Утвержден новый стандарт для создания моделей управления доступом в СЗИ, разработанный "Группой Астра"

Федеральное агентство по техническому регулированию и метрологии (Росстандарт) приказом от 10 марта 2025 года утвердило новый национальный стандарт ГОСТ Р 59453.3-2025 "Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке". Основным разработчиком документа выступила "Группа Астра".

Новый стандарт призван облегчить работу специалистов, создающих формальные модели управления доступом для сертифицированных средств защиты информации (СЗИ). Эти модели служат инструментом не только для соответствия современным регуляторным требованиям, но и для обеспечения высокого уровня доверия, надежности и доказуемой безопасности сертифицированных СЗИ. ФСТЭК России требует, чтобы для повышения доверия к СЗИ, их формальные модели сопровождались подробным описанием.

Ранее, также при участии экспертов "Группы Астра", был принят ГОСТ Р 59453.1-2021 "Защита информации. Формальная модель управления доступом. Часть 1. Общие положения", который определил обязательные требования к формальным моделям, их математическому или формализованному описанию и дополнительным условиям применения в рамках различных политик управления доступом (дискреционной, мандатной, ролевой и мандатного контроля целостности).

Принятый стандарт расширяет, дополняет и конкретизирует ГОСТ Р 59453.1-2021. Дело в том, что его практическое применение показало, что создание формальных моделей является трудной задачей, особенно для системного программного обеспечения, такого как операционные системы (ОС) и системы управления базами данных (СУБД).

В новом стандарте ГОСТ Р 59453.3-2025 эксперты "Группы Астра" детально описали рекомендуемые этапы создания таких моделей, включая описание состояний и переходов абстрактных автоматов, а также формулировку и проведение доказательств выполнения требований безопасности. В стандарте указано, что абстрактный автомат — это основа формальной модели, используемой для описания поведения систем или процессов СЗИ. Он состоит из набора состояний и правил перехода между ними, то есть показывает, в каком состоянии находится система, и как она переходит из одного состояния в другое под воздействием различных событий или условий. Использование абстрактных автоматов позволяет избежать неопределенности и ошибок, упрощает проверку корректности логики системы и является важным этапом при описании формальных моделей управления доступом сертифицированных СЗИ. Документ содержит также информацию о практических приёмах и технологиях, необходимых для реализации этих рекомендаций.

При подготовке нового стандарта были задействованы результаты его успешной апробации на примере переработки мандатной сущностно-ролевой ДП-модели управления доступом и информационными потоками в ОС семейства Linux (МРОСЛ ДП-модели).

Эта модель объединяет мандатное управление доступом, мандатный контроль целостности и ролевое управление доступом. Также в ее рамках осуществляется описание управления доступом в СУБД PostgreSQL, что обеспечивает согласованность механизмов защиты в ОС и СУБД. МРОСЛ ДП-модель является научной основой для подсистемы безопасности PARSEC, используемой в ОС Astra Linux, сертифицированной по высшим классам защиты и уровням доверия.

Кроме того, Росстандарт утвердил ГОСТ Р 59453.4-2021 "Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом", который был разработан Институтом системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН) при участии специалистов "Группы Астра".

"Эти документы являются логическим продолжением серии ГОСТ, разработанных совместно с ИСП РАН. В них закреплены проверенные временем подходы к разработке и обеспечению доверия к безопасному программному обеспечению. Я убеждён, что рекомендации, изложенные в ГОСТ Р 59453.3-2025, будут востребованы многими отечественными разработчиками сертифицированных решений для информационной безопасности", — подчеркнул Петр Девянин, научный руководитель "Группы Астра", доктор технических наук, член-корреспондент Академии криптографии России.