Точный
Статус документа
Статус документа

ГОСТ Р 59331-2021 Системная инженерия. Защита информации в процессе управления инфраструктурой системы

     5 Общие требования системной инженерии по защите информации в процессе управления инфраструктурой системы

5.1 Общие требования системной инженерии по защите информации устанавливают в ТЗ на разработку, модернизацию или развитие системы, ТЗ на приобретение и поставку продукции и/или услуг для системы. Эти требования и методы их выполнения детализируют в ТЗ на составную часть системы (в качестве каковой может выступать система защиты информации), в конструкторской, технологической и эксплуатационной документации, в спецификациях на поставляемые продукцию и/или услуги. Содержание требований по защите информации формируют при выполнении процесса определения системных требований с учетом нормативно-правовых документов Российской Федерации (см., например, [1]-[26]), уязвимостей системы, преднамеренных и непреднамеренных угроз нарушения функционирования системы и/или ее программных и программно-аппаратных элементов - см. ГОСТ Р 59346.

Поскольку элементы процесса управления инфраструктурой системы могут использоваться на этапах, предваряющих получение и утверждение ТЗ, соответствующие требования по защите информации, применимые к этому процессу, могут быть оговорены в рамках соответствующих соглашений.

Примечания

1 Если информация относится к категории государственной тайны, в вопросах защиты информации руководствуются регламентирующими документами соответствующих государственных регуляторов.

2 При использовании процесса управления инфраструктурой в системах искусственного интеллекта необходимо гарантированно подтверждать достаточность автоматизированной деклассификации конфиденциальной информации (анонимизации, деперсонификации), учитывать возможность повышения уровня конфиденциальности данных в процессе их обработки системами искусственного интеллекта (по мере агрегирования, выявления скрытых зависимостей, восстановления изначально отсутствующей информации), регламентировать вопросы обеспечения конфиденциальности тестовых выборок исходных данных, используемых испытательными лабораториями при оценке соответствия прикладных систем искусственного интеллекта, с сохранением прозрачности и подотчетности этого процесса.

5.2 Требования системной инженерии призваны обеспечивать управление техническими и организационными усилиями по планированию и реализации процесса управления инфраструктурой системы и по поддержке при этом эффективности защиты информации.

Требования системной инженерии по защите информации в процессе управления инфраструктурой системы включают:

- требования к составам выходных результатов, выполняемых действий и используемых при этом активов, требующих защиты информации;

- требования к определению потенциальных угроз и выполняемых действий процесса, а также возможных сценариев возникновения и развития этих угроз;

- требования к прогнозированию рисков при планировании и реализации процесса, обоснованию эффективных предупреждающих мер по снижению рисков или их удержанию в допустимых пределах.

5.3 Состав выходных результатов и выполняемых действий в процессе управления инфраструктурой системы определяют по ГОСТ 2.102, ГОСТ 2.114, ГОСТ 15.016, ГОСТ 15.101, ГОСТ 34.201, ГОСТ 34.602, ГОСТ 32867, ГОСТ 34059, ГОСТ IEC 61508-3, ГОСТ Р 10.0.05, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО 15704, ГОСТ Р 51583, ГОСТ Р 51904, ГОСТ Р 53114, ГОСТ Р 53647.1, ГОСТ Р 56425, ГОСТ Р 56939, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57839, ГОСТ Р 58494, ГОСТ Р 58811, ГОСТ Р 59215, ГОСТ Р МЭК 62264-1 с учетом специфики системы.

5.4 Меры защиты информации и действия по защите информации должны охватывать активы, информация которых или о которых подлежит защите для получения выходных результатов и выполнения процесса управления инфраструктурой системы.

Примечание - В состав активов могут быть включены активы, используемые для достижения целей управления инфраструктурой для иных систем (подсистем), не вошедших в состав рассматриваемой системы, но охватываемых по требованиям заказчика, - например, для систем и средств контроля надежности инфраструктуры.

5.5 Определение активов, информация которых или о которых подлежит защите, и формирование перечня потенциальных угроз и возможных сценариев возникновения и развития угроз для каждого из активов осуществляют по ГОСТ 34.201, ГОСТ 34.602, ГОСТ Р ИСО/МЭК 27001, ГОСТ Р 51583, ГОСТ Р 56939, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 58412 с учетом требований ГОСТ 15.016, ГОСТ IEC 61508-3, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р ИСО/МЭК 27005, ГОСТ Р ИСО 31000, ГОСТ Р 51275, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 56923, ГОСТ Р 57839, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-6, ГОСТ Р МЭК 62264-1 и специфики системы (см., например, [20]-[27]).

Примеры перечней учитываемых активов и угроз в процессе управления инфраструктурой системы приведены в приложениях А и Б.

5.6 Эффективность защиты информации при выполнении процесса управления инфраструктурой системы анализируют по показателям рисков в зависимости от специфики системы, целей ее применения и возможных угроз. В системном анализе процесса используют модель угроз безопасности информации.