Точный
Статус документа
Статус документа

ГОСТ Р 59355-2021 Системная инженерия. Защита информации в процессе функционирования системы

     6 Специальные требования к количественным показателям

6.1 Общие положения

6.1.1 В приложении к защищаемым активам, действиям и выходным результатам процесса функционирования системы, к которым предъявлены определенные требования по защите информации, выполняют оценку эффективности защиты информации на основе прогнозирования рисков в условиях возможных угроз.

6.1.2 В общем случае основными выходными результатами процесса функционирования системы являются:

- ограничения в применении системы, которые влияют на системные требования, архитектуру и/или проекты, связанные с системой;

- доступ к обеспечивающим системам, услугам и материалам, необходимым для функционирования рассматриваемой системы;

- обученные и компетентные операторы системы;

- непосредственно продукция и/или услуги системы, отвечающие требованиям заинтересованных сторон (продукция может быть как материальной, так и нематериальной, например, информационной продукцией, или их комбинацией);

- результаты контроля функционирования системы, в том числе состояния защиты циркулирующей в ней информации;

- карта двунаправленной прослеживаемости возможностей системных элементов, участвующих в процессе функционирования системы, относительно выполнения системных требований и требований заинтересованных сторон системы;

- результаты поддержки конкретных заинтересованных сторон.

6.1.3 Для получения выходных результатов процесса функционирования системы в общем случае выполняют следующие основные действия:

- подготовительные действия:

- определение стратегии эксплуатации системы, включая определение критериев и методов обеспечения качества производимой продукции и/или услуг, способов организации приемлемого функционирования и реагирования на отклонения, методов защиты окружающей среды, технологий обеспечения устойчивости и безопасности функционирования системы,

- определение ограничений в применении системы, которые влияют на системные требования, архитектуру и/или проекты, связанные с системой,

- определение и планирование действий относительно необходимых обеспечивающих систем, услуг и материалов, необходимых для поддержки функционирования рассматриваемой системы, и обеспечение доступа к ним,

- определение требований к квалификации и обучению персонала, прием на работу и возложение обязанностей на обученных и компетентных операторов рассматриваемой и обеспечивающих систем;

- действия по обеспечению функционирования и управлению процессом, включая:

- применение системы по ее целевому назначению в заданных условиях эксплуатации согласно требованиям заинтересованных сторон,

- применение материалов и иных ресурсов, необходимых для производства продукции и/или оказания услуг системой, для управления системой и поддержки процесса функционирования системы,

- контроль функционирования системы, включая поддержку стратегии эксплуатации системы, сравнительное сопоставление затрат и ущербов с целями и ограничениями в применении системы,