Статус документа

ГОСТ Р 59337-2021 Системная инженерия. Защита информации в процессе оценки и контроля проекта

5 Общие требования системной инженерии по защите информации в процессе оценки и контроля проекта

5.1 Требования системной инженерии по защите информации устанавливают в соответствии с нормативами, положениями, политиками и процедурами, принятыми в организации, выполняющей этот процесс, с учетом нормативно-правовых документов Российской Федерации (см., например, [1]-[27]), уязвимостей самого процесса, преднамеренных и непреднамеренных угроз нарушения его реализации и безопасности информации, а также задействованных при его реализации программных и программно-аппаратных элементов - см. ГОСТ Р 59346. Поскольку процесс оценки и контроля проекта относится к категории процессов технического управления, применимые к нему требования к защите информации устанавливают в соответствии с принятыми в организации, выполняющей этот процесс, нормативами, положениями, политиками и процедурами.

Примечание - Если информация относится к категории государственной тайны, в вопросах защиты информации руководствуются регламентирующими документами соответствующих государственных регуляторов. При использовании процесса контроля и оценки проекта в системах искусственного интеллекта необходимо гарантированно подтверждать достаточность автоматизированной деклассификации конфиденциальной информации (анонимизации, деперсонификации и пр.), учитывать возможность повышения уровня конфиденциальности данных в процессе их обработки в системе искусственного интеллекта (по мере агрегирования, выявления скрытых зависимостей, восстановления изначально отсутствующей информации и пр.), регламентировать вопросы обеспечения конфиденциальности тестовых выборок исходных данных, используемых испытательными лабораториями при оценке соответствия прикладных систем искусственного интеллекта, с сохранением прозрачности и подотчетности этого процесса.

5.2 Требования системной инженерии по защите информации призваны обеспечивать управление техническими и организационными усилиями по планированию и реализации процесса оценки и контроля проекта и поддержке при этом эффективности защиты информации.

Требования системной инженерии по защите информации в процессе оценки и контроля системы включают:

- требования к составам выходных результатов процесса, выполняемых действий и используемых при этом активов, требующих защиты информации;

- требования к определению потенциальных угроз для выходных результатов и выполняемых действий процесса, а также возможных сценариев возникновения и развития этих угроз;

- требования к прогнозированию рисков при планировании и реализации процессов, обоснованию эффективных предупреждающих мер по снижению рисков или их удержанию в допустимых пределах.

5.3 Состав выходных результатов и выполняемых действий в процессе оценки и контроля проекта определяют по ГОСТ 2.114, ГОСТ 7.32, ГОСТ 15.016, ГОСТ 15.101, ГОСТ Р 15.301, ГОСТ 34.201, ГОСТ 34.602, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО 15704, ГОСТ Р ИСО/МЭК 20000-1, ГОСТ Р 51583, ГОСТ Р 51904, ГОСТ Р 53647.1, ГОСТ Р 56939, ГОСТ Р 57100, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57839 с учетом специфики проекта и организации, применяющей процесс.

5.4 Меры защиты информации и действия по защите информации должны охватывать активы, информация которых или о которых необходима для получения выходных результатов и выполнения действий в процессе оценки и контроля проекта.

5.5 Определение активов, информация которых или о которых подлежит защите, формирование перечня потенциальных угроз надежности реализации процесса и безопасности информации и формирование возможных сценариев возникновения и развития угроз для каждого из активов осуществляют по ГОСТ 34.201, ГОСТ 34.602, ГОСТ IEC 61508-3, ГОСТ Р ИСО/МЭК 27001, ГОСТ Р 51583, ГОСТ Р 56939, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 58412 с учетом требований ГОСТ 15.016, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р ИСО/МЭК 27005, ГОСТ Р ИСО 31000, ГОСТ Р 51275, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 57839, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-6, ГОСТ Р МЭК 62264-1, [20]-[25]. Примеры перечней учитываемых активов и угроз в процессе оценки и контроля проекта приведены в приложениях А и Б.

5.6 Эффективность защиты информации при выполнении процесса оценки и контроля проекта анализируют по показателям рисков в зависимости от специфики системы, связанной с проектом, целей ее применения и возможных угроз при выполнении процесса. В системном анализе процесса используют модель угроз безопасности информации.

5.7 Для обоснования эффективных предупреждающих мер по снижению рисков или их удержанию в допустимых пределах применяют системный анализ с использованием устанавливаемых специальных качественных и количественных показателей рисков.

Качественные показатели для оценки рисков в области информационной безопасности определены в ГОСТ Р ИСО/МЭК 27005. Целесообразность использования количественных показателей рисков в дополнение к качественным показателям может потребовать дополнительного обоснования. Состав специальных количественных показателей рисков в интересах системного анализа процесса оценки и контроля проекта определен в 6.3.

Типовые модели и методы системного анализа процесса оценки и контроля проекта, допустимые значения для расчетных показателей и примерный перечень методик системного анализа приведены в приложениях В, Г, Д. Характеристики мер защиты информации и исходные данные, обеспечивающие применение методов, моделей и методик, определяют по рассматриваемым процессам и возможным условиям их реализации.