ГОСТ Р 59335-2021 Системная инженерия. Защита информации в процессе управления знаниями о системе

     4 Основные положения системной инженерии по защите информации в процессе управления знаниями о системе

4.1 Общие положения

Организации используют процесс управления знаниями о системе для повышения качества и/или безопасности создаваемой или применяемой системы, других систем, связанных с этой системой, и/или эффективности их применения. В процессе управления знаниями о системе осуществляют защиту информации, направленную на обеспечение конфиденциальности, целостности и доступности защищаемой информации, предотвращение несанкционированных и непреднамеренных воздействий на защищаемую информацию. Должна быть обеспечена надежная реализация процесса.

Для прогнозирования рисков нарушения надежности реализации процесса и обоснования эффективных предупреждающих действий по снижению этих рисков или их удержанию в допустимых пределах используют системный анализ с учетом требований по защите информации.

Определение выходных результатов процесса управления знаниями о системе и типовых действий по защите информации осуществляют по ГОСТ 2.114, ГОСТ 7.32, ГОСТ 15.101, ГОСТ 34.201, ГОСТ 34.602, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО 15704, ГОСТ Р 51904, ГОСТ Р 57100, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57839. Оценку интегрального риска нарушения реализации процесса управления знаниями о системе осуществляют по настоящему стандарту с использованием рекомендаций ГОСТ Р ИСО 2859-1, ГОСТ Р ИСО 2859-3, ГОСТ Р ИСО 3534-1, ГОСТ Р ИСО 3534-2, ГОСТ Р ИСО 7870-1, ГОСТ Р ИСО 7870-2, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 16085, ГОСТ Р ИСО/МЭК 27005, ГОСТ Р ИСО 31000, ГОСТ Р 50779.41, ГОСТ Р 50779.70, ГОСТ Р 51897, ГОСТ Р 51901.1, ГОСТ Р 51901.5, ГОСТ Р 51901.7, ГОСТ Р 54124, ГОСТ Р 57102, ГОСТ Р 57272.1, ГОСТ Р 58494, ГОСТ Р 58771, ГОСТ Р 59339, ГОСТ Р 59346, ГОСТ Р 59349, ГОСТ Р 59354, ГОСТ Р 59355 с учетом специфики создаваемой (модернизируемой) и/или применяемой или выводимой из эксплуатации системы - см., например [21]-[27].

4.2 Стадии и этапы жизненного цикла систем

Процесс управления знаниями о системе может быть использован на любой стадии жизненного цикла системы.

Стадии и этапы работ по созданию (модернизации, развитию) и эксплуатации систем устанавливают в договорах, соглашениях и ТЗ с учетом специфики и условий функционирования систем. Перечень этапов и конкретных работ в жизненном цикле систем формируют с учетом требований ГОСТ 2.114, ГОСТ 15.016, ГОСТ 34.601, ГОСТ 34.602, ГОСТ Р 15.301, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО 31000, ГОСТ Р 51583, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57272.1, ГОСТ Р 57839. Процесс управления знаниями о системе может входить в состав работ, выполняемых в рамках других процессов жизненного цикла систем, и при необходимости включать в себя другие процессы.

4.3 Цели процесса и назначение мер по защите информации

4.3.1 Определение целей процесса управления знаниями о системе осуществляют по ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р МЭК 62264-1, ГОСТ Р МЭК 62508 в соответствии со спецификой, создаваемой (модернизируемой) и/или применяемой системы, планируемого проекта, организации, выполняющей проект, а также реализуемой стадии жизненного цикла системы. В общем случае главной целью процесса управления знаниями о системе является повышение качества и/или безопасности и/или эффективности системы или связанных с ней систем за счет приобретения, создания, распространения, своевременного применения и сохранения полезных знаний в их жизненном цикле.

Частными целями процесса управления знаниями о системе являются:

- при создании или приобретении знаний: получение новых знаний о системе, например в результате научно-исследовательских или опытно-конструкторских работ, или в рамках уже сложившихся и совершенствуемых технологических процессов внутри или вне рассматриваемой системы;

- при сохранении знаний: применение соответствующих мер защиты информации, используемой для формирования знаний, защиты самих знаний, баз знаний и носителей знаний от разнородных угроз;

- при распространении знаний: доведение знаний до потребителей для последующего целевого использования в системе;

- при применении знаний: повышение качества и/или безопасности и/или эффективности системы, связанных с ней систем и обеспечение удовлетворенности заинтересованных сторон.

Примечание - Условия сохранения знаний специалистов, являющихся непосредственными носителями знаний, их физической и социальной защиты определяются в соответствии с законодательством Российской Федерации.

4.3.2 Меры защиты информации в процессе управления знаниями о системе предназначены для обеспечения предотвращения утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, формирующей знания и базы знаний, для защиты носителей знаний от разнородных угроз, способных привести к утрате знаний или несанкционированной передаче знаний третьей стороне. Определение мер по защите информации осуществляют по ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 56939, ГОСТ Р 58412, [19]-[24] с учетом специфики создаваемой или применяемой системы, планируемого проекта, организации, выполняющей проект, а также реализуемой стадии жизненного цикла системы.

4.4 Основные принципы

При проведении системного анализа процесса управления знаниями о системе руководствуются основными принципами, определенными в ГОСТ Р 59349 с учетом дифференциации требований по защите информации в зависимости от категории значимости системы и важности обрабатываемой в ней информации (см. ГОСТ Р 59346, [19]-[24]). Все применяемые принципы подчинены принципу целенаправленности выполняемых действий.

4.5 Основные усилия для обеспечения защиты информации

Основные усилия системной инженерии для обеспечения защиты информации в процессе управления знаниями о системе сосредотачивают:

- на определении выходных результатов и действий, предназначенных для достижения целей процесса и защиты активов, информация которых или о которых необходима для достижения этих целей;

- выявлении потенциальных угроз и определении возможных сценариев возникновения и развития угроз для активов, подлежащих защите, выходных результатов и выполняемых действий процесса;

- определении и прогнозировании рисков, подлежащих системному анализу;

- проведении системного анализа для обоснования мер, направленных на противодействие угрозам и достижение целей процесса.