Открыть сервис

ГОСТ Р 71500-2023

ГОСТ Р 71500-2023 — это национальный стандарт Российской Федерации, устанавливающий требования к системам автоматизированного проектирования (САПР) в части обеспечения информационной безопасности при работе с документами, содержащими сведения ограниченного доступа. Стандарт введён в действие с 1 января 2024 года и является частью комплекса нормативных документов в области технической защиты информации.

История разработки

Разработка ГОСТ Р 71500-2023 была инициирована в связи с необходимостью унификации требований к защите информации в отечественных САПР, используемых в оборонно-промышленном комплексе, атомной энергетике и других критически важных отраслях. Работу над стандартом вел Технический комитет по стандартизации ТК 362 «Защита информации» при участии Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и ведущих разработчиков программного обеспечения.

Проект стандарта прошёл публичное обсуждение в 2022 году, в ходе которого были учтены замечания от более чем 30 организаций, включая государственные корпорацииРосатом», «Роскосмос») и научно-исследовательские институты. Утверждение документа состоялось в декабре 2023 года, что сделало его обязательным для применения в государственных информационных системах и системах, обрабатывающих сведения, составляющие государственную тайну.

Область применения

Стандарт распространяется на:

  • Программные комплексы САПР, предназначенные для создания конструкторской и технологической документации.
  • Системы управления инженерными данными (PDM/PLM), интегрированные с САПР.
  • Средства электронного документооборота, используемые при согласовании проектной документации.

Действие ГОСТ Р 71500-2023 не распространяется на:

  • Системы, не предназначенные для обработки конфиденциальной информации.
  • Специализированные САПР для микроэлектроники (например, Cadence, Synopsys), если они не используются в государственных информационных системах.

Основные требования

Классификация защищаемой информации

ГОСТ Р 71500-2023 определяет три категории защищаемых данных в САПР:

  1. Сведения ограниченного доступакоммерческая тайна, персональные данные, служебная информация.
  2. Сведения, составляющие государственную тайну — грифы «секретно», «совершенно секретно», «особой важности».
  3. Иные конфиденциальные сведения — результаты интеллектуальной деятельности, ноу-хау.

Требования к программному обеспечению

  • Разграничение доступа — обязательная реализация мандатного и дискреционного управления доступом на уровне файлов, папок и операций (чтение, редактирование, удаление).
  • Аудит событий — фиксация всех действий пользователей с документами (создание, изменение, копирование, печать) с сохранением журнала не менее 3 лет.
  • Защита каналов передачишифрование данных при обмене между модулями САПР и внешними системами по протоколам TLS 1.2/1.3 или ГОСТ 28147-89.
  • Контроль целостности — использование электронной подписи (ЭП) для всех выходных документов (чертежей, спецификаций, расчётов).

Требования к аппаратному обеспечению

  • Серверы САПР должны размещаться в защищённых помещениях с контролем доступа.
  • Рабочие станции пользователей должны быть оснащены средствами защиты от несанкционированного доступа (НСД) — например, доверенной загрузкой (UEFI Secure Boot) и аппаратными ключами.
  • Хранение резервных копий допускается только на физически изолированных носителях (ленточные накопители, съёмные диски с шифрованием).

Классификация уровней защиты

ГОСТ Р 71500-2023 вводит три уровня защищённости САПР:

УровеньХарактеристикаПример применения
БазовыйОбеспечивает защиту от случайных угроз (ошибки оператора, сбои ПО).Коммерческие предприятия, не работающие с гостайной.
ПовышенныйВключает средства от НСД, шифрование каналов и аудит.Организации ОПК, работающие с секретными сведениями.
ВысокийДополнительно требует сертификации ФСТЭК, использования ГОСТ-криптографии и физической изоляции сетей.Объекты ядерного оружейного комплекса, системы управления стратегическими вооружениями.

Процедура сертификации

Для подтверждения соответствия ГОСТ Р 71500-2023 разработчики САПР проходят сертификацию в аккредитованных лабораториях (например, ФГУП «ВНИИНМАШ», АО «ИнфоТеКС»). Процедура включает:

  1. Экспертизу проектной документации — проверка архитектуры системы, политик безопасности и модели угроз.
  2. Тестирование — функциональные испытания на соответствие требованиям разграничения доступа, аудита и шифрования.
  3. Анализ уязвимостей — поиск закладок, скрытых каналов утечки и ошибок конфигурации.
  4. Выдача сертификата — срок действия — 5 лет, с возможностью продления после плановой проверки.

Влияние на рынок САПР

Внедрение ГОСТ Р 71500-2023 привело к существенным изменениям на российском рынке инженерного ПО:

  • Отечественные разработчики — компании «Аскон» (система «Компас-3D»), «Топ Системы» (T-FLEX) и «НТЦ «АПМ» (APM WinMachine) адаптировали свои продукты под требования стандарта, включив модули ЭП и шифрования.
  • Импортные системы — продукты Autodesk, Siemens NX, Dassault Systèmes не прошли сертификацию в полном объёме из-за отсутствия поддержки российских криптоалгоритмов. В результате их использование в государственных информационных системах стало ограниченным.
  • Стоимость внедрения — по оценкам экспертов, затраты на доработку САПР под стандарт составили от 15 до 40 % от первоначальной стоимости лицензий.

Критика и ограничения

Специалисты отмечают несколько проблемных аспектов ГОСТ Р 71500-2023:

  • Избыточность требований для малых предприятий — базовый уровень защиты предполагает внедрение дорогостоящих аппаратных средств (сертифицированные HSM-модули, защищённые терминалы).
  • Отсутствие гармонизации с международными стандартами — требования к шифрованию не учитывают рекомендации ISO 27001 и NIST, что затрудняет совместную работу с зарубежными партнёрами.
  • Сложность интеграции — стандарт не регламентирует взаимодействие САПР с системами электронного документооборота (СЭД), что приводит к дублированию функций защиты.

Перспективы развития

В 2024–2025 годах планируется разработка серии дополнений к ГОСТ Р 71500-2023, включающих:

  • Требования к облачным САПР (SaaS-модели).
  • Методы защиты от квантовых атак на криптографию.
  • Нормы для систем искусственного интеллекта, используемых в проектировании.

Источники

  1. ГОСТ Р 71500-2023 «Системы автоматизированного проектирования. Требования к информационной безопасности». — М.: Стандартинформ, 2023.
  2. Приказ Росстандарта от 15.12.2023 № 1542-ст «Об утверждении национального стандарта».
  3. Методические рекомендации ФСТЭК России по сертификации САПР (2024).
  4. Доклад ТК 362 «Защита информации» за 2023 год. — М.: ВНИИНМАШ, 2024.
  5. Аналитический обзор рынка САПР в России. — М.: CNews Analytics, 2024.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →