4.1 Общие положения
Организации используют данный процесс в рамках создания (модернизации, развития), эксплуатации системы и выведении системы из эксплуатации для выявления потребностей заинтересованной стороны и преобразования их в явно сформулированные формализованные требования.
В процессе определения потребностей и требований заинтересованной стороны для системы осуществляют защиту информации, направленную на обеспечение конфиденциальности, целостности и доступности защищаемой информации, предотвращение несанкционированных и непреднамеренных воздействий на защищаемую информацию. Должно быть обеспечено надежное выполнение процесса.
Для прогнозирования интегрального риска нарушения реализации процесса и обоснования эффективных предупреждающих мер по снижению этого риска или удержанию его в допустимых пределах используют системный анализ процесса с учетом требований по защите информации.
Определение выходных результатов процесса определения потребностей и требований заинтересованной стороны и типовых действий по защите информации осуществляют по ГОСТ 2.114, ГОСТ 15.101, ГОСТ 34.201, ГОСТ 34.602, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО/МЭК 15704, ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р ИСО/МЭК 27003, ГОСТ Р 51904, ГОСТ Р 57100, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57839. Оценку интегрального риска с учетом требований по защите информации в процессе определения потребностей и требований заинтересованной стороны осуществляют по настоящему стандарту с использованием рекомендаций ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 16085, ГОСТ Р ИСО/МЭК 27005, ГОСТ Р ИСО 31000, ГОСТ Р 51901.1, ГОСТ Р 51901.5, ГОСТ Р 51901.7, ГОСТ Р 54124, ГОСТ Р 57102, ГОСТ Р 57272.1, ГОСТ Р 58771, ГОСТ Р 59339, ГОСТ Р 59346, ГОСТ Р 59349, ГОСТ Р 59355. При этом учитывают специфику системы (см., например, [20]-[24]) и организации, применяющей процесс.
4.2 Цели процесса и назначение мер защиты информации
4.2.1 Формирование целей процесса определения потребностей и требований заинтересованной стороны для системы осуществляют по ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО/МЭК 16085, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 62264-1 с учетом специфики системы.
В общем случае целью процесса является определение требований к системе, выполнение которых должно обеспечить удовлетворение потребностей каждой из заинтересованных сторон в заданной среде применения системы. Сначала в рамках процесса определяют заинтересованные стороны, связанные с системой на протяжении всего жизненного цикла, и их потребности. Далее в рамках процесса выявленные потребности анализируют и преобразуют в совокупность формальных требований, отражающих желаемое поведение системы в среде функционирования. В последующем эти требования служат исходными данными для выполнения процесса определения системных требований, а также для проверки соответствия эксплуатационных возможностей системы потребностям заинтересованных сторон в рамках процессов функционирования и аттестации системы.
4.2.2 Меры защиты информации в процессе определения потребностей и требований заинтересованной стороны для системы предназначены для обеспечения конфиденциальности, целостности и доступности защищаемой информации, предотвращения утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Определение мер защиты информации осуществляют по ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 51583, ГОСТ Р 56939, ГОСТ Р 58412, ГОСТ Р МЭК 61508-7, [20]-[24] с учетом специфики системы.
4.3 Стадии и этапы жизненного цикла системы
Процесс определения потребностей и требований заинтересованной стороны для системы используется главным образом на стадии замысла, формирования требований, разработки концепции и ТЗ. Уточнение потребностей и требований заинтересованной стороны может понадобиться также на последующих стадиях, в том числе на стадии выведения системы из эксплуатации.
Перечень этапов и конкретных работ в жизненном цикле системы формируют с учетом специфики и условий ее функционирования и требований ГОСТ 2.114, ГОСТ 15.016, ГОСТ 34.601, ГОСТ 34.602, ГОСТ Р 15.301, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО 31000, ГОСТ Р 51583, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57272.1, ГОСТ Р 57839, ГОСТ Р 59329. Процесс определения потребностей и требований заинтересованной стороны для системы может входить в состав работ, выполняемых в рамках других процессов жизненного цикла систем, и при необходимости включать в себя другие процессы.
4.4 Основные принципы
При проведении системного анализа процесса определения потребностей и требований заинтересованной стороны для системы руководствуются основными принципами, определенными в ГОСТ Р 59349 с учетом дифференциации требований по защите информации в зависимости от категории значимости системы и важности обрабатываемой в ней информации (см. ГОСТ Р 59346, [19]-[24]). Все применяемые принципы подчинены принципу целенаправленности осуществляемых действий.
4.5 Основные усилия для обеспечения защиты информации
Основные усилия системной инженерии для обеспечения защиты информации в процессе определения потребностей и требований заинтересованной стороны для системы сосредотачивают:
- на определении выходных результатов и действий, предназначенных для достижения целей процесса и защиты активов, информация которых или о которых необходима для достижения этих целей;
- выявлении потенциальных угроз и определении возможных сценариев возникновения и развития угроз для активов, подлежащих защите, выходных результатов и выполняемых действий процесса;
- определении и прогнозировании рисков, подлежащих системному анализу;
- проведении системного анализа для обоснования мер, направленных на противодействие угрозам и достижение целей процесса.