой Астра». Федеральное агентство по техническому регулированию и метрологии (Росстандарт) своим приказом от 10 марта 2025 года утвердило новый национальный стандарт ГОСТ Р 59453.3-2025 «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке». Главным разработчиком этого документа стала «Группа Астра». Новый стандарт разработан с целью упростить работу специалистов, занимающихся созданием формальных моделей управления доступом для сертифицированных средств защиты информации (СЗИ). Эти модели являются не только инструментом для соблюдения современных регуляторных требований, но и средством обеспечения высокого уровня доверия, надежности и доказуемой безопасности сертифицированных СЗИ. ФСТЭК России требует, чтобы формальные модели сопровождались подробными описаниями для повышения уровня доверия к СЗИ. Ранее, также при участии экспертов «Группы Астра», был принят стандарт ГОСТ Р 59453.1-2021 «Защита информации. Формальная модель управления доступом. Часть 1. Общие положения». Этот стандарт определил обязательные требования к формальным моделям, их математическому или формализованному описанию, а также дополнительные условия их применения в рамках различных политик управления доступом (дискреционной, мандатной, ролевой и мандатного контроля целостности). Новый стандарт расширяет, дополняет и конкретизирует ГОСТ Р 59453.1-2021. Практика показала, что создание формальных моделей представляет собой сложную задачу, особенно для системного программного обеспечения, такого как операционные системы (ОС) и системы управления базами данных (СУБД). В новом стандарте ГОСТ Р 59453.3-2025 эксперты «Группы Астра» детально описали рекомендуемые этапы создания таких моделей, включая описание состояний и переходов абстрактных автоматов, а также формулировку и проведение доказательств выполнения требований безопасности. Абстрактный автомат — это основа формальной модели, которая описывает поведение систем или процессов СЗИ. Он состоит из набора состояний и правил перехода между ними, что позволяет понять, в каком состоянии находится система и как она переходит из одного состояния в другое под воздействием различных событий или условий. Использование абстрактных автоматов помогает избежать неопределенности и ошибок, упрощает проверку корректности логики системы и является важным этапом при описании формальных моделей управления доступом для сертифицированных СЗИ. Кроме того, Росстандарт утвердил ГОСТ Р 59453.4-2021 «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом». Этот стандарт был разработан Институтом системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН) при участии специалистов «Группы Астра». Петр Девянин, научный руководитель «Группы Астра», доктор технических наук, член-корреспондент Академии криптографии России, отметил важность новых стандартов: «Эти документы являются логическим продолжением серии ГОСТ, разработанных совместно с ИСП РАН. В них закреплены проверенные временем подходы к разработке и обеспечению доверия к безопасному программному обеспечению. Я убежден, что рекомендации, изложенные в ГОСТ Р 59453.3-2025, будут востребованы многими отечественными разработчиками сертифицированных решений для информационной безопасности», — подчеркнул он. Источник: www.astragroup.ru