4.1 Общие положения
Организации используют процесс приобретения для того, чтобы приобретать, а процесс поставки - чтобы поставлять требуемые продукцию и/или услуги для системы. При планировании и реализации процессов приобретения и поставки продукции и услуг для системы осуществляют защиту информации, направленную на обеспечение конфиденциальности, целостности и доступности защищаемой информации, предотвращение несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Для прогнозирования рисков, связанных с реализацией процессов, и обоснования эффективных предупреждающих действий по снижению этих рисков или их удержанию в допустимых пределах используют системный анализ процессов с учетом требований по защите информации в условиях возможных угроз. Определение выходных результатов процессов приобретения и поставки продукции и услуг для системы и типовых действий по защите информации, применимых к отношениям поставщика и приобретающей стороны, осуществляют по ГОСТ Р ИСО/МЭК 27036-2, ГОСТ Р 57102, ГОСТ Р 57193. Оценку интегральных рисков нарушения реализации процессов приобретения и/или поставки продукции и/или услуг для системы с учетом требований по защите информации осуществляют по настоящему стандарту с использованием рекомендаций ГОСТ Р ИСО/МЭК 27036-4, ГОСТ Р 57102, ГОСТ Р 59215. При этом учитывают специфику создаваемой (модернизируемой) и/или применяемой системы - см., например, [20]-[26].
4.2 Цели процессов и назначение мер защиты информации
4.2.1 Определение целей процессов приобретения и поставки продукции и услуг для системы осуществляют по ГОСТ 34.601, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО/МЭК 16085, ГОСТ Р ИСО/МЭК 20000-1, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 51583, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р МЭК 61508-1 с учетом специфики организации, применяющей процесс. В общем случае целями процессов являются надежная реализация приобретения или поставки для системы продукции и/или услуг заданного качества в заданные сроки согласно условиям соглашений приобретающей стороны и поставщика.
4.2.2 Меры защиты информации в процессах приобретения продукции и услуг для системы предназначены для обеспечения конфиденциальности, целостности и доступности защищаемой информации, предотвращения утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Определение мер защиты информации осуществляют по ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 27036-2, ГОСТ Р ИСО/МЭК 27036-4, ГОСТ Р 56939, ГОСТ Р 57102, ГОСТ Р 58412, ГОСТ Р 59215 с учетом специфики создаваемой (модернизируемой) или применяемой системы - см., например, [21]-[24].
4.3 Стадии и этапы жизненного цикла системы
Процессы приобретения и поставки продукции и услуг для системы могут быть использованы на любой стадии жизненного цикла системы. Стадии и этапы работ по созданию (модернизации, развитию) и эксплуатации системы устанавливают в договорах, соглашениях и ТЗ с учетом специфики и условий функционирования системы. Перечень этапов и конкретных работ в жизненном цикле системы формируют с учетом требований ГОСТ 2.114, ГОСТ 15.016, ГОСТ 34.601, ГОСТ 34.602, ГОСТ Р 15.301, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО 31000, ГОСТ Р 51583, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57272.1.
Процессы приобретения и/или поставки продукции и/или услуг для системы могут входить в состав работ, выполняемых в рамках других процессов жизненного цикла систем, и при необходимости включать в себя другие процессы.
4.4 Основные принципы
При проведении системного анализа процессов приобретения и поставки продукции и услуг для системы руководствуются основными принципами, определенными в ГОСТ Р 59349 с учетом дифференциации требований по защите информации в зависимости от категории значимости системы и важности обрабатываемой в ней информации (см. ГОСТ Р 59346, [20]-[26]). Все применяемые принципы подчинены принципу целенаправленности осуществляемых действий.
4.5 Основные усилия системной инженерии
Основные усилия системной инженерии для обеспечения защиты информации в каждом из процессов приобретения или поставки продукции или услуг для системы сосредотачивают:
- на определении выходных результатов и действий, предназначенных для достижения целей процесса и защиты активов, информация которых или о которых необходима для достижения этих целей;
- выявлении потенциальных угроз и определении возможных сценариев возникновения и развития угроз для активов, подлежащих защите, выходных результатов и выполняемых действий процесса;
- определении и прогнозировании рисков, подлежащих системному анализу;
- проведении системного анализа для обоснования мер, направленных на противодействие угрозам и достижение целей процесса.