Точный
Статус документа
Статус документа

ГОСТ Р 59346-2021 Системная инженерия. Защита информации в процессе определения системных требований

     6 Специальные требования к количественным показателям

6.1 Общие положения

6.1.1 Применительно к защищаемым активам, действиям и выходным результатам процесса определения системных требований при необходимости устанавливают заданный уровень (класс) защищенности или категорию значимости (важности) системы. С учетом этого определяют возможные варианты мер защиты информации, с использованием которых может быть достигнут заданный уровень (класс) защищенности системы. Оценивают эффективность ЗИ на основе прогнозирования рисков в условиях возможных угроз. Осуществляют обоснование эффективных превентивных мер и действий по снижению рисков и/или их удержанию в допустимых пределах.

6.1.2 В общем случае основными выходными результатами процесса определения системных требований являются:

- установленный состав заинтересованных сторон системы в течение ее жизненного цикла;

- результаты анализа выявленных потребностей и требований заинтересованных сторон (см. ГОСТ Р 57193, ГОСТ Р 59344 и ГОСТ Р 59345);

- ТЗ на разработку системы и конкретные системные требования, отражающие потребности и требования заинтересованных сторон;

- отчеты о прослеживаемости сформулированных системных требований относительно удовлетворения потребностей и требований заинтересованных сторон на всех стадиях жизненного цикла системы;

- характеристики и условия использования возможностей системы для ЗИ, критические показатели влияния предлагаемых мер защиты информации на функционирование системы и снижение рисков реализации угроз или их удержание в допустимых пределах;

- ограничения со стороны системных требований для принимаемых системных решений;

- системные требования к обеспечивающим системам, которые предполагается использовать в жизненном цикле рассматриваемой системы;

- достигнутые соглашения с заинтересованными сторонами о том, что их потребности и требования правильно отражены в сформулированных системных требованиях;

- функциональное описание системы, включая ее границы и взаимодействия;

- материалы в отчеты об обследовании объектов системы, проведении необходимых научно-исследовательских работ.

6.1.3 Для получения выходных результатов процесса определения системных требований в общем случае выполняют следующие основные действия:

- определение заинтересованных сторон системы в течение ее жизненного цикла;

- определение и анализ потребностей и требований заинтересованных сторон, представляющих начальные неформальные посылки для технических решений (замысел новой системы, модернизация или развитие существующей системы);

- определение контекста использования рассматриваемой системы, требований и порядка взаимодействия с другими системами, необходимыми для обеспечения установленных потребностей и требований заинтересованных сторон;

- разработку концепции функционирования (эксплуатации) системы и других концепций жизненного цикла системы, включая определение сценариев функционирования и порядка взаимодействия между пользователями и системой;

- преобразование потребностей и требований заинтересованных сторон в конкретные системные требования, включая:

- требования к критичным характеристикам, таким как уровень (класс) защищенности или категория значимости системы, показатели защищенности системы от возможных угроз безопасности информации, показатели защищенности окружающей среды и здоровья персонала, пользователей и окружающего населения (при необходимости),

- требования, связанные со сценариями, взаимодействиями, ограничениями и критичными характеристиками качества, безопасности и эффективности системы в ее жизненном цикле,

- требования по ограничению принимаемых системных решений, вытекающие из существующих соглашений, управленческих и технических возможностей;

- системный анализ потребностей и требований заинтересованных сторон, включая обеспечение обратной связи с заинтересованными сторонами для получения гарантии того, что их потребности, требования и ожидания правильно интерпретированы и выражены в системных требованиях;

- поддержание основных информационных активов, создаваемых в рамках процесса определения системных требований;

- формирование ТЗ на выполнение определенных работ, необходимых для последующей реализации системных требований.

6.1.4 Текущие данные, накапливаемая и собираемая статистика, связанные с нарушениями требований по ЗИ и по защите системы от угроз нарушения ее функционирования, являются основой для принятия решений по факту наступления событий и источником исходных данных для прогнозирования рисков. Риски оценивают объективными вероятностными показателями, вычисляемыми путем моделирования (см. приложения Г, Е) или с использованием экспертного балльного метода (см. приложение Д) с учетом возможного ущерба.

6.2 Требования к составу показателей

Показатели должны обеспечивать проведение: