Действующий

ГОСТ Р 59349-2021 Системная инженерия. Защита информации в процессе системного анализа

     4 Основные положения системной инженерии по защите информации в процессе системного анализа

4.1 Общие положения

Организации используют процесс системного анализа для прогнозирования рисков и обоснования допустимых рисков, выявления явных и скрытых угроз системе и поддержки принятия решений в жизненном цикле при создании (модернизации, развитии) и эксплуатации системы, а также при выведении системы из эксплуатации.

В процессе системного анализа осуществляют защиту информации, направленную на обеспечение конфиденциальности, целостности и доступности защищаемой информации, предотвращение несанкционированных и непреднамеренных воздействий на защищаемую информацию. Должна быть обеспечена надежная реализация процесса.

Определение выходных результатов процесса системного анализа и типовых действий по защите информации осуществляют по ГОСТ 2.114, ГОСТ 15.101, ГОСТ 34.201, ГОСТ 34.602, ГОСТР ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО 15704, ГОСТ Р 51904, ГОСТ Р 57100, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57839.

Количественную оценку рисков, свойственных процессу, осуществляют по настоящему стандарту с использованием рекомендаций ГОСТ Р ИСО 2859-1, ГОСТ Р ИСО 2859-3, ГОСТ Р ИСО 7870-1, ГОСТ Р ИСО 7870-2, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 16085, ГОСТ Р ИСО/МЭК 27005, ГОСТ Р ИСО 31000, ГОСТ Р 50779.41, ГОСТ Р 50779.70, ГОСТ Р 51583, ГОСТ Р 51901.1, ГОСТ Р 51901.5, ГОСТ Р 51901.7, ГОСТ Р 54124, ГОСТ Р 57102, ГОСТ Р 57272.1, ГОСТ Р 58771, ГОСТ Р 59329, ГОСТ Р 59330, ГОСТ Р 59331, ГОСТ Р 59332, ГОСТ Р 59333, ГОСТ Р 59334, ГОСТ Р 59335, ГОСТ Р 59336, ГОСТ Р 59337, ГОСТ Р 59338, ГОСТ Р 59339, ГОСТ Р 59340, ГОСТ Р 59341, ГОСТ Р 59342, ГОСТ Р 59343, ГОСТ Р 59344, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59348, ГОСТ Р 59350, ГОСТ Р 59351, ГОСТ Р 59352, ГОСТ Р 59353, ГОСТ Р 59354, ГОСТ Р 59355, ГОСТ 59356, ГОСТ Р 59357.

4.2 Стадии и этапы жизненного цикла системы

Процесс системного анализа может быть использован на любой стадии жизненного цикла системы.

Стадии и этапы работ по созданию (модернизации, развитию) и эксплуатации систем устанавливают в договорах, соглашениях и ТЗ с учетом специфики и условий функционирования системы. Перечень этапов и конкретных работ в жизненном цикле системы формируют с учетом требований ГОСТ 2.114, ГОСТ 15.016, ГОСТ 34.601, ГОСТ 34.602, ГОСТ Р 15.301, ГОСТ Р 27.403, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО 31000, ГОСТ Р 51583, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 53622, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57272.1, ГОСТ Р 57839, ГОСТ Р 58045. Процесс системного анализа может входить в состав работ, выполняемых в рамках других процессов жизненного цикла системы, и при необходимости включать в себя другие процессы.

4.3 Цели процесса и назначение мер защиты информации

4.3.1 Определение целей процесса системного анализа осуществляют по ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО/МЭК 16085, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 62264-1, ГОСТ Р МЭК 62508 с учетом специфики системы.

В общем случае главной целью процесса системного анализа является удовлетворение аналитических потребностей заинтересованных сторон в поддержке принятия актуальных решений в течение жизненного цикла системы относительно понимания ее функциональных возможностей, результативности, контроля состояния эксплуатационной среды, прогнозирования и определения допустимых рисков, выявления явных и скрытых угроз, оценки и обоснования стратегий, технического облика и сбалансированных системных решений и планов, сравнения альтернатив, выработки критериев и осуществления прогноза безопасности, качества и эффективности системы для задаваемых условий, выработки требований к характеристикам и показателям функционирования системы, оценки свойств и критичности влияния различных параметров на поведение системы, рациональной настройки параметров, разрешения противоречий и поддержания устойчивости функционирования системы.

4.3.2 Меры защиты информации в процессе системного анализа предназначены для обеспечения конфиденциальности, целостности и доступности защищаемой информации, предотвращения утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Определение мер защиты информации осуществляют по ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 51583, ГОСТ Р 56939, ГОСТ Р 58412, ГОСТ Р МЭК 61508-7, [21] - [24] с учетом специфики системы и реализуемой стадии ее жизненного цикла.

4.4 Основные принципы

При планировании и реализации процесса системного анализа руководствуются следующими основными принципами:

- принципом системности, предполагающим наличие целеполагания при реализации процессов, необходимость декомпозиции системы, выполняемых процессов и составных действий, которые могут подвергаться разнородным угрозам безопасности информации;

- принципом целостности, предполагающим связанность выполняемых действий для достижения целей системы и реализуемых для этого процессов;

- принципом системного контроля выполнения требований по защите информации применительно к активам, информация которых или о которых подлежит защите;

- принципом унификации и стандартизации системных решений при планировании и реализации процесса;

- принципом ориентации на обеспечение приемлемого качества, безопасности и эффективности системы, а также эффективности защиты информации в условиях создания (модернизации, развитии), эксплуатации системы и выведения ее из эксплуатации;

- принципом эффективного управления рисками;

- принципом дифференциации требований по защите информации в зависимости от категории значимости системы, проектов и значимости оперируемой информации (см. ГОСТ Р 59346);

- прецедентным принципом для обоснования допустимых рисков в случае его предпочтительности в сравнении с ориентацией на систему-эталон (см. 7.3.3 и приложение Д).

Все основные принципы включают в себя принцип целенаправленности осуществляемых действий в планируемых и реализуемых процессах на протяжении всего жизненного цикла системы.

4.5 Основные усилия для обеспечения защиты информации

Основные усилия системной инженерии для обеспечения защиты информации в процессе системного анализа сосредотачивают:

- на определении выходных результатов и действий, предназначенных для достижения целей процесса и защиты активов, информация которых или о которых необходима для достижения этих целей;

- выявлении потенциально существенных угроз и определении возможных сценариев возникновения и развития угроз для активов, подлежащих защите, выходных результатов и выполняемых действий процесса;