ГОСТ Р 59331-2021 Системная инженерия. Защита информации в процессе управления инфраструктурой системы

     4 Основные положения системной инженерии по защите информации в процессе управления инфраструктурой системы

4.1 Общие положения

Организации используют процесс управления инфраструктурой системы для того, чтобы преобразовать представление заинтересованных сторон о желательных возможностях системы в технические решения, соответствующие эксплуатационным потребностям пользователей. В процессе управления инфраструктурой системы осуществляют защиту информации, направленную на обеспечение конфиденциальности, целостности и доступности защищаемой информации, предотвращение несанкционированных и непреднамеренных воздействий на защищаемую информацию. Должна быть обеспечена надежная реализация процесса.

Для прогнозирования рисков, связанных с реализацией процесса, и обоснования эффективных предупреждающих мер по снижению этих рисков или их удержанию в допустимых пределах используют системный анализ процесса с учетом требований по защите информации.

Определение выходных результатов процесса управления инфраструктурой системы и типовых действий по защите информации осуществляют по ГОСТ 2.102, ГОСТ 2.114, ГОСТ 15.016, ГОСТ 34.602, ГОСТ 32867, ГОСТ 34059, ГОСТ Р 10.0.05, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО 15704, ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 51583, ГОСТ Р 51904, ГОСТ Р 53114, ГОСТ Р 53647.1, ГОСТ Р 56425, ГОСТ Р 56939, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57839, ГОСТ Р 58494, ГОСТ Р 58811, ГОСТ Р МЭК 62264-1. Оценку интегрального риска нарушения реализации процесса с учетом требований по защите информации осуществляют по настоящему стандарту с использованием рекомендаций ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 16085, ГОСТ Р ИСО/МЭК 27005, ГОСТ Р ИСО 31000, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 54124, ГОСТ Р 57272.1, ГОСТ Р 58771, ГОСТ Р 59334, ГОСТ Р 59339, ГОСТ Р 59346, ГОСТ Р 59349, ГОСТ Р 59354, ГОСТ Р 59355. При этом учитывают специфику системы - см., например, [20]-[27].

4.2 Цель процесса управления инфраструктурой системы и назначение мер защиты информации

4.2.1 Определение целей процесса управления инфраструктурой системы осуществляют по ГОСТ Р 10.0.05, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО/МЭК 16085, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 53114, ГОСТ Р 53647.1, ГОСТ Р 56425, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 58811, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 62264-1 с учетом специфики системы.

В общем случае главной целью процесса управления инфраструктурой системы является поддержка таких проектных и эксплуатационных решений и действий, выполнение которых формирует функциональные возможности для создания (модернизации, развития) и/или эксплуатации системы и/или выведения системы из эксплуатации. Процесс управления инфраструктурой системы определяет, обеспечивает и поддерживает активы основных средств, инструментарии, связи и информационные технологии, необходимые для бизнеса организации.

4.2.2 Меры защиты информации в процессе управления инфраструктурой системы предназначены для обеспечения конфиденциальности, целостности и доступности защищаемой информации, предотвращения утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Определение мер защиты информации осуществляют по ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 51583, ГОСТ Р 56939, ГОСТ Р 58412, [20]-[24] с учетом специфики рассматриваемой системы и реализуемой стадии ее жизненного цикла.

4.3 Стадии и этапы жизненного цикла системы

Процесс управления инфраструктурой системы может быть использован на любой стадии жизненного цикла системы. Стадии и этапы работ устанавливают в договорах, соглашениях и ТЗ с учетом специфики и условий функционирования системы. Перечень этапов и конкретных работ в жизненном цикле системы формируют с учетом требований ГОСТ 2.114, ГОСТ 15.016, ГОСТ 34.601, ГОСТ 34.602, ГОСТ Р 15.301, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО 31000, ГОСТ Р 51583, ГОСТ Р 53622, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57839, ГОСТ Р 58811, [21]-[24].

Процесс управления инфраструктурой системы может входить в состав работ, выполняемых в рамках других процессов жизненного цикла системы, и при необходимости включать в себя другие процессы.

4.4 Основные принципы

При проведении системного анализа процесса управления инфраструктурой системы руководствуются основными принципами, определенными в ГОСТ Р 59349 с учетом дифференциации требований по защите информации в зависимости от категории значимости системы и важности обрабатываемой в ней информации - см. ГОСТ Р 59346, [19]-[24]. Все применяемые принципы подчинены принципу целенаправленности осуществляемых действий.

4.5 Основные усилия по обеспечению защиты информации в процессе управления инфраструктурой системы

Основные усилия системной инженерии по обеспечению защиты информации в процессе управления инфраструктурой системы сосредотачивают:

- на определении выходных результатов и действий, предназначенных для достижения целей процесса и защиты активов, информация которых или о которых необходима для достижения этих целей;

- выявлении потенциальных угроз и определении возможных сценариев возникновения и развития угроз для активов, подлежащих защите, выходных результатов и выполняемых действий процесса;

- определении и прогнозировании рисков, подлежащих системному анализу;

- проведении системного анализа для обоснования мер, направленных на противодействие угрозам и достижение целей процесса.