Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 59346-2021 "Системная инженерия. Защита информации в процессе определения системных требований" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 30 апреля 2021 г. N 332-ст)
- Приложение В (справочное). Примерный состав моделей и методик для системного анализа в процессе определения системных требований, связанных с защитой информации
Приложение В (справочное). Примерный состав моделей и методик для системного анализа в процессе определения системных требований, связанных с защитой информации
Приложение В
(справочное)
Примерный состав моделей и методик для системного анализа в процессе определения системных требований, связанных с защитой информации
В.1 Типовые модели и методики охватывают следующие аспекты системного анализа в процессе определения системных требований:
- оценку рисков нарушения надежности реализации процесса определения системных требований;
- оценку рисков реализации угроз безопасности информации применительно к этапам жизненного цикла системы и интегрального риска нарушения надежности реализации процесса определения системных требований с учетом требований по ЗИ;
- выявление уязвимостей общесистемного и прикладного программного обеспечения функционирования системы (для автоматизированных систем);
- обоснование допустимых рисков нарушения требований по ЗИ и реализации угроз на отдельных стадиях и в процессе всего жизненного цикла системы;
- выявление существенных угроз безопасности информации в жизненном цикле системы;
- поддержку принятия решений по обоснованию эффективных мер ЗИ.
В сводном виде примерный состав моделей и методик для системного анализа в процессе определения системных требований, связанных с защитой информации, приведен на рисунке В.1.
В.2 Оценка рисков нарушения надежности реализации процесса определения системных требований охватывает риски нарушения функционирования программного и аппаратного обеспечения системы и риски реализации угроз безопасности информации на отдельных стадиях и в течение всего жизненного цикла системы.
Модель для оценки показателей рисков нарушения надежности реализации процесса определения системных требований описана в Д.1.
Примечание - При выявлении уязвимостей системного и прикладного программного обеспечения системы проводится анализ сведений, содержащихся в Банке данных угроз безопасности информации, сопровождаемого государственным регулятором.
В.3 Риски реализации угроз безопасности информации в системе возникают в результате:
- преднамеренных действий, направленных на нарушение функционирования системы или на выявление информации о системе, прикладных программах и данных, реализуемых внешними источниками угрозы (например, физическими лицами или программными средствами, функционирующими или действующими из-за пределов контролируемой территории);
- действий или функционирования внутренних источников угроз (например, преднамеренных и непреднамеренных действий сотрудников организации в пределах контролируемой территории, направленных на нарушение установленных требований по безопасности функционирования системы и обрабатываемой в ней информации);
- активизации установленных и функционирующих в системе программных, программно-аппаратных закладок, внедренных в нее вредоносных программ, инициация которых приводит к нарушению функционирования системы или к несанкционированным действиям относительно защищаемой информации.
Риски реализации угроз оценивают с использованием количественных показателей, методов и моделей в соответствии с методическими указаниями, изложенными в приложениях Г, Д, Ж. В системной инженерии результаты количественной оценки рисков используют в процессе управления рисками и при решении задач системного анализа (см. ГОСТ Р 59339, ГОСТ Р 59349).
В.4 Обоснование допустимых рисков реализации угроз безопасности информации проводят отдельно для угроз, направленных на нарушение функционирования системы, и угроз утечки информации, не подлежащей распространению по требованиям нормативных правовых актов федеральных органов исполнительной власти - государственных регуляторов в области ЗИ, а также по требованиям заказчика, разработчика и/или поставщика системы.
Примечание - Допустимые риски реализации угроз безопасности информации могут определять, например, на основе прецедентного принципа, на основе вводимой шкалы экспертного перевода качественных оценок допустимых возможностей реализации угроз в количественные значения допустимого риска такой реализации (см. приложение Д), с использованием методов расчета, изложенных в приложении Е и рекомендаций ГОСТ Р 59339, ГОСТ Р 59349.
В.5 Для выявления существенных угроз безопасности информации на стадиях и в процессе всего жизненного цикла системы используют результаты оценки рисков в сравнении с допустимыми значениями (см. приложение Ж).
В.6 Поддержка принятия решений по обоснованию эффективных мер ЗИ, направленных на достижение целей процесса и противодействие угрозам, основана на количественных оценках степени снижения рисков в условиях применения предлагаемых мер и средств ЗИ. Оценка снижения рисков проводится в соответствии с комплексом аналитических или имитационных моделей, характеристика которых приведена в приложении Д.
Рисунок В.1 - Примерный состав моделей и методик для системного анализа в процессе определения системных требований, связанных с защитой информации