Настоящий стандарт устанавливает основные положения системного анализа процесса гарантии качества для системы применительно к вопросам защиты информации в системах различных областей приложения.
Для практического применения в приложениях А-Е приведены примеры перечней активов, подлежащих защите, и угроз безопасности информации, типовые методы, модели и методические указания по прогнозированию рисков, рекомендации по определению допустимых значений для показателей рисков и рекомендации по перечню методик системного анализа.
Примечание - Оценка ущербов выходит за рамки настоящего стандарта. Для разработки самостоятельной методики по оценке ущербов учитывают специфику систем - см., например ГОСТ Р 22.10.01, ГОСТ Р 54145. При этом должны учитываться соответствующие положения законодательства Российской Федерации.
Требования стандарта предназначены для использования организациями, участвующими в создании (модернизации, развитии), эксплуатации систем и реализующими процесс гарантии качества для системы, а также теми заинтересованными сторонами, которые уполномочены осуществлять контроль выполнения требований по защите информации в жизненном цикле систем - см. примеры систем в [1]-[24].