Открыть сервис

ГОСТ Р 70666-2021

ГОСТ Р 70666-2021 — это национальный стандарт Российской Федерации, устанавливающий требования к системам автоматизированного проектирования (САПР) в части обеспечения информационной безопасности при создании и сопровождении электронной конструкторской документации. Полное наименование документа: «Системы автоматизированного проектирования. Требования к защите информации при передаче и хранении электронной конструкторской документации». Стандарт введён в действие с 1 января 2022 года.

Область применения и цели

ГОСТ Р 70666-2021 распространяется на программные и программно-аппаратные средства САПР, используемые для разработки, хранения, передачи и архивирования электронных конструкторских документов (ЭКД) в организациях, выполняющих государственные заказы или работы, связанные с государственной тайной. Основными целями стандарта являются:

  • унификация требований к защите информации в САПР;
  • предотвращение несанкционированного доступа, модификации, копирования и уничтожения электронной конструкторской документации;
  • обеспечение целостности и подлинности ЭКД на всех этапах жизненного цикла изделия;
  • создание единой методической базы для сертификации и аттестации САПР по требованиям безопасности информации.

История разработки

Разработка стандарта началась в 2020 году по инициативе Министерства промышленности и торговли Российской Федерации и Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Необходимость создания документа была обусловлена ростом объёмов электронного документооборота в оборонно-промышленном комплексе (ОПК) и отсутствием единых отраслевых требований к защите САПР. Работу вела техническая подкомиссия ТК 362 «Защита информации» при участии ведущих разработчиков САПР (АО «АСКОН», ООО «Топ Системы», АО «СиСофт Девелопмент») и экспертов ФСТЭК. Проект прошёл публичное обсуждение в 2021 году, после чего был утверждён приказом Росстандарта № 1345-ст от 30 декабря 2021 года.

Основные требования

Классификация защищаемой информации

Стандарт выделяет три уровня конфиденциальности ЭКД:

  • открытая информация — не содержит сведений ограниченного доступа;
  • информация для служебного пользования (ДСП) — сведения, не подлежащие открытому опубликованию, но не являющиеся государственной тайной;
  • информация, составляющая государственную тайну — сведения, отнесённые к секретным, совершенно секретным или особой важности.

Для каждого уровня устанавливаются свои требования к криптографической защите, разграничению доступа и аудиту.

Требования к программному обеспечению

ГОСТ Р 70666-2021 предписывает, что САПР, используемые для работы с ЭКД, должны обеспечивать:

  • идентификацию и аутентификацию пользователей — с использованием парольной защиты (длина пароля не менее 8 символов, смена не реже одного раза в 90 дней) или сертифицированных средств криптографической защиты информации (СКЗИ);
  • разграничение доступа — по ролевой модели (администратор, разработчик, технолог, контролёр, архивариус) с возможностью настройки прав на чтение, запись, удаление и изменение атрибутов;
  • контроль целостности — вычисление и верификация хэш-сумм (ГОСТ Р 34.11-2012 «Стрибог») для каждого файла ЭКД при передаче и хранении;
  • аудит событий — регистрация всех действий пользователей (вход/выход, создание, изменение, удаление, копирование, экспорт/импорт) с сохранением журнала не менее 1 года;
  • защиту от вредоносного кода — обязательное использование антивирусного программного обеспечения, обновляемого не реже одного раза в сутки.

Требования к передаче данных

При передаче ЭКД по каналам связи (в том числе по локальной сети, VPN или электронной почте) стандарт требует:

  • применение шифрования по ГОСТ 28147-89 или ГОСТ Р 34.12-2015 (алгоритмы «Магма» и «Кузнечик»);
  • использование электронной подписи (ГОСТ Р 34.10-2012) для подтверждения авторства и целостности;
  • разрыв сессии при неактивности пользователя более 15 минут.

Требования к хранению и архивированию

Для долговременного хранения ЭКД (более 5 лет) предусмотрены:

  • создание резервных копий на физически обособленных носителях (не менее 2 копий);
  • использование форматов с открытой спецификацией (например, PDF/A-3, STEP, IGES) для обеспечения читаемости через 10–20 лет;
  • обязательная проверка целостности архивов не реже одного раза в 6 месяцев.

Порядок внедрения и сертификации

Стандарт носит рекомендательный характер для коммерческих организаций, но является обязательным для предприятий ОПК и организаций, имеющих лицензию ФСТЭК на работу с государственной тайной. Внедрение включает следующие этапы:

  1. Анализ текущего состояния — оценка используемых САПР на соответствие требованиям.
  2. Разработка политики безопасности — определение уровней доступа, ролей, процедур резервного копирования.
  3. Модернизация ПО — доработка или замена САПР, установка СКЗИ, антивирусов, систем аудита.
  4. Аттестация — проведение испытаний уполномоченной организацией (например, испытательной лабораторией ФСТЭК) с выдачей аттестата соответствия.
  5. Эксплуатация — регулярный мониторинг, обновление баз антивирусов, пересмотр политик не реже одного раза в 3 года.

Взаимосвязь с другими стандартами

ГОСТ Р 70666-2021 входит в систему национальных стандартов в области защиты информации и связан с:

  • ГОСТ Р 50922-2006 — «Защита информации. Основные термины и определения»;
  • ГОСТ Р 53114-2008 — «Защита информации. Обеспечение информационной безопасности в организации»;
  • ГОСТ Р 56545-2015 — «Защита информации. Уязвимости информационных систем. Классификация»;
  • ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 — криптографические стандарты;
  • ГОСТ 2.051-2013 — «Единая система конструкторской документации. Электронные документы. Общие положения».

Также стандарт учитывает требования Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и Указа Президента РФ № 351 «О мерах по обеспечению информационной безопасности Российской Федерации».

Критика и ограничения

С момента введения стандарт вызвал как положительные, так и критические отзывы со стороны разработчиков САПР и специалистов по информационной безопасности. Основные замечания:

  • Высокая стоимость внедрения — для малых и средних предприятий, не работающих с госзаказом, требования стандарта избыточны; модернизация ПО и сертификация могут стоить от 500 тыс. до 5 млн рублей.
  • Отсутствие гибкости — стандарт не предусматривает дифференцированных требований для разных классов САПР (например, для 2D-черчения и 3D-моделирования).
  • Конфликт с международными стандартами — требования к криптографии (ГОСТ) несовместимы с зарубежными СКЗИ (AES, RSA), что затрудняет интеграцию с импортным ПО.
  • Недостаточная проработка облачных решений — стандарт ориентирован на локальные САПР и не даёт чётких указаний для работы с ЭКД в облачных сервисах.

Перспективы развития

В 2023–2024 годах планируется актуализация ГОСТ Р 70666-2021 с учётом опыта внедрения и развития технологий. Ожидается:

  • разработка подстандартов для отраслевых САПР (авиастроение, судостроение, атомная энергетика);
  • дополнение требований к защите информации при использовании искусственного интеллекта и машинного обучения в проектировании;
  • гармонизация с международными стандартами серии ISO 27001 (информационная безопасность) и ISO 10303 (STEP).

Источники

  • ГОСТ Р 70666-2021 «Системы автоматизированного проектирования. Требования к защите информации при передаче и хранении электронной конструкторской документации». — М.: Стандартинформ, 2021.
  • Приказ Росстандарта от 30.12.2021 № 1345-ст «Об утверждении национального стандарта».
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  • Указ Президента РФ от 05.12.2016 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации».
  • Материалы технического комитета по стандартизации ТК 362 «Защита информации» (протоколы заседаний 2020–2021 гг.).
  • Обзор практики внедрения ГОСТ Р 70666-2021 в организациях ОПК // Журнал «Информационная безопасность» № 4, 2022. — С. 45–52.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →