ГОСТ Р 59356-2021. Национальный стандарт Российской Федерации. Системная инженерия. Защита информации в процессе сопровождения системы

4 Основные положения системной инженерии по защите информации в процессе сопровождения системы

 

4.1 Общие положения

Организации используют процесс сопровождения системы для поддержки работоспособности, устранения неисправностей, обеспечения и/или повышения безопасности, качества и эффективности системы при ее эксплуатации. В процессе сопровождения системы осуществляют защиту информации, направленную на обеспечение конфиденциальности, целостности и доступности защищаемой информации, предотвращение несанкционированных и непреднамеренных воздействий на защищаемую информацию. Должна быть обеспечена надежная реализация процесса.

Для прогнозирования рисков нарушения надежности реализации процесса сопровождения системы и обоснования эффективных предупреждающих мер по снижению рисков или их удержанию в допустимых пределах используют системный анализ процесса с учетом требований по защите информации.

Определение выходных результатов процесса сопровождения системы и типовых действий по защите информации осуществляют по ГОСТ 2.114, ГОСТ 15.601, ГОСТ 34.201, ГОСТ 34.602, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО/МЭК 14764, ГОСТ Р ИСО/МЭК 20000-1, ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 51583, ГОСТ Р 51904, ГОСТ Р 56939, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57839, ГОСТ Р 58811. Количественную оценку рисков, свойственных рассматриваемому процессу, осуществляют по настоящему стандарту с использованием рекомендаций ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 16085, ГОСТ Р ИСО/МЭК 27005, ГОСТ Р ИСО 31000, ГОСТ Р 51901.1, ГОСТ Р 51901.5, ГОСТ Р 51901.7, ГОСТ Р 54124, ГОСТ Р 55234.3, ГОСТ Р 57272.1, ГОСТ Р 58494, ГОСТ Р 58771, ГОСТ Р 59334, ГОСТ Р 59339, ГОСТ Р 59346, ГОСТ Р 59349, ГОСТ Р 59355 с учетом специфики сопровождаемой системы (см., например, [21] - [26]).

4.2 Цели процесса и назначение мер защиты информации

4.2.1 Определение целей процесса сопровождения системы осуществляют с использованием ГОСТ 15.601, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО/МЭК 14764, ГОСТ Р ИСО/МЭК 20000-1, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 58811 с учетом специфики сопровождаемой системы.

В общем случае главной целью процесса сопровождения системы является поддержание функционирования системы в соответствии с ее назначением и предъявляемыми системными требованиями. В рамках процесса выполняют:

- мониторинг или периодический контроль текущего состояния системы и ее возможностей, обеспечивающих удовлетворение требований заинтересованных сторон;

- контроль выполнения предъявляемых к системе эксплуатационных требований;

- необходимые действия корректирующего ТО и адаптивного сопровождения системы (направленные на упреждение возникновения и ликвидацию последствий возможных сбоев, отказов и инцидентов, а также на совершенствование информационного, математического, методического, метрологического, организационного, программного, технического и иных видов обеспечения системы), иные различные виды ТО (в т.ч. ТО и ремонт по состоянию, ТО, обеспечивающее надежность, ТО с периодическим и непрерывным контролем, ТО в особых условиях эксплуатации);

- сопровождение программных средств и систем;

- регистрацию и анализ сбоев, отказов и инцидентов, возникающих в ходе эксплуатации системы;

- подтверждение работоспособного состояния системы по результатам устранения последствий сбоев, отказов и инцидентов.

4.2.2 Меры защиты информации в процессе сопровождения системы предназначены для обеспечения конфиденциальности, целостности и доступности защищаемой информации, а также для предотвращения утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Определение мер защиты информации осуществляют по ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 50922, ГОСТ Р 51583, ГОСТ Р 56939, ГОСТ Р 58412, ГОСТ Р МЭК 61508-7, [20] - [24] с учетом специфики сопровождаемой системы.

4.3 Место процесса сопровождения в жизненном цикле системы

Процесс сопровождения системы выполняется на стадии эксплуатации системы. Процесс опирается на результаты предшествующих стадий создания, модернизации или развития системы. Перечень конкретных работ при сопровождении системы формируют с учетом требований ГОСТ 2.114, ГОСТ 15.016, ГОСТ 34.601, ГОСТ 34.602, ГОСТ Р 15.301, ГОСТ Р ИСО 9001, ГОСТ Р ИСО/МЭК 12207, ГОСТ Р 51583, ГОСТ Р 57102, ГОСТ Р 57193, ГОСТ Р 57839, ГОСТ Р 58811. Процесс сопровождения системы может входить в состав работ, выполняемых в рамках других процессов жизненного цикла системы и, при необходимости, включать в себя другие процессы.

4.4 Основные принципы системного анализа

При проведении системного анализа процесса сопровождения системы руководствуются основными принципами, определенными в ГОСТ Р 59349 с учетом дифференциации требований по защите информации в зависимости от категории значимости системы и важности обрабатываемой в ней информации (см. ГОСТ Р 59346, [20] - [24]). Все применяемые принципы подчинены принципу целенаправленности осуществляемых действий в планируемых и реализуемых процессах на протяжении всего жизненного цикла системы.

4.5 Основные усилия по обеспечению защиты информации

Основные усилия системной инженерии по обеспечению защиты информации в процессе сопровождения системы сосредотачивают:

- на определении выходных результатов и действий, предназначенных для достижения целей процесса и защиты активов, информация которых или о которых необходима для достижения этих целей;

- выявлении потенциальных угроз и определении возможных сценариев возникновения и развития угроз для активов, подлежащих защите, выходных результатов и выполняемых действий процесса;

- определении и прогнозировании рисков, подлежащих системному анализу;

- проведении системного анализа для обоснования мер, направленных на противодействие угрозам и достижение целей процесса.