4.1 Общие положения
Организации используют процесс определения архитектуры в рамках создания (модернизации, развития) и эксплуатации системы для обеспечения ее безопасности, качества и эффективности. В процессе определения архитектуры системы осуществляют защиту информации, направленную на обеспечение конфиденциальности, целостности и доступности защищаемой информации, предотвращение несанкционированных и непреднамеренных воздействий на защищаемую информацию. Должна быть обеспечена надежная реализация процесса.
Для прогнозирования рисков, связанных с реализацией процесса, и обоснования эффективных предупреждающих мер по снижению рисков или их удержанию в допустимых пределах используют системный анализ процесса с учетом требований по защите информации.
Формирование выходных результатов процесса определения архитектуры и типовых действий по защите информации осуществляют по ГОСТ 2.114, ГОСТ 15.101, ГОСТ 34.201, ГОСТ 34.602, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО 15704, ГОСТ Р ИСО/МЭК 27003, ГОСТ Р 51904, ГОСТ Р 57100, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57839. Количественную оценку интегрального риска с учетом требований по защите информации в процессе определения архитектуры системы осуществляют по настоящему стандарту с использованием рекомендаций ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 16085, ГОСТ Р ИСО/МЭК 27005, ГОСТ Р ИСО 31000, ГОСТ Р 51901.1, ГОСТ Р 51901.5, ГОСТ Р 51901.7, ГОСТ Р 54124, ГОСТ Р 57102, ГОСТ Р 57272.1, ГОСТ Р 58771, ГОСТ Р 59334, ГОСТ Р 59339, ГОСТ Р 59346, ГОСТ Р 59349, ГОСТ Р 59354, ГОСТ Р 59355 с учетом специфики системы (см., например, [21]-[26]).
4.2 Цели процесса и назначение мер защиты информации
4.2.1 Формулирование целей процесса определения архитектуры системы осуществляют с использованием ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО/МЭК 16085, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 62264-1 и с учетом специфики системы.
В общем случае целями процесса определения архитектуры являются подготовка возможных вариантов архитектуры системы, выбор из этих вариантов приемлемого варианта (одного или нескольких, если это необходимо), который структурирует интересы заинтересованных сторон, отвечает системным требованиям и выражает во множестве согласованных представлений различные точки зрения на систему. Определение архитектуры может быть применено на различных уровнях абстракции, акцентируя внимание на деталях, необходимых для принятия решений на этом уровне.
4.2.2 Меры защиты информации в процессе определения архитектуры системы предназначены для обеспечения конфиденциальности, целостности и доступности защищаемой информации, предотвращения утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Определение мер защиты информации осуществляют по ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 51275, ГОСТ Р 51583, ГОСТ Р 56939, ГОСТ Р 58412, ГОСТ Р МЭК 61508-7, [20]-[24] с учетом специфики системы и реализуемой стадии жизненного цикла.
4.3 Стадии и этапы жизненного цикла системы
Процесс определения архитектуры системы может быть использован на стадиях разработки концепции (концептуальных положений) и разработки (в рамках эскизного и/или технического проектирования), а также на стадии эксплуатации для анализа, совершенствования и развития архитектурных решений. Этапы работ по созданию (модернизации, развитию) и эксплуатации системы устанавливают в договорах, соглашениях и ТЗ с учетом специфики и условий функционирования системы. Перечень этапов и конкретных работ в жизненном цикле системы формируют с учетом рекомендаций ГОСТ 2.114, ГОСТ 15.016, ГОСТ 34.601, ГОСТ 34.602, ГОСТ Р 15.301, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО 31000, ГОСТ Р 51583, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57272.1, ГОСТ Р 57839. Процесс определения архитектуры может входить в состав работ, выполняемых в рамках других процессов жизненного цикла системы, и при необходимости включать в себя другие процессы.
4.4 Основные принципы
При проведении системного анализа процесса определения архитектуры системы руководствуются основными принципами, определенными в ГОСТ Р 59349 с учетом дифференциации требований по защите информации в зависимости от категории значимости системы и важности обрабатываемой в ней информации - см. ГОСТ Р 59346, [19]-[24]. Все применяемые принципы подчинены принципу целенаправленности осуществляемых действий.
4.5 Основные усилия для обеспечения защиты информации
Основные усилия системной инженерии для обеспечения защиты информации в процессе определения архитектуры системы сосредотачивают:
- на определении выходных результатов и действий, предназначенных для достижения целей процесса и защиты активов, информация которых или о которых необходима для достижения этих целей;
- выявлении потенциальных угроз и определении возможных сценариев возникновения и развития угроз для активов, подлежащих защите, выходных результатов и выполняемых действий процесса;
- определении и прогнозировании рисков, подлежащих системному анализу;
- проведении системного анализа для обоснования мер, направленных на противодействие угрозам и достижение целей процесса.