2.01M
Категория: ИнформатикаИнформатика

Системная инженерия. Защита информации в процессе сопровождения системы

1.

ГОСТ Р 59356-2021
Системная инженерия. Защита информации в процессе
сопровождения системы.
Куликова Ю. Н., группа 4381

2.

Введение
Настоящий стандарт расширяет комплекс национальных
стандартов системной инженерии по защите информации при
планировании и реализации процессов в жизненном цикле
различных систем.
Стандарт устанавливает основные требования системной
инженерии по защите информации в процессе сопровождения
системы и специальные требования к используемым
количественным показателям.
Для планируемого и реализуемого процесса сопровождения
системы применение настоящего стандарта обеспечивает
проведение системного анализа, основанного на
прогнозировании рисков.

3.

Область применения
Настоящий стандарт устанавливает основные положения системного
анализа для процесса сопровождения системы применительно к
вопросам защиты информации в системах различных областей
приложения.
Требования стандарта предназначены для использования
организациями, участвующими в эксплуатации систем и
реализующими процесс их сопровождения, а также уполномоченными
заинтересованными сторонами, осуществляющими контроль
выполнения требований по защите информации в жизненном цикле
систем.

4.

Основные положения системной
инженерии по защите информации в
процессе сопровождения системы
Общие положения
Организации используют процесс сопровождения системы для
поддержки работоспособности, устранения неисправностей,
обеспечения и/или повышения безопасности, качества и
эффективности системы при ее эксплуатации. В процессе
сопровождения системы осуществляют защиту информации,
направленную на обеспечение конфиденциальности, целостности и
доступности защищаемой информации. Должна быть обеспечена
надежная реализация процесса.
Для прогнозирования рисков нарушения надежности реализации
процесса сопровождения системы и обоснования эффективных
предупреждающих мер по снижению рисков или их удержанию в
допустимых пределах используют системный анализ процесса с
учетом требований по защите информации.

5.

Основные положения системной
инженерии по защите информации в
процессе сопровождения системы
Цели процесса и назначение мер защиты информации
Главной целью процесса сопровождения системы является
поддержание функционирования системы в соответствии с ее
назначением и предъявляемыми системными требованиями.
Меры защиты информации в процессе сопровождения системы
предназначены для обеспечения конфиденциальности, целостности и
доступности защищаемой информации, а также для предотвращения
утечки защищаемой информации, несанкционированных и
непреднамеренных воз действий на защищаемую информацию.

6.

Основные положения системной
инженерии по защите информации в
процессе сопровождения системы
Место процесса сопровождения в жизненном цикле
системы
Процесс сопровождения системы выполняется на стадии эксплуатации
системы. Процесс опирается на результаты предшествующих стадий
создания, модернизации или развития системы. Перечень конкретных
работ при сопровождении системы формируют с учетом требований
ГОСТ 2.114, ГОСТ 15.016, ГОСТ 34.601, ГОСТ 34.602. ГОСТ Р 15.301,
ГОСТ Р ИСО 9001. ГОСТ Р ИСО/МЭК 12207, ГОСТ Р 51583. ГОСТ Р
57102. ГОСТ Р 57193. ГОСТ Р 57839. ГОСТ Р 58811. Процесс
сопровождения системы может входить в состав работ, выполняемых в
рамках других процессов жизненного цикла системы и, при
необходимости, включать в себя другие процессы.

7.

Основные положения системной
инженерии по защите информации в
процессе сопровождения системы
Основные принципы системного анализа
При проведении системного анализа процесса сопровождения системы
руководствуются основными принципами, определенными в ГОСТ Р
59349 с учетом дифференциации требований по защите информации в
зависимости от категории значимости системы и важности
обрабатываемой в ней информации. Все применяемые принципы
подчинены принципу целенаправленности осуществляемых действий
в планируемых и реализуемых процессах на протяжении всего
жизненного цикла системы.

8.

Основные положения системной
инженерии по защите информации в
процессе сопровождения системы
Основные усилия по обеспечению защиты
информации
Основные усилия системной инженерии по обеспечению защиты
информации в процессе сопровождения системы сосредоточивают:
• на определении выходных результатов и действий,
предназначенных для достижения целей процесса и защиты активов,
информация которых или о которых необходима для достижения
этих целей;
• выявлении потенциальных угроз и определении возможных
сценариев возникновения и развития угроз для активов,
подлежащих защите, выходных результатов и выполняемых
действий процесса;
• определении и прогнозировании рисков, подлежащих системному
анализу;
• проведении системного анализа для обоснования мер, направленных

9.

Общие требования системной
инженерии по защите информации
в процессе сопровождения системы
Общие требования устанавливаются в ТЗ на разработку, модернизацию или развитие системы и детализируются
в документации и спецификациях. Формируются с учетом нормативных документов РФ, уязвимостей и угроз.
Цели требований обеспечивают управление техническими и организационными усилиями по защите
информации. Включают требования к результатам, действиям и защищаемым активам, определению угроз и
прогнозированию рисков.
Состав результатов и действий определяются по ГОСТ 2.114, 15.016, 15.601, 34.201 и другим. Примечание:
учитывать автоматизированную декласификацию, конфиденциальность данных и тестовых выборок.
Меры защиты охватывают активы, необходимые для получения результатов и выполнения действий.
Определение активов и угроз осуществляется по ГОСТ 15.601, 34.201, 34.602 и другим.
Эффективность защиты анализируется по показателям рисков, учитывая специфику системы и возможные
угрозы. Используются модели и методы из приложений В, Г, Д и рекомендации ГОСТов.
Прогнозирование рисков осуществляется с применением системного анализа с качественными и
количественными показателями рисков.

10.

Специальные требования к
количественным показателям
Общие положения
Для защищаемых активов, действий и результатов процесса сопровождения системы выполняется оценка
эффективности защиты информации на основе прогнозирования рисков.
Основные результаты процесса сопровождения: стратегия с методами управления, планы упреждающих
действий, меры противодействия контрафактным элементам, требования к кадрам и показатели для оценки
безопасности, качества и эффективности.
Основные действия: подготовительные мероприятия, определение стратегии, подготовка планов, определение
ограничений системы, получение ресурсов, регистрация и анализ инцидентов, выполнение регламентных
процедур, упреждающее сопровождение, идентификация отказов, обучение персонала, логистическая поддержка,
анализ затрат, обеспечение доступности ресурсов и транспортировка элементов.
Собираемые данные и статистика нарушений используются для принятия решений и прогнозирования рисков,
которые оцениваются вероятностными показателями с учетом возможных ущербов.

11.

Специальные требования к
количественным показателям
Требования к составу показателей
Показатели должны обеспечивать оценку эффективности защиты
информации и прогнозирование рисков в процессе сопровождения
системы с учетом требований по защите информации.
Эффективность защиты информации оценивают с помощью
количественных показателей, которые выявляют текущие и
потенциальные проблемы, а также причины снижения эффективности
на ранних стадиях угроз. Вспомогательные статистические показатели
помогают исследовать произошедшие события и их влияние,
сравнивать эффективность применяемых мер в системе защиты
информации.

12.

Специальные требования к
количественным показателям
Требования к количественным показателям
прогнозируемых рисков
Для прогнозирования рисков в процессе сопровождения системы
используют следующие количественные показатели:
• риск нарушения надежности процесса без учета требований по
защите информации – характеризуется вероятностью нарушения и
возможным ущербом;
• риск нарушения требований по защите информации в процессе –
характеризуется вероятностью нарушения и возможным ущербом, с
учетом защищаемых активов, действий и результатов;
• интегральный риск с учетом требований по защите информации –
включает вероятность нарушения надежности процесса и
требований по защите информации, сопоставленную с возможным
ущербом.

13.

Специальные требования к
количественным показателям
Требования к источникам данных
Источниками исходных данных для расчетов количественных
показателей являются:
• временные данные функционирования системы защиты
информации;
• текущие и статистические данные о состоянии параметров системы
защиты информации;
• наличие и готовность персонала системы защиты информации,
данные об ошибках персонала в самой системе или в системаханалогах;
• данные модели угроз безопасности информации и метаданные,
позволяющие сформировать перечень потенциальных угроз и
возможные сценарии возникновения и развития угроз для каждого
из защищаемых активов.

14.

Требования к системному анализу
Требования к системному анализу процесса сопровождения системы
включают:
• требования к прогнозированию рисков и обоснованию допустимых
рисков:
• требования к выявлению явных и скрытых угроз;
• требования к поддержке принятия решений в процессе
сопровождения системы.
Общие применимые рекомендации для проведения системного
анализа изложены в ГОСТ Р 59349.

15.

Заключение
На основе введения данного стандарта можно сделать вывод о
его значимости для национальных стандартов системной
инженерии по защите информации. Стандарт определяет
ключевые требования к процессам сопровождения системы,
подчеркивая их важность в жизненном цикле различных
систем. Применение стандарта обеспечивает системный
анализ, основанный на прогнозировании рисков, что
способствует повышению надежности и безопасности
функционирования системы на всех этапах её жизненного
цикла.
English     Русский Правила