ГОСТ Р 70666-2021
ГОСТ Р 70666-2021 — это национальный стандарт Российской Федерации, устанавливающий требования к системам автоматизированного проектирования (САПР) в части обеспечения информационной безопасности при создании и сопровождении электронной конструкторской документации. Полное наименование документа: «Системы автоматизированного проектирования. Требования к защите информации при передаче и хранении электронной конструкторской документации». Стандарт введён в действие с 1 января 2022 года.
Область применения и цели
ГОСТ Р 70666-2021 распространяется на программные и программно-аппаратные средства САПР, используемые для разработки, хранения, передачи и архивирования электронных конструкторских документов (ЭКД) в организациях, выполняющих государственные заказы или работы, связанные с государственной тайной. Основными целями стандарта являются:
- унификация требований к защите информации в САПР;
- предотвращение несанкционированного доступа, модификации, копирования и уничтожения электронной конструкторской документации;
- обеспечение целостности и подлинности ЭКД на всех этапах жизненного цикла изделия;
- создание единой методической базы для сертификации и аттестации САПР по требованиям безопасности информации.
История разработки
Разработка стандарта началась в 2020 году по инициативе Министерства промышленности и торговли Российской Федерации и Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Необходимость создания документа была обусловлена ростом объёмов электронного документооборота в оборонно-промышленном комплексе (ОПК) и отсутствием единых отраслевых требований к защите САПР. Работу вела техническая подкомиссия ТК 362 «Защита информации» при участии ведущих разработчиков САПР (АО «АСКОН», ООО «Топ Системы», АО «СиСофт Девелопмент») и экспертов ФСТЭК. Проект прошёл публичное обсуждение в 2021 году, после чего был утверждён приказом Росстандарта № 1345-ст от 30 декабря 2021 года.
Основные требования
Классификация защищаемой информации
Стандарт выделяет три уровня конфиденциальности ЭКД:
- открытая информация — не содержит сведений ограниченного доступа;
- информация для служебного пользования (ДСП) — сведения, не подлежащие открытому опубликованию, но не являющиеся государственной тайной;
- информация, составляющая государственную тайну — сведения, отнесённые к секретным, совершенно секретным или особой важности.
Для каждого уровня устанавливаются свои требования к криптографической защите, разграничению доступа и аудиту.
Требования к программному обеспечению
ГОСТ Р 70666-2021 предписывает, что САПР, используемые для работы с ЭКД, должны обеспечивать:
- идентификацию и аутентификацию пользователей — с использованием парольной защиты (длина пароля не менее 8 символов, смена не реже одного раза в 90 дней) или сертифицированных средств криптографической защиты информации (СКЗИ);
- разграничение доступа — по ролевой модели (администратор, разработчик, технолог, контролёр, архивариус) с возможностью настройки прав на чтение, запись, удаление и изменение атрибутов;
- контроль целостности — вычисление и верификация хэш-сумм (ГОСТ Р 34.11-2012 «Стрибог») для каждого файла ЭКД при передаче и хранении;
- аудит событий — регистрация всех действий пользователей (вход/выход, создание, изменение, удаление, копирование, экспорт/импорт) с сохранением журнала не менее 1 года;
- защиту от вредоносного кода — обязательное использование антивирусного программного обеспечения, обновляемого не реже одного раза в сутки.
Требования к передаче данных
При передаче ЭКД по каналам связи (в том числе по локальной сети, VPN или электронной почте) стандарт требует:
- применение шифрования по ГОСТ 28147-89 или ГОСТ Р 34.12-2015 (алгоритмы «Магма» и «Кузнечик»);
- использование электронной подписи (ГОСТ Р 34.10-2012) для подтверждения авторства и целостности;
- разрыв сессии при неактивности пользователя более 15 минут.
Требования к хранению и архивированию
Для долговременного хранения ЭКД (более 5 лет) предусмотрены:
- создание резервных копий на физически обособленных носителях (не менее 2 копий);
- использование форматов с открытой спецификацией (например, PDF/A-3, STEP, IGES) для обеспечения читаемости через 10–20 лет;
- обязательная проверка целостности архивов не реже одного раза в 6 месяцев.
Порядок внедрения и сертификации
Стандарт носит рекомендательный характер для коммерческих организаций, но является обязательным для предприятий ОПК и организаций, имеющих лицензию ФСТЭК на работу с государственной тайной. Внедрение включает следующие этапы:
- Анализ текущего состояния — оценка используемых САПР на соответствие требованиям.
- Разработка политики безопасности — определение уровней доступа, ролей, процедур резервного копирования.
- Модернизация ПО — доработка или замена САПР, установка СКЗИ, антивирусов, систем аудита.
- Аттестация — проведение испытаний уполномоченной организацией (например, испытательной лабораторией ФСТЭК) с выдачей аттестата соответствия.
- Эксплуатация — регулярный мониторинг, обновление баз антивирусов, пересмотр политик не реже одного раза в 3 года.
Взаимосвязь с другими стандартами
ГОСТ Р 70666-2021 входит в систему национальных стандартов в области защиты информации и связан с:
- ГОСТ Р 50922-2006 — «Защита информации. Основные термины и определения»;
- ГОСТ Р 53114-2008 — «Защита информации. Обеспечение информационной безопасности в организации»;
- ГОСТ Р 56545-2015 — «Защита информации. Уязвимости информационных систем. Классификация»;
- ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 — криптографические стандарты;
- ГОСТ 2.051-2013 — «Единая система конструкторской документации. Электронные документы. Общие положения».
Также стандарт учитывает требования Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и Указа Президента РФ № 351 «О мерах по обеспечению информационной безопасности Российской Федерации».
Критика и ограничения
С момента введения стандарт вызвал как положительные, так и критические отзывы со стороны разработчиков САПР и специалистов по информационной безопасности. Основные замечания:
- Высокая стоимость внедрения — для малых и средних предприятий, не работающих с госзаказом, требования стандарта избыточны; модернизация ПО и сертификация могут стоить от 500 тыс. до 5 млн рублей.
- Отсутствие гибкости — стандарт не предусматривает дифференцированных требований для разных классов САПР (например, для 2D-черчения и 3D-моделирования).
- Конфликт с международными стандартами — требования к криптографии (ГОСТ) несовместимы с зарубежными СКЗИ (AES, RSA), что затрудняет интеграцию с импортным ПО.
- Недостаточная проработка облачных решений — стандарт ориентирован на локальные САПР и не даёт чётких указаний для работы с ЭКД в облачных сервисах.
Перспективы развития
В 2023–2024 годах планируется актуализация ГОСТ Р 70666-2021 с учётом опыта внедрения и развития технологий. Ожидается:
- разработка подстандартов для отраслевых САПР (авиастроение, судостроение, атомная энергетика);
- дополнение требований к защите информации при использовании искусственного интеллекта и машинного обучения в проектировании;
- гармонизация с международными стандартами серии ISO 27001 (информационная безопасность) и ISO 10303 (STEP).
Источники
- ГОСТ Р 70666-2021 «Системы автоматизированного проектирования. Требования к защите информации при передаче и хранении электронной конструкторской документации». — М.: Стандартинформ, 2021.
- Приказ Росстандарта от 30.12.2021 № 1345-ст «Об утверждении национального стандарта».
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Указ Президента РФ от 05.12.2016 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации».
- Материалы технического комитета по стандартизации ТК 362 «Защита информации» (протоколы заседаний 2020–2021 гг.).
- Обзор практики внедрения ГОСТ Р 70666-2021 в организациях ОПК // Журнал «Информационная безопасность» № 4, 2022. — С. 45–52.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →