Точный
Статус документа
Статус документа

ГОСТ Р 59349-2021 Системная инженерия. Защита информации в процессе системного анализа

     6 Специальные требования к количественным показателям

6.1 Общие положения

6.1.1 В отношении защищаемых активов, действий и выходных результатов процесса системного анализа, к которым предъявлены определенные требования по защите информации, выполняют оценку эффективности защиты информации на основе прогнозирования рисков в условиях возможных угроз.

6.1.2 В общем случае основными выходными результатами процесса системного анализа являются:

- направления и проблематика необходимых исследований системы;

- принятые критерии, согласованные условия, предположения и принятые допущения при проведении системного анализа, логические правила интерпретации результатов системного анализа;

- требования к обеспечивающим системам или системным элементам, необходимые для осуществления действий системного анализа;

- доступ к обеспечивающим системам или услугам, необходимым для системного анализа;

- модели, методы и методики системного анализа, обоснования их адекватности;

- задокументированные результаты системного анализа, представляемые для принятия решений заинтересованным сторонам.

6.1.3 Для получения выходных результатов процесса системного анализа в общем случае выполняют следующие основные действия:

- подготовку к проведению системного анализа, включая:

- определение проблем и/или вопросов, требующих системного анализа, и сторон, заинтересованных в проведении системного анализа;

- формулирование целей системного анализа, установление их связи с удовлетворением аналитических потребностей заинтересованных сторон в поддержке принятия решений в жизненном цикле системы;

- определение области исследований, обоснование условий, предположений и допущений для обеспечения адекватности проводимого системного анализа;

- определение и согласование стратегии системного анализа, в  т.ч. установление критериев и логических правил интерпретации получаемых результатов;

- выбор из существующих или разработку специальных методов, моделей и методик, применимых для системного анализа;

- определение и планирование действий, в  т.ч. относительно необходимых обеспечивающих систем или услуг, которые предназначены для поддержки системного анализа, получение или приобретение доступа к ним;

- сбор исходных данных, их систематизацию и подготовку в виде, пригодном для применения методов, моделей и методик системного анализа;

- непосредственно проведение системного анализа, включая:

- применение выбранных или специально разработанных методов, моделей и методик системного анализа для разрешения выявленных проблем и вопросов, в  т.ч. относительно понимания функциональных возможностей системы, результативности, контроля состояния эксплуатационной среды, прогнозирования и определения допустимых рисков, выявления явных и скрытых угроз, оценки и обоснования стратегий, технического облика и сбалансированных системных решений и планов, сравнения альтернатив, выработки критериев и осуществления прогноза безопасности, качества и эффективности системы для задаваемых условий, выработки требований к характеристикам и показателям функционирования системы, оценки свойств и критичности влияния различных параметров на поведение системы, рациональной настройки параметров, разрешения противоречий и поддержания устойчивости функционирования системы;

- анализ получаемых результатов системного анализа на предмет их непротиворечивости и согласованности;

- логическую интерпретацию получаемых результатов и их рассмотрение с точки зрения решения задач системной инженерии и поддержки принятия решений в жизненном цикле системы;

- формулирование выводов, заключений и рекомендаций по результатам системного анализа;

- документирование результатов системного анализа, доведение их до всех заинтересованных сторон для принятия решений;

- управление системным анализом, включая:

- поддержку двунаправленной прослеживаемости между результатами системного анализа и анализируемыми сущностями системы, что должно обеспечивать прослеживание логики в обоснованиях и/или принимаемых решениях;

- сопровождение результатов системного анализа в жизненном цикле системы для рационального решения актуальных задач системной инженерии.

6.1.4 Текущие данные, накапливаемая и собираемая статистика, связанные с нарушениями требований по защите информации и нарушениями надежности реализации процесса, являются основой для принятия решений по факту наступления событий и источником исходных данных для прогнозирования рисков на задаваемый период прогноза. Риски оценивают вероятностными показателями с учетом возможных ущербов (см. приложения В, Г).