Точный
Статус документа
Статус документа

ГОСТ Р 59346-2021 Системная инженерия. Защита информации в процессе определения системных требований

     5 Общие требования системной инженерии по защите информации в процессе определения системных требований

5.1 Общие требования системной инженерии по защите информации устанавливают в ТЗ на выполнение работ. Эти требования и методы их выполнения детализируют в ТЗ на составную часть системы (в качестве составной части системы может выступать система защиты информации), в конструкторской, технологической и эксплуатационной документации, в спецификациях на поставляемые продукцию и/или услуги. Поскольку элементы процесса определения системных требований могут использоваться на этапах, предваряющих получение и утверждение ТЗ, соответствующие требования по защите информации, применимые к этому процессу, могут быть оговорены в рамках соответствующих договоров и соглашений. Содержание требований формируют при выполнении процесса с учетом нормативных правовых документов Российской Федерации (см., например [1]-[4], [7]-[14]), уязвимостей системы, преднамеренных и непреднамеренных угроз нарушения функционирования системы и/или ее программных и программно-аппаратных элементов.

Примечание - Если информация относится к категории государственной тайны, в вопросах защиты информации руководствуются регламентирующими документами соответствующих государственных регуляторов.

5.2 Требования системной инженерии по защите информации призваны обеспечивать управление техническими и организационными усилиями по планированию и реализации процесса определения системных требований и поддержке при этом эффективности защиты информации.

К системным требованиям, связанным с ЗИ, в соответствии с общими требованиями системной инженерии относят:

- требования к описанию системы, касающиеся состава защищаемой информации, состава и места в системе ее программных и программно-аппаратных элементов, в которых обрабатывается такая информация, а также требования к описанию технических решений по взаимодействию рассматриваемой системы с другими системами;

- требования к составам выходных результатов, выполняемых действий и используемых при этом активов, подлежащих защите от угроз безопасности информации;

- требования к порядку выявления уязвимостей системы, угроз безопасности информации, реализуемых путем использования этих уязвимостей, а также требования к прогнозированию рисков реализации этих угроз на всех этапах жизненного цикла системы;

- требования по защите от преднамеренных и непреднамеренных угроз нарушения функционирования системы и/или ее программных и программно-аппаратных элементов;

- требования по защите от угроз утечки информации, содержащей сведения, не подлежащие распространению по требованиям заинтересованных сторон системы, а также по требованиям нормативных правовых актов государственных регуляторов в области ЗИ;

- требования к функциональным характеристикам системы защиты информации, обрабатываемой в системе и/или передаваемой по сетям общего пользования (в том числе по сети Интернет) или по выделенным каналам в сопряженные сети иных организаций, включая требования по обоснованию эффективных превентивных способов снижения рисков или их удержания в допустимых пределах;

- требования к нефункциональным характеристикам системы защиты (в том числе к мерам и способам обеспечения ее функционирования), включая требования по обоснованию эффективных превентивных организационных действий, направленных на снижение рисков или их удержание в допустимых пределах;

- требования, касающиеся проектных ограничений.

Примечание - В системах искусственного интеллекта (ИИ) возникает необходимость формирования требований, касающихся:


- гарантированного подтверждения достаточности автоматизированной анонимизации и деперсонификации конфиденциальной информации при предоставлении доступа разработчиков систем к обучающим наборам исходных данных, являющихся изначально конфиденциальными;

- учета возможности повышения уровня конфиденциальности данных в процессе их обработки в системе ИИ (по мере агрегирования, выявления скрытых зависимостей, восстановления изначально отсутствующей информации);

- регламентации процессов обеспечения конфиденциальности тестовых выборок исходных данных, используемых испытательными лабораториями при оценке соответствия прикладных систем ИИ, с сохранением прозрачности и подотчетности такой оценки.

5.3 Состав выходных результатов и выполняемых действий в процессе определения системных требований определяют по ГОСТ 2.102, ГОСТ 2.114, ГОСТ 15.016, ГОСТ 15.101, ГОСТ 34.201, ГОСТ 34.602, ГОСТ Р 15.301, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО 15704, ГОСТ Р 51583, ГОСТ Р 51904, ГОСТ Р 56939, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57839 с учетом специфики системы.

5.4 Меры защиты информации и действия по защите информации должны охватывать активы, информация которых или о которых подлежит защите для получения выходных результатов и выполнения действий процесса определения системных требований.

Примечание - В состав активов могут быть включены активы, используемые для достижения целей процесса определения системных требований для иных систем, подсистем или средств, не вошедших в состав рассматриваемой системы, но охватываемых по требованиям заказчика - например, для привлекаемых средств контроля надежности.

5.5 Определение активов, информация которых или о которых подлежит защите, и формирование перечня потенциальных угроз и возможных сценариев возникновения и развития угроз для каждого из активов осуществляют по ГОСТ 34.602, ГОСТ IEC 61508-3, ГОСТ Р ИСО/МЭК 27001, ГОСТ Р 51583, ГОСТ Р 56939, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 58412 с учетом рекомендаций ГОСТ 15.016, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р ИСО/МЭК 27005, ГОСТ Р ИСО 31000, ГОСТ Р 51275, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 59329, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-6 и специфики системы (см., например, [7]-[14]).

Примеры перечней учитываемых активов и угроз в процессе определения системных требований приведены в приложениях А и Б.

5.6 Эффективность ЗИ при выполнении процесса определения системных требований оценивают по показателям, рассчитываемым на основе значений показателей рисков реализации угроз в условиях отсутствия мер защиты информации и прогнозируемого применения выбираемых мер защиты информации в зависимости от специфики системы и особенностей ее функционирования.

Системный анализ процесса осуществляют с использованием методов, моделей и методических указаний (см. приложения В, Г, Д, Е, Ж) с учетом рекомендаций ГОСТ Р ИСО 9001, ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО/МЭК 15026, ГОСТ Р ИСО 17359, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 51901.1, ГОСТ Р 51901.5, ГОСТ Р 54124, ГОСТ Р 58771, ГОСТ Р 59339, ГОСТ Р 59349, ГОСТ Р МЭК 61069-2, ГОСТ Р МЭК 61069-3, ГОСТ Р МЭК 61069-4, ГОСТ Р МЭК 61069-5, ГОСТ Р МЭК 61069-6, ГОСТ Р МЭК 61069-7, ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-5, ГОСТ Р МЭК 61508-7, ГОСТ Р МЭК 62264-1.

5.7 Для обоснования эффективных превентивных мер защиты, направленных на снижение различных рисков или их удержание в допустимых пределах, применяют системный анализ с использованием устанавливаемых специальных качественных и количественных показателей рисков и показателей эффективности ЗИ. Примерный состав методик системного анализа приведен в приложении В, типовая номенклатура показателей для оценки рисков и эффективности ЗИ в системе - в приложении Г, методы и модели для оценки рисков - в приложении Д, а методические указания по прогнозированию рисков и определению угроз безопасности информации - в приложении Ж.

Качественные показатели для оценки рисков в области информационной безопасности определены в ГОСТ Р ИСО/МЭК 27005. Целесообразность использования количественных показателей рисков в дополнение к качественным показателям может потребовать дополнительного обоснования. Состав и требования к специальным количественным показателям рисков в интересах системного анализа процесса определения системных требований определены в 6.2 и 6.3.

Характеристики мер ЗИ и исходные данные, обеспечивающие применение методов, моделей и методик, определяют на основе собираемых и накапливаемых сведений по реализованным угрозам безопасности информации, по применяемым или рекомендуемым к применению мерам, средствам и способам ЗИ в системах.