Статус документа
Статус документа

ГОСТ Р 59329-2021 Системная инженерия. Защита информации в процессах приобретения и поставки продукции и услуг для системы

     5 Общие требования системной инженерии по защите информации в процессах приобретения и поставки

5.1 Общие требования системной инженерии по защите информации устанавливают в ТЗ на разработку, модернизацию или развитие системы, ТЗ на приобретение и поставку продукции и/или услуг для системы. Эти требования и методы их выполнения детализируют в ТЗ на составную часть системы (в качестве которой может выступать система защиты информации), в конструкторской, технологической и эксплуатационной документации, в спецификациях на поставляемые продукцию и/ или услуги. Содержание требований по защите информации формируют при выполнении процесса определения системных требований с учетом нормативных и правовых документов Российской Федерации (см., например, [1]-[26]), уязвимостей системы, преднамеренных и непреднамеренных угроз нарушения функционирования системы и/или ее программных и программно-аппаратных элементов - см. ГОСТ Р 59346.

Примечание - Если информация относится к категории государственной тайны, в вопросах защиты информации руководствуются регламентирующими документами соответствующих государственных регуляторов.

5.2 Требования системной инженерии призваны обеспечивать управление техническими и организационными усилиями по планированию и реализации процессов приобретения и поставки продукции и услуг для системы и поддержке при этом эффективности защиты информации.

Требования системной инженерии по защите информации в процессах приобретения и поставки продукции и услуг для системы включают:

- требования к составам выходных результатов, выполняемых действий и используемых при этом активов, требующих защиты информации;

- требования к определению потенциальных угроз для выходных результатов и выполняемых действий процессов, а также возможных сценариев возникновения и развития этих угроз;

- требования к прогнозированию рисков при планировании и реализации процессов, обоснованию эффективных предупреждающих действий по снижению рисков или их удержанию в допустимых пределах.

5.3 Состав выходных результатов и выполняемых действий в процессах приобретения и поставки продукции и услуг для системы определяют по ГОСТ 2.114, ГОСТ 15.016, ГОСТ 15.101, ГОСТ 34.201, ГОСТ 34.602, ГОСТ Р 15.301, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО/МЭК 27036-2, ГОСТ Р ИСО/МЭК 27036-4, ГОСТ Р 56939, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 59215 с учетом специфики создаваемой (модернизируемой) и/или применяемой системы.

5.4 Меры защиты информации и действия по защите информации должны охватывать активы, информация которых или о которых подлежит защите для получения выходных результатов и выполнения процессов приобретения и поставки продукции и услуг для системы.

Примечание - В состав активов могут быть включены активы иных систем (подсистем), не вошедших в состав рассматриваемой системы, но охватываемых по требованиям заказчика например привлекаемые средства контроля качества поставляемой продукции у поставщика.

5.5 Определение активов, информация которых или о которых подлежит защите, и формирование перечня потенциальных угроз и возможных сценариев возникновения и развития угроз для каждого из активов осуществляют по ГОСТ 34.201, ГОСТ 34.602, ГОСТ IEC 61508-3, ГОСТ Р ИСО/МЭК 27001, ГОСТ Р 56939, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 58412 с учетом требований ГОСТ 15.016, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО/МЭК 20000-1, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р ИСО/МЭК 27005, ГОСТ Р ИСО/МЭК 27036-2, ГОСТ Р ИСО/МЭК 27036-4, ГОСТ Р ИСО 31000, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 59215, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2 с учетом специфики системы (см., например, [21]-[26]).

Примеры перечней учитываемых активов и угроз в процессах приобретения и поставки продукции и услуг для системы приведены в приложениях А и Б.