6.1 Общие положения
6.1.1 В приложении к защищаемым активам, действиям и выходным результатам процесса определения потребностей и требований заинтересованной стороны для системы, к которым предъявлены определенные требования по защите информации, выполняют оценку эффективности защиты информации на основе прогнозирования рисков в условиях возможных угроз.
6.1.2 В общем случае основными выходными результатами процесса определения потребностей и требований заинтересованной стороны для системы являются:
- концепция функционирования (эксплуатации) системы и иные концепции в жизненном цикле системы;
- установленный состав заинтересованных сторон, имеющих интерес к системе на отдельных этапах или на всех этапах ее жизненного цикла;
- выявленные потребности заинтересованных сторон;
- конкретные формализованные требования к системе, отражающие потребности заинтересованных сторон;
- отчеты по системному анализу формализованных требований;
- карта прослеживаемости сформулированных формализованных требований относительно удовлетворения потребностей заинтересованных сторон;
- характеристики и условия использования возможностей системы, критические показатели ее функционирования;
- ограничения для принимаемых системных решений;
- требования к обеспечивающим системам, которые предполагается использовать для удовлетворения выявленных потребностей заинтересованных сторон и выполнения установленных формализованных требований;
- достигнутые соглашения с заинтересованными сторонами о том, что их потребности правильно отражены в сформулированных формализованных требованиях к системе;
- функциональное описание системы, включая границы ее возможностей и взаимодействия;
- меры по обеспечению функционирования в критических условиях;
- материалы в отчеты об обследовании объектов, проведении необходимых научно-исследовательских работ и требования ТЗ.
6.1.3 Для получения выходных результатов процесса определения потребностей и требований заинтересованной стороны для системы в общем случае выполняют следующие основные действия:
- подготовительные действия:
- определение заинтересованных сторон, имеющих законный интерес к системе в течение ее жизненного цикла,
- определение стратегии выполнения процесса для установления общего множества согласованных приемлемых требований к системе,
- анализ необходимости применения обеспечивающих систем или услуг для определения потребностей и требований заинтересованных сторон, планирование их приобретения и применения,
- получение или приобретение доступа к обеспечивающим системам или услугам (при необходимости их применения);
- определение потребностей заинтересованных сторон:
- определение контекста использования системы в пределах концепции ее функционирования (эксплуатации) и основных понятий ее жизненного цикла,
- выявление явных и подразумеваемых потребностей,
- распределение выявленных потребностей по приоритетам,
- определение потребностей заинтересованных сторон и их обоснование, ориентированное на достижение целей системы;
- разработку концепции функционирования (эксплуатации) системы и иных концепций в жизненном цикле системы, включая определение сценариев функционирования и порядка взаимодействия пользователей с системой для обеспечения потребностей заинтересованных сторон;