Приложение В (справочное). Типовые модели и методы прогнозирования рисков. Национальный стандарт РФ ГОСТ Р 59354-2021 "Системная инженерия. Защита информации в процессе аттестации системы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 30.04.2021 N 335-ст)

Приложение В
(справочное)

Типовые модели и методы прогнозирования рисков

В.1 Общие положения

В.1.1 Для прогнозирования рисков в процессе аттестации системы могут применяться любые возможные методы, обеспечивающие приемлемое достижение поставленных целей. Применение типовых методов и моделей настоящего стандарта обеспечивает оценку следующих показателей:

- риска нарушения надежности реализации процесса аттестации системы без учета требований по защите информации (см. В.2);

- риска нарушения требований по защите информации в процессе аттестации системы (см. В.3);

- интегрального риска нарушения реализации процесса аттестации системы с учетом требований по защите информации (см. В.4).

В.1.2 Риск нарушения надежности реализации процесса аттестации системы без учета требований по защите информации характеризуют:

- риском невыполнения необходимых действий процесса, определяемым вероятностью невыполнения необходимых действий процесса;

- риском нарушения готовности системы к выполнению требований заинтересованных сторон, определяемым вероятностью нарушения готовности системы к выполнению требований заинтересованных сторон системы.

Риск нарушения требований по защите информации в процессе аттестации системы определяют соответствующей вероятностью нарушения требований по защите информации.

Вероятностные оценки обеспечивают уровень адекватности, достаточный для решения задач системного анализа, при условии многократной повторяемости анализируемых событий или в предположении такой повторяемости.

В.1.3 Интегральный риск нарушения реализации процесса аттестации системы с учетом требований по защите информации характеризуют сочетанием риска нарушения надежности реализации процесса аттестации системы без учета требований по защите информации и риска нарушения требований по защите информации в этом процессе.

В.1.4 При оценке рисков расчетным вероятностным показателям сопоставляют возможный ущерб, оцениваемый тяжестью последствий для системы и заинтересованных сторон в случае реализации угроз.

В.1.5 Для моделируемой системы нарушение реализации процесса аттестации системы с учетом требований по защите информации характеризуется переходом системы в такое элементарное состояние, при котором имеет место или оказывается возможным ущерб по следующим причинам: либо из-за невыполнения необходимых действий процесса, либо из-за нарушения готовности системы к выполнению требований заинтересованных сторон, либо из-за нарушения требований по защите информации, либо из-за комбинации перечисленных причин.

В.1.6 В общем случае, исходя из целей системного анализа, риски оценивают на разных исходных данных. При использовании одних и тех же моделей для расчетов это может приводить к различным оценкам и интерпретациям рисков. Различия связаны с неодинаковой тяжестью возможного ущерба для заинтересованных сторон (из-за невыполнения необходимых действий процесса, нарушения готовности системы к выполнению требований заинтересованных сторон, нарушений требований по защите информации), недоступностью или неполнотой статистических данных, используемых каждой из этих сторон в качестве исходных данных при системном анализе.

В.1.7 Выполнение или невыполнение действий и требований при моделировании отслеживается с использованием индикаторной функции Ind (), которая позволяет учесть критичность последствий, связанных с невыполнением заданных условий согласно собираемой статистике:

.

(В.1)

Условие , используемое в индикаторной функции, формируют путем анализа выполнения конкретных условий, существенных для процесса аттестации системы.

В.1.8 При формировании исходных данных для моделирования и проведении разностороннего системного анализа используют статистические методы контроля по ГОСТ Р ИСО 7870-1, ГОСТ Р ИСО 7870-2, ГОСТ Р 50779.41, ГОСТ Р 50779.70, методы оценки рисков из настоящего приложения и/или по ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р 54124, ГОСТ Р 58494, ГОСТ Р 58771, ГОСТ Р МЭК 61069-1 - ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-5 - ГОСТ Р МЭК 61508-7, ГОСТ Р МЭК 62264-1.

В.2 Методы оценки рисков нарушения надежности реализации процесса аттестации системы без учета требований по защите информации

В.2.1 Общие положения

В настоящем подразделе приведены методы оценки частных и обобщенного рисков нарушения надежности реализации процесса аттестации системы без учета требований по защите информации.

Частные риски характеризуются сопоставляемыми возможными затратами, ущербами и вероятностями соответствующих событий:

- невыполнения необходимых действий процесса аттестации системы;

- нарушения готовности системы к выполнению требований заинтересованных сторон.

В.2.2 Оценка риска невыполнения необходимых действий процесса аттестации

В.2.2.1 В процессе аттестации системы должны быть выполнены необходимые действия. Невыполнение (в том числе незавершение выполнения) необходимых действий процесса - это угроза возможного ущерба. В общем случае требования к завершенности необходимых действий процесса формулируют на уровне стратегии, процедур и методик аттестации системы, принятых условий и ограничений.

В.2.2.2 При оценке риска вычисляют вероятность невыполнения необходимых действий процесса аттестации системы. На основе применения статистических данных вероятность R _{действий}(Т _зад) невыполнения необходимых действий процесса за задаваемое время T _зад вычисляют по формуле

,

(В.2)

где G _{невыполн}(Т _зад) и G(Т _зад) - соответственно количество случаев невыполнения необходимых действий процесса и общее количество необходимых действий, подлежащих выполнению в процессе аттестации системы за заданное время Т _зад согласно статистическим данным.

Условие выполнения (включая завершение выполнения) необходимых действий определено как условие непревышения максимально допустимого уровня, задаваемого для вероятности невыполнения необходимых действий процесса аттестации системы R _{доп.действий}(Т _зад).

Это условие выражается в форме: R _{действий}(Т _зад)  R _{доп.действий}(Т _зад). В выражении для обобщенного риска показатель завершенности выполнения необходимых действий для процесса аттестации системы Z _{действий}(Т _зад) определен следующим образом:

.

(В.3)

В.2.3 Оценка риска нарушения готовности системы к выполнению требований заинтересованных сторон

В.2.3.1 В условиях существующих неопределенностей оценивают вероятностные показатели нарушения готовности системы к выполнению меняющихся со временем требований заинтересованных сторон по качеству, срокам и затратам. Это позволяет определить показатели удовлетворенности заинтересованных сторон для последующей оценки обобщенного риска нарушения надежности реализации процесса аттестации системы без учета требований по защите информации.

В.2.3.2 Для оценки вероятности нарушения готовности системы к выполнению требований заинтересованных сторон по качеству и срокам используют модель, учитывающую изменение во времени потребностей и требований заинтересованных сторон. При аттестации проверяется готовность системы к выполнению формальных требований, на реализацию которых были затрачены время и ресурсы, но которые естественным образом устаревают с течением времени и изменяются. В итоге функциональные возможности аттестуемой системы могут оказаться реально невостребованными из-за рассогласования изменившихся требований заинтересованных сторон и реализованных функциональных возможностей системы. Востребованными на момент аттестации признают такие функциональные возможности системы, использование которых способно в заданных условиях обеспечить удовлетворенность заинтересованных сторон. Более актуальные потребности и требования заинтересованных сторон призваны заменить устаревшие требования к системе, но на их реализацию требуются время и дополнительные ресурсы. В свою очередь согласованные измененные потребности и требования заинтересованных сторон сами также могут меняться со временем. Таким образом, на временной оси на момент аттестации возникают ситуации готовности системы к выполнению требований заинтересованных сторон по качеству и срокам и нарушения необходимой готовности.

При наличии необходимых ресурсов готовность системы к выполнению требований заинтересованных сторон по качеству и срокам обеспечивают на основе своевременного выявления значимых изменений в потребностях и требованиях заинтересованных сторон и использования эффективных технологий для их реализации в системе.

При экспоненциальной аппроксимации исходных характеристик и их независимости вероятность нарушения готовности системы к выполнению требований заинтересованных сторон по качеству и срокам R _кач вычисляют по формулам:

- для случая, когда начало реализации в системе необходимых функциональных изменений (для удовлетворения изменившихся потребностей и требований заинтересованных сторон) наступает сразу после появления значимых изменений в потребностях и требованиях заинтересованных сторон:

,

;

(В.4)

- для случая периодической реализации в системе накопившихся значимых изменений в потребностях и требованиях заинтересованных сторон:

,

(В.5)

где - ожидаемое среднее время между значимыми изменениями в реальных потребностях и требованиях заинтересованных сторон. Значимые изменения требуют их реализации в системе (т.е. - виртуальная частота значимых изменений в потребностях и требованиях заинтересованных сторон);

Т _{реализации} - среднее время реализации накопившихся изменений в системе;

q - установленный или возможный период между соседними моментами начала реализации накапливаемых изменений потребностей и требований заинтересованных сторон в системе (т.е. q ^-1 - виртуальная частота реализации изменений для случая периодической реализации в системе накопившихся значимых изменений).

Для задаваемого периода прогноза Т _зад показатель удовлетворенности заинтересованных сторон по качеству и срокам, используемый в расчетах обобщенного риска в В.2.4, определяют следующим образом:

.

(В.6)

Условие по выполнению требований заинтересованных сторон по качеству и срокам определено для периода прогноза как условие непревышения максимально допустимого уровня риска R _{доп кач}, задаваемого для вероятности нарушения удовлетворенности заинтересованных сторон по качеству и срокам R _кач. Это условие выражается в форме R _кач  R _{доп кач}.

В.2.3.3 Для оценки вероятности нарушения готовности системы к выполнению требований заинтересованных сторон по затратам и использования этой вероятности в расчетах обобщенного риска (см. В.4) применяют показатель удовлетворенности заинтересованных сторон по затратам Z _затрат(Т _зад). Для его расчета и учета различий по затратам все условия заинтересованных сторон группируют по М типам (m = 1, ..., М, М  1). К m-му типу относят a _m  1 заинтересованных сторон, причем в пределах периода прогноза делают предположение, что каждому из типов свойственны свои приблизительно одинаковые затраты на разработку, ввод в эксплуатацию, эксплуатацию, сопровождение системы и ее выведение из эксплуатации (этот уровень затрат характеризует степень удовлетворенности заинтересованных сторон). Условия выполнения требований заинтересованных сторон m-го типа по затратам учитывают в виде индикаторной функции Ind() = Ind(Сm  С _доп m) - см. формулу (В.1), где С _доп m - допустимые общие затраты заинтересованных сторон m-го типа системы относительно задаваемого периода прогноза Т _зад при эксплуатации системы. При этом общие затраты заинтересованных сторон m-го типа системы С _m(Т _зад) за период Т _зад, соизмеримые со всем жизненным циклом системы для достижения целей процесса аттестации, оценивают по формуле

,

(В.7)

где С _разр m - затраты заинтересованных сторон m-го типа на разработку системы (ожидаемые или реальные);

С _ввод m - затраты заинтересованных сторон m-го типа на ввод в эксплуатацию системы (ожидаемые или реальные);

C _{экспл m}(Т _зад) - затраты заинтересованных сторон m-го типа на эксплуатацию системы за задаваемый период прогноза Т _зад;

С _сопр m(Т _зад) - затраты заинтересованных сторон m-го типа на сопровождение системы за задаваемый период прогноза Т _зад;

С _{списан m} - затраты заинтересованных сторон m-го типа на выведение системы из эксплуатации (ожидаемые или реальные).

Показатель удовлетворенности заинтересованных сторон по затратам Z _затрат(Т _зад) определяют для задаваемого периода прогноза Т _зад. Это время может накрывать только прошедший период (тогда учитывают реальные затраты) или может включать период прогноза на будущее вплоть до завершения жизненного цикла системы (в этом случае учитывают ожидаемые затраты). Показатель Z _затрат(Т _зад) определяют следующим образом:

,

(В.8)

где

.

(В.9)

Примечания

1 В частных случаях, определяемых моментом завершения периода прогноза, в формуле (В.7) оставляют лишь те составляющие, которые по времени входят в период прогноза Т _зад. Например, если задаваемый период прогноза Т _зад накрывает стадии эксплуатации и сопровождения системы (как правило, именно такие периоды прогноза выбирают при системном анализе), то от длительности периода Т _зад зависят затраты лишь на этих стадиях. Для достижения целей аттестации системы затраты на других стадиях полагают неизменными.

2 При необходимости на уровне индикаторной функции дополнительно могут быть учтены иные условия и требования заинтересованных сторон к извлечению пользы от эксплуатации системы (социально-экономических благ, прибыли, обеспечения занятости населения, научно-технических достижений, предотвращения ущербов, обеспечения различных видов безопасности, иной пользы, как измеряемой, так и не измеряемой количественно).

В.2.4 Оценка обобщенного риска нарушения надежности реализации процесса аттестации системы

В.2.4.1 Общие положения

Обобщенный риск нарушения надежности реализации процесса аттестации системы без учета требований по защите информации оценивают с помощью расчетной вероятности невыполнения необходимых действий процесса аттестации (см. В.2.2) и показателей нарушения готовности системы к выполнению требований заинтересованных сторон по качеству, срокам и затратам (см. В.2.3).

При этом обобщенный показатель риска нарушения надежности реализации процесса без учета требований по защите информации характеризуется переходом в такое элементарное состояние, при котором имеет место или оказывается возможным ущерб по следующим причинам: либо из-за невыполнения необходимых действий процесса, либо из-за нарушения готовности системы к выполнению требований заинтересованных сторон, либо из-за комбинации каких-либо перечисленных выше причин.

В.2.4.2 Метод оценки

Обобщенный риск нарушения надежности реализации процесса аттестации системы без учета требований по защите информации вычисляют по формуле

.

(В.10)

Исходные данные и порядок расчетов определены в В.2.2, В.2.3.

Если все условия по выполнению необходимых действий процесса аттестации системы и обеспечению готовности системы к выполнению требований заинтересованных сторон соблюдены, то обобщенный риск нарушения надежности реализации процесса аттестации системы без учета требований по защите информации обращается в ноль (с интерпретацией: этим риском из-за его несущественности можно пренебречь).

В.3 Математические модели для прогнозирования риска нарушения требований по защите информации

В.3.1 Общие положения

В.3.1.1 Прогнозирование рисков нарушения требований по защите информации осуществляют на основе применения математических моделей для прогнозирования риска нарушения требований по защите информации, см. ГОСТ Р 59341-2021 (В.2 приложения В). Все положения по моделированию, изложенные в ГОСТ Р 59341 применительно к процессу управления информацией, в полной мере применимы к процессу аттестации системы (в части, свойственной прогнозированию риска нарушения требований по защите информации). Для расчета типовых показателей рисков анализируемые сущности рассматривают в виде моделируемой системы простой или сложной структуры. В моделях и методах системного анализа применительно к таким моделируемым системам используют данные, получаемые по факту наступления событий, по выявленным предпосылкам к наступлению событий, и данные собираемой и накапливаемой статистики по процессам и возможным условиям их реализации.

В.3.1.2 В моделях простой структуры под моделируемой системой понимается определенный выходной результат или действие, а также совокупность задействованных активов, к которым предъявлены требования и применяют меры защиты информации. Система простой структуры представляет собой систему из единственного элемента или множества элементов, логически объединенных для анализа как один элемент. Анализ системы простой структуры осуществляют по принципу "черного ящика", когда известны входы и выходы, но неизвестны внутренние детали функционирования системы. Система сложной структуры рассматривается как совокупность взаимодействующих элементов, каждый из которых представляется в виде "черного ящика", функционирующего в условиях неопределенности.

В.3.1.3 При анализе "черного ящика" для вероятностного прогнозирования рисков осуществляют формальное определение пространства элементарных состояний. Это пространство элементарных состояний формируют в результате статистического анализа произошедших событий с их привязкой к временной оси. Предполагается повторяемость событий. Чтобы провести системный анализ для ответа на условный вопрос "Что будет, если...", при формировании сценариев возможных нарушений статистика реальных событий по желанию исследователя может быть дополнена гипотетичными событиями, характеризующими ожидаемые и/или прогнозируемые условия функционирования системы. Применительно к анализируемому сценарию осуществляют расчет вероятности пребывания элементов моделируемой системы в определенном элементарном состоянии в течение задаваемого периода прогноза. Для негативных последствий при оценке рисков этой расчетной вероятности сопоставляют возможный ущерб.

В.3.1.4 Для математической формализации используют следующие основные положения:

- к началу периода прогноза предполагается, что целостность моделируемой системы обеспечена, включая изначальное выполнение требований по защите информации в системе (в качестве моделируемой системы простой или сложной структуры могут быть рассмотрены выходные результаты с задействованными активами и действия процесса, к которым предъявлены определенные требования по защите информации);

- в условиях неопределенностей возникновение и разрастание различных угроз описывается в терминах случайных событий;

- для различных вариантов развития угроз средства, технологии и меры противодействия угрозам с формальной точки зрения представляют собой совокупность мер и/или защитных преград, предназначенных для воспрепятствования реализации угроз.

Под целостностью моделируемой системы понимается такое ее состояние, которое в течение задаваемого периода прогноза отвечает целевому назначению модели системы. При моделировании, направленном на прогнозирование риска нарушения требований по защите информации, целевое назначение моделируемой системы проявляется в выполнении требований по защите информации. Такая интерпретация подразумевает выполнение требований по защите информации не только применительно к защищаемым активам и действиям, с помощью которых создают и получают выходные результаты, но и к самим выходным результатам, которые применяют (или планируют к созданию, получению и/или применению). В итоге для каждого из элементов и моделируемой системы в целом в приложении к прогнозированию риска нарушения требований по защите информации пространство элементарных состояний на временной оси образовано следующими двумя основными состояниями:

- "Выполнение требований по защите информации в системе обеспечено", если в течение всего периода прогноза обеспечено выполнение требований по защите информации;

- "Выполнение требований по защите информации в системе нарушено" - в противном случае.

Обоснованное использование выбранных мер и защитных преград является предупреждающими контрмерами, нацеленными на обеспечение успешной реализации процесса аттестации системы.

В.3.1.5 В моделях простой структуры под моделируемой системой понимается определенное действие или выходной результат и совокупность задействованных активов, к которым предъявлены требования и осуществляются меры защиты информации. Такую систему рассматривают как "черный ящик", если для него сделано предположение об использовании одной и той же модели угроз и одной и той же технологии системного контроля выполнения требований по защите информации и восстановления системы после состоявшихся нарушений или выявленных предпосылок к нарушениям. В моделях сложной структуры под моделируемой системой понимается определенная упорядоченная совокупность составных элементов, каждый из которых логически представляет собой определенное действие или выходной результат и совокупность задействованных активов, к которым предъявлены требования и применены меры защиты информации. При этом выходной результат сам может стать активом в итоге выполняемых действий.

В общем случае для различных элементов системы сложной структуры могут быть применены различные модели угроз безопасности информации или различные технологии системного контроля выполнения требований по защите информации и восстановления целостности системы.

В.3.1.6 При расчетах с использованием математических моделей для прогнозирования риска нарушения требований по защите информации и рекомендаций ГОСТ Р 59341-2021 (В.2, В.3 приложения В) осуществляется учет предпринимаемых мер периодической диагностики и восстановления возможностей по обеспечению выполнения требований по защите информации. В результате математического моделирования рассчитывают вероятность приемлемого выполнения требований по защите информации (т.е. пребывания в состоянии "Выполнение требований по защите информации в системе обеспечено") в течение всего периода прогноза и ее дополнение до единицы, представляющее собой вероятность нарушения требований по защите информации (т.е. пребывания в состоянии "Выполнение требований по защите информации в системе нарушено"). В свою очередь вероятность нарушения требований по защите информации в течение всего периода прогноза в сопоставлении с возможным ущербом определяет риск нарушения требований по защите информации в процессе аттестации системы.

В.3.2 Исходные данные и расчетные показатели

Для расчета вероятностных показателей применительно к моделируемой системе, где анализируемые сущности (выходные результаты, действия) могут быть представлены в виде системы - "черного ящика", используют исходные данные, формально определяемые в общем случае следующим образом:

- частота возникновения источников угроз в процессе аттестации системы;

- среднее время развития угроз с момента возникновения источников угроз до нарушения нормальных условий (например, до нарушения установленных требований по защите информации в системе или до инцидента);

Т _меж - среднее время между окончанием предыдущей и началом очередной диагностики возможностей по обеспечению выполнения требований по защите информации в системе;

Т _диаг - среднее время системной диагностики возможностей по обеспечению выполнения требований по защите информации (т.е. диагностики целостности моделируемой системы);

Т _восст - среднее время восстановления нарушенных возможностей по обеспечению выполнения требований по защите информации в моделируемой системе;

Т _зад - задаваемый период прогноза.

Расчетные показатели:

Р _возд (, , Т _меж, Т _диаг, Т _восст, Т _зад) - вероятность отсутствия нарушений по защите информации в процессе аттестации системы в течение периода прогноза Т _зад;

R _наруш (, , Т _меж, Т _диаг, Т _восст, Т _зад) - вероятность нарушения требований по защите информации в процессе аттестации системы в течение периода прогноза Т _зад.

Расчет показателей применительно к процессу аттестации для моделируемой системы простой и сложной структуры осуществляют по формулам ГОСТ Р 59341-2021 (В.2 приложения В).

Примечание - При необходимости могут быть использованы модели, позволяющие оценивать защищенность от опасных программно-технических воздействий, от несанкционированного доступа и сохранение конфиденциальности информации в системе (см. ГОСТ Р 59341-2021, В.3 приложения В).

В.4 Прогнозирование интегрального риска нарушения реализации процесса аттестации с учетом требований по защите информации

В сопоставлении с возможным ущербом интегральный риск нарушения реализации процесса аттестации системы с учетом требований по защите информации R _интегр (Т _зад) для задаваемого периода прогноза Т _зад вычисляют по формуле

,

(В.11)

где К _{обобщен}(Т _зад) - вероятность нарушения надежности реализации процесса аттестации системы в течение периода прогноза Т _зад без учета требований по защите информации, рассчитывается по моделям и рекомендациям В.2;

R _наруш(Т _зад) - вероятность нарушения требований по защите информации в процессе аттестации системы в течение периода прогноза Т _зад, рассчитывается по моделям и рекомендациям В.3.

Вероятность нарушения надежности реализации процесса в течение периода прогноза без учета требований по защите информации R _{обобщен} (Т _зад) рассчитывают по формуле (В.10) в зависимости от целей системного анализа. Вероятность нарушения требований по защите информации в системе в течение периода прогноза R _наруш(Т _зад) рассчитывают по рекомендациям В.3 для выбранной структуры моделируемой системы.

Интегральный риск нарушения реализации процесса аттестации системы с учетом требований по защите информации определяют путем сопоставления расчетной интегральной вероятности нарушения реализации процесса в течение периода прогноза, рассчитанной по формуле (В.11), с возможным ущербом за этот период.

Примечание - Примеры прогнозирования рисков и способы решения различных задач системного анализа приведены в ГОСТ Р ИСО 11231, ГОСТ Р 58494, ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59341, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59356.