Настоящий стандарт устанавливает основные положения системного анализа для процесса сопровождения системы применительно к вопросам защиты информации в системах различных областей приложения.
Для практического применения в приложениях А-Е приведены примеры перечней активов, подлежащих защите, и угроз, типовые модели и методы прогнозирования рисков, методические указания по прогнозированию рисков и допустимые значения для показателей рисков, примерный перечень методик системного анализа.
Примечание - Оценка ущербов выходит за рамки настоящего стандарта. Для разработки самостоятельной методики по оценке ущербов учитывают специфику систем (см., например, ГОСТ Р 22.10.01, ГОСТ Р 54145). При этом должны учитываться соответствующие положения законодательства Российской Федерации.
Требования стандарта предназначены для использования организациями, участвующими в эксплуатации систем и реализующими процесс их сопровождения, а также уполномоченными заинтересованными сторонами, осуществляющими контроль выполнения требований по защите информации в жизненном цикле систем (см. примеры систем в [1]-[26]).