ГОСТ Р 59355-2021 Системная инженерия. Защита информации в процессе функционирования системы
4 Основные положения системной инженерии по защите информации в процессе функционирования системы
4.1 Общие положения
Организации используют процесс функционирования системы в рамках создания (модернизации, развития) и эксплуатации системы для обеспечения ее результативности.
В процессе функционирования системы осуществляют защиту информации, направленную на обеспечение конфиденциальности, целостности и доступности защищаемой информации, предотвращение несанкционированных и непреднамеренных воздействий на защищаемую информацию. Должна быть обеспечена надежная реализация процесса.
Для прогнозирования рисков нарушения надежности реализации процесса и обоснования эффективных предупреждающих мер по снижению этих рисков или их удержанию в допустимых пределах используют системный анализ процесса с учетом требований по защите информации.
Определение выходных результатов процесса функционирования системы и типовых действий по защите информации осуществляют по ГОСТ 2.114, ГОСТ 34.201, ГОСТ 34.602, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО 15704, ГОСТ Р 51904, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57839. Количественную оценку рисков, свойственных рассматриваемому процессу, осуществляют по настоящему стандарту с использованием рекомендаций ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 16085, ГОСТ Р ИСО/МЭК 27005, ГОСТ Р ИСО 31000, ГОСТ Р 51901.1, ГОСТ Р 51901.5, ГОСТ Р 51901.7, ГОСТ Р 54124, ГОСТ Р 57102, ГОСТ Р 57272.1, ГОСТ Р 58494, ГОСТ Р 58771, ГОСТ Р 59334, ГОСТ Р 59339, ГОСТ Р 59346, ГОСТ Р 59349. При этом учитывают специфику рассматриваемой системы (см., например, [21]-[26]).
4.2 Стадии и этапы жизненного цикла системы
Процесс функционирования системы используют на стадиях эксплуатации и сопровождения системы для применения системы по назначению. Этапы работ устанавливают в договорах, соглашениях и ТЗ с учетом специфики и условий функционирования системы. Перечень конкретных работ формируют с учетом требований ГОСТ 2.114, ГОСТ 15.016, ГОСТ 34.601, ГОСТ 34.602, ГОСТ Р 15.301, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО 31000, ГОСТ Р 51583, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57272.1, ГОСТ Р 57839.
Процесс функционирования системы может входить в состав работ, выполняемых в рамках других процессов жизненного цикла системы, и при необходимости включать в себя другие процессы.
4.3 Цель процесса функционирования системы и назначение мер защиты информации
4.3.1 Определение целей процесса функционирования системы осуществляют по ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО/МЭК 16085, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 62264-1 с учетом специфики рассматриваемой системы.
В общем случае главная цель процесса функционирования системы состоит в ее применении по назначению. Чтобы поддерживать применение системы по назначению, в процессе ее функционирования определяют и анализируют приемлемость эксплуатационных и прогнозируемых значений параметров и показателей, а также отклонений относительно действующих соглашений, ограничений и требований заинтересованных сторон.
4.3.2 Меры защиты информации в процессе функционирования системы предназначены для обеспечения конфиденциальности, целостности и доступности защищаемой информации, предотвращения несанкционированных и непреднамеренных воздействий на защищаемую информацию. Определение мер защиты информации осуществляют по ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 51275, ГОСТ Р 51583, ГОСТ Р 56939, ГОСТ Р 58412, ГОСТ Р МЭК 61508-7, [20]-[24] с учетом специфики рассматриваемой системы и реализуемой стадии жизненного цикла.
Примечание - К мерам защиты информации относятся упоминаемые далее в тексте стандарта меры периодической диагностики и восстановления возможностей по обеспечению выполнения требований защиты информации, меры противодействия угрозам, меры по снижению рисков, а также корректирующие меры.
4.3.3 Для получения близкой к реальности статистики, необходимой для обоснования применяемых мер защиты информации, используют технологические стенды или стендовые полигоны. С их помощью получают оценки достижимых показателей защищенности информации и устойчивости функционирования систем в условиях несанкционированных информационно-технических воздействий. Стендовые испытания систем осуществляют по методикам, предусматривающим имитацию условий несанкционированных информационно-технических воздействий, выявление уязвимостей, многовариантный выбор организационно-технических мер обеспечения информационной безопасности и оценку способности выполнять и восстанавливать процессы функционирования системы. Для обеспечения приемлемого функционирования системы выявляемые уязвимости подлежат контролю и последующему устранению (если такое устранение возможно и экономически целесообразно).
4.4 Основные принципы системного анализа
При проведении системного анализа процесса функционирования системы руководствуются основными принципами, определенными в ГОСТ Р 59349 с учетом дифференциации требований по защите информации в зависимости от категории значимости системы и важности обрабатываемой в ней информации (см. ГОСТ Р 59346, [19]-[24]). Все применяемые принципы подчинены принципу целенаправленности осуществляемых действий в планируемых и реализуемых процессах на протяжении всего жизненного цикла системы.
4.5 Основные усилия по обеспечению защиты информации
Основные усилия системной инженерии для обеспечения защиты информации в процессе функционирования системы сосредотачивают:
- на определении выходных результатов и действий, предназначенных для достижения целей процесса и защиты активов, информация которых или о которых необходима для достижения этих целей;
- выявлении потенциальных угроз и определении возможных сценариев возникновения и развития угроз для активов, подлежащих защите, выходных результатов и выполняемых действий процесса;
- определении и прогнозировании рисков, подлежащих системному анализу;
- проведении системного анализа для обоснования мер, направленных на противодействие угрозам и достижение целей процесса.