ГОСТ Р 59343-2021 Системная инженерия. Защита информации в процессе гарантии качества для системы

     6 Специальные требования к количественным показателям

6.1 Общие положения

6.1.1 В приложении к защищаемым активам, действиям и выходным результатам процесса гарантии качества для системы, к которым предъявлены определенные требования по защите информации, выполняют оценку эффективности защиты информации на основе прогнозирования рисков в условиях возможных угроз.

6.1.2 В общем случае основными выходными результатами процесса гарантии качества для системы являются:

- процедуры для обеспечения гарантий качества;

- критерии и методы оценки гарантий качества;

- результаты оценки продукции, услуг и процессов, совместимые с политикой, процедурами и требованиями к качеству системы и предоставляемые заинтересованным сторонам.

6.1.3 Для получения выходных результатов процесса гарантии качества для системы в общем случае выполняют следующие основные действия:

- подготовку к выполнению процесса, включая:

- определение стратегии в обеспечении гарантии качества для системы, в том числе распределение ролей, ответственности, подотчетности и полномочий, обеспечение действий применительно к каждому из процессов жизненного цикла, к привлекаемым поставщикам продукции и/или услуг, к процессам оценки и контроля, измерений, верификации, аттестации, к проведению инспекций и испытаний, определение количественных критериев оценки и принятия качества самой системы, а также поставляемых и/или производимых продукции и/или услуг для системы, в рамках системы и в интересах заинтересованных сторон вне системы,

- обеспечение независимости в оценках качества;

- выполнение количественных оценок качества, включая:

- оценку качества самой системы, поставляемых и/или производимых продукции и/или услуг (для системы, в рамках системы и в интересах заинтересованных сторон вне системы) для определения соответствия установленным критериям, условиям контрактов, стандартов и инструкций, в том числе путем реализации процессов верификации и аттестации,

- оценку процессов соглашения, организационного обеспечения проекта, процессов технического управления и технических процессов,

- оценку инструментариев и эксплуатационной среды;

- документирование для обеспечения гарантии качества, включая:

- разработку отчетов, связанных с действиями по обеспечению гарантии качества,

- обеспечение сопровождения, сохранности и санкционированного распространения отчетности,

- определение инцидентов и проблем, связанных с оценками качества системы, продукции, услуг и задействованных процессов;

- реагирование на инциденты и проблемы, включая:

- регистрацию, анализ и классификацию инцидентов и проблем,

- принятие соответствующих мер реагирования по инцидентам и проблемам,

- выявление и анализ тенденций в инцидентах и проблемах,

- информирование заинтересованных сторон о состоянии, прогнозах и реагировании на инциденты и проблемы,

- отслеживание инцидентов и проблем до их полного разрешения.

6.1.4 Текущие данные, накапливаемая и собираемая статистика, связанные с нарушениями требований по защите информации и нарушениями надежности реализации процесса, являются основой для принятия решений по факту наступления событий и источником исходных данных для прогнозирования рисков на задаваемый период прогноза. Риски оценивают вероятностными показателями с учетом возможных ущербов (см. приложения В, Г).

6.2 Требования к составу показателей

Выбираемые показатели должны позволять обеспечивать проведение оценки эффективности защиты информации, прогнозирование и управление рисками для системы с учетом требований по защите информации.

Эффективность защиты информации оценивают с помощью количественных показателей, которые позволяют сформировать представление о текущих и потенциальных проблемах или о возможных причинах недопустимого снижения эффективности на ранних этапах проявления явных и скрытых угроз безопасности информации, когда можно принять предупреждающие корректирующие действия. Дополнительно могут быть использованы вспомогательные статистические показатели, характеризующие события, которые уже произошли, и их влияние на эффективность защиты информации при реализации различных процессов в жизненном цикле системы. Вспомогательные показатели позволяют исследовать произошедшие события и их последствия и сравнивать эффективность применяемых и/или возможных мер в действующей системе защиты информации.