Приказ Федерального агентства по техническому регулированию и метрологии от 10.03.2025 № 111-ст «Об утверждении национального стандарта ГОСТ Р 59453.3-2025 “Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке”»
Ссылки
- Сайт ФСТЭК России
- Официальный текст на сайте в формате постраничного просмотра (текст самого ГОСТ)
- Сохранённый текст в формате PDF
- Консультант+
- Гарант
Выдержка
Реализация политик управления доступом, как правило, является одной из основных функций выполняемых средствами защиты информации. Разработка и описание для этого формальных моделей управления доступом позволяет обеспечить доверие к таким средствам защиты информации, уменьшить число недостатков при их проектировании (моделировании, разработке). При этом описания формальных моделей управления доступом должны соответствовать критериям, установленным ГОСТ Р 59453.1-2021, и быть верифицированы согласно рекомендациям ГОСТ Р 59453.2—2021.
Вместе с тем разработка формальных моделей управления доступом в большинстве случаев является комплексным многоэтапным процессом, от качества выполнения которого зависит возможность демонстрации соответствия их описаний моделируемым средствам защиты информации и обеспечения уверенности в корректности реализации этими средствами политик управления доступом.
В связи с этим настоящий стандарт устанавливает рекомендации по разработке и описанию формальных моделей управления доступом.
Обзоры документа
Аналитический центр УЦСБ
Официально опубликованы и введены в действие с 31 марта 2025 года:
- ГОСТ Р 59453.3-2025 «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
- ГОСТ Р 59453.4-2025 «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации (далее – СрЗИ), реализующего политики управления доступом, на основе формализованных описаний модели управления доступом».
Стандарты предназначены для разработчиков СрЗИ и могут использоваться при сертификации СрЗИ, реализующих политики управления доступом.
Стандарты регламентируют процессы разработки, описания и верификации формальных моделей доступа СрЗИ с целью уменьшения числа недостатков СрЗИ при проектировании.
При разработке и описании формальной модели доступа рекомендуется:
- определить границы моделирования СрЗИ;
- определить виды политик управления доступом;
- описать формальную модель, определив технологии и средства описания;
- доказать выполнение условий безопасность, в том числе при верификации формальной модели.
При верификации рекомендуется:
- провести архитектурный анализ СрЗИ и определить модуль безопасности;
- выбрать критерии и методы оценки полноты верификации;
- разработать спецификации интерфейсов, реализующих политики управления доступом, модуля безопасности;
- провести верификацию СрЗИ и модуля безопасности (опционально).
Текст документа
Быстрый просмотр сохранённой копии