Действующий

ГОСТ Р 59349-2021 Системная инженерия. Защита информации в процессе системного анализа

     7 Требования к системному анализу

7.1 Общие положения

7.1.1 Настоящие требования применимы не только непосредственно к процессу системного анализа, но и к другим стандартизованным процессам в жизненном цикле систем согласно ГОСТ Р 57193, ГОСТ Р 59329, ГОСТ Р 59330, ГОСТ Р 59331, ГОСТ Р 59332, ГОСТ Р 59333, ГОСТ Р 59334, ГОСТ Р 59335, ГОСТ Р 59336, ГОСТ Р 59337, ГОСТ Р 59338, ГОСТ Р 59339, ГОСТ Р 59340, ГОСТ Р 59341, ГОСТ Р 59342, ГОСТ Р 59343, ГОСТ Р 59344, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59348, ГОСТ Р 59350, ГОСТ Р 59351, ГОСТ Р 59352, ГОСТ Р 59353, ГОСТ Р 59354, ГОСТ Р 59355, ГОСТ Р 59356, ГОСТ Р 59357. Требования ориентированы на обеспечение защиты информации сточки зрения решения задач системной инженерии.

Настоящие требования к системному анализу процессов в жизненном цикле систем включают в себя:

- требования к прогнозированию рисков и обоснованию допустимых рисков;

- требования к выявлению явных и скрытых угроз;

- требования к поддержке принятия решений в жизненном цикле создаваемой (модернизируемой) системы или системы, выводимой из эксплуатации.

Примечание - В общем случае выполнение этих требований способствует достижению целей процесса системного анализа.

7.1.2 При обосновании и формулировании требований к системному анализу руководствуются положениями 7.2-7.5 с учетом специфики системы и рекомендаций ГОСТ Р ИСО 2859-1, ГОСТ Р ИСО 2859-3, ГОСТ 2.114, ГОСТ 15.016, ГОСТ 34.602, ГОСТ 33981, ГОСТ IEC 61508-3, ГОСТ Р ИСО 3534-1, ГОСТ Р ИСО 3534-2, ГОСТ Р ИСО 7870-1, ГОСТ Р ИСО 7870-2, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО/МЭК 15026, ГОСТ Р ИСО 17359, ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р ИСО 31000, ГОСТ Р 50779.41, ГОСТ Р 50779.70, ГОСТР 51901.1, ГОСТ Р 51901.7, ГОСТ Р 56939, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57272.1, ГОСТ Р 57839, ГОСТ Р 58045, ГОСТ Р 58412, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-6, ГОСТ Р МЭК 61508-7.

7.2 Требования к прогнозированию рисков

7.2.1 Для прогнозирования рисков в рассматриваемом процессе должны быть:

- определены перечни выходных результатов и составных действий процесса, а для каждого из них - используемые активы (см. приложение А) и потенциально существенные угрозы безопасности информации (см. приложение Б);

- определены количественные показатели прогнозируемых рисков, выбраны, адаптированы или разработаны модели и методики для прогнозирования рисков (см. приложения В, Г, Д, Е);

- реализованы сбор и обработка исходных данных, обеспечивающих применение моделей и методик для прогнозирования рисков;

- предусмотрен механизм использования результатов прогнозирования рисков.

7.2.2 Прогнозирование рисков используют для формального решения задач, связанных с ранним распознаванием и оценкой развития предпосылок к нарушению требований по защите информации, обоснованием эффективных предупреждающих мер по снижению рисков или их удержанием в допустимых пределах, выявлением явных и скрытых угроз, поддержкой принятия решений по выполнению процессов и обеспечению выполнения норм эффективности защиты информации. В зависимости от целей решаемых задач прогнозируемый риск связывают с заранее определенным периодом прогноза (например, на месяц, год, на несколько лет), с моделями угроз, ожидаемых для этого периода.

7.3 Требования к обоснованию допустимых рисков

7.3.1 Допустимые риски нарушения требований по защите информации в рассматриваемом процессе выступают в качестве количественных норм эффективности защиты информации.

Допустимые риски определяют при планировании и реализации процесса и задают во внутренних документах организации. Допустимые риски могут быть установлены в договорах, соглашениях и ТЗ в качественной и/или количественной форме с учетом специфики системы.

7.3.2 Количественное обоснование допустимых рисков осуществляют по прецедентному принципу или с использованием ориентации на риски, свойственные системе-эталону, которая выбирается в качестве аналога для рассматриваемой системы (см. приложение Д).

7.3.3 В результате моделирования различных произошедших событий формируют базу знаний, устанавливающую соответствие расчетных значений прогнозируемых рисков тем реальным событиям, которые состоялись и оказались свойственными этим ситуациям. Соответствие устанавливают по журналам регистрации нарушений требований по защите информации, регистрации случаев нарушения надежности реализации рассматриваемого процесса. Учитывают собираемую статистику, из которой выбирают прецеденты нарушений. Для задаваемого периода прогноза расчетные значения рисков, свойственные состоявшимся нарушениям, определяют как недопустимые, а меньшие по сравнению с недопустимыми определяют как допустимые (этим значениям рисков соответствует прецедентное отсутствие нарушений требований по защите информации). Для этого периода прогноза во множестве расчетных значений допустимых рисков выбирают максимальное значение. Поскольку это значение допустимого риска отвечает задаваемым условиям функционирования системы согласно принятой модели угроз безопасности информации и априори является приемлемым для заинтересованных сторон, его признают в качестве допустимого по факту прецедента. Это значение допустимого риска устанавливают в качестве нормы эффективности защиты информации по прецедентному принципу и используют для формального решения задач системного анализа.

Примечания