Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 59345-2021 "Системная инженерия. Защита информации в процессе определения потребностей и требований заинтересованной стороны для системы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 30 апреля 2021 г. N 331-ст)
- Приложение Г (справочное). Методические указания по прогнозированию рисков для процесса определения потребностей и требований заинтересованной стороны
Приложение Г (справочное). Методические указания по прогнозированию рисков для процесса определения потребностей и требований заинтересованной стороны
Приложение Г
(справочное)
Методические указания по прогнозированию рисков для процесса определения потребностей и требований заинтересованной стороны
Г.1 Общие положения
Г.1.1 Настоящие методические указания содержат типовые действия при расчетах основных количественных показателей рисков в процессе определения потребностей и требований заинтересованной стороны для системы:
- риска нарушения требований по защите информации;
- риска нарушения надежности реализации процесса определения потребностей и требований заинтересованной стороны для системы без учета требований по защите информации;
- интегрального риска нарушения реализации процесса определения потребностей и требований заинтересованной стороны для системы с учетом требований по защите информации.
При этом риски характеризуют прогнозными вероятностными значениями в сопоставлении с возможным ущербом.
Г.1.2 Прогнозирование рисков осуществляют с использованием формализованного представления рассматриваемой системы в виде моделируемой системы. Под моделируемой системой понимается такая система, для которой решение задач системного анализа осуществляется с использованием ее формализованной модели и, при необходимости, формализованных моделей учитываемых сущностей в условиях их применения.
Примечание - В качестве модели системы могут выступать формализованные сущности, объединенные целевым назначением. Например, при проведении системного анализа в принимаемых допущениях, ограничениях и предположениях модель может формально описывать процесс, множество активов и/или выходных результатов процесса, действия процесса или множество этих или иных сущностей в их целенаправленном применении в задаваемых условиях.
Г.1.3 Модели приложения В ориентированы на процесс определения потребностей и требований заинтересованной стороны для системы в случае, когда для различных заинтересованных сторон системные решения идентичны. В Г.5 приведены расчетные соотношения, позволяющие осуществлять прогнозирование интегрального риска применительно к случаю, когда системные решения для различных заинтересованных сторон существенно разнятся (например, это могут быть решения для обработки открытой и закрытой информации в системе).
Г.1.4 Применительно к конкретной системе для прогнозирования рисков нарушения требований по защите информации согласно 5.3, 6.1 определению подлежат:
- состав заинтересованных сторон, участвующих в формировании своих потребностей и требований к системе;
- состав выходных результатов и выполняемых действий процесса определения потребностей и требований заинтересованной стороны для системы и используемых при этом активов;
- перечень потенциальных угроз и возможные сценарии возникновения и развития угроз для выходных результатов и выполняемых действий процесса определения потребностей и требований заинтересованной стороны для системы;
- технологии противодействия угрозам, используемые в процессе определения потребностей и требований заинтересованной стороны в заданной среде применения системы;
- иные объекты, используемые в прогнозировании рисков при необходимости оценки того, насколько организация способна обеспечить возможности по выполнению рассматриваемого процесса в заданной среде применения системы.
Примечание - В качестве конкретной системы может выступать система дистанционного контроля в опасном производстве (СДК). Для понимания основных идей по прогнозированию рисков см., например, ГОСТ Р 58494, где на примере СДК указаны объекты, выходные результаты, выполняемые действия, перечень потенциальных угроз применительно к объектам опасного производства.
Г.1.5 В зависимости от целей прогнозирования рисков модели, приведенные в В.2, В.3, логически могут быть представлены в виде "черного ящика" или в виде сложной структуры. Для отдельных элементов сложной системы или при ее огрубленном моделировании используют модель "черного ящика". Для получения более точных результатов прогнозирования рисков осуществляют декомпозицию сложной моделируемой системы до уровня составных системных элементов, характеризуемых их параметрами и условиями эксплуатации и объединяемых для описания целостности моделируемой системы логическими условиями "И" и "ИЛИ". При этом целостность моделируемой системы в течение задаваемого периода прогноза означает такое состояние этой системы, которое отвечает целевому назначению модели системы в течение задаваемого периода прогноза.
Примечания
1 Логическое условие "И" для двух связанных этим условием элементов интерпретируется так: моделируемая система из двух последовательно соединяемых элементов находится в состоянии целостности, когда "И" первый элемент, "И" второй элемент находятся в состоянии целостности.
2 Логические условие "ИЛИ" для двух связанных этим условием элементов интерпретируется так: система из двух параллельно соединяемых элементов находится в состоянии целостности, когда "ИЛИ" первый элемент, "ИЛИ" второй элемент находятся в состоянии целостности (в частности, когда для повышения надежности дублируется выполнение отдельных действий).
Г.2 Цель прогнозирования рисков
Основной целью прогнозирования рисков является установление степени вероятного нарушения требований по защите информации и/или нарушения надежности реализации исследуемого процесса с учетом требований по защите информации за заданный период прогноза. Прогнозирование рисков осуществляется в интересах решения определенных задач системного анализа - см. раздел 7. Конкретные практические цели прогнозирования рисков устанавливают заказчик системного анализа и/или аналитик моделируемой системы при выполнении работ системной инженерии.
Г.3 Элементарные состояния моделируемой системы
Для решения задач системного анализа в качестве моделируемой системы могут выступать: множество выходных результатов, множество действий процесса, множество заинтересованных сторон, объединенных целевым назначением в реальной системе.
Для каждого из элементов моделируемой системы в зависимости от поставленных целей могут решаться свои задачи системного анализа. В общем случае моделируемую систему представляют либо в виде "черного ящика" (см. В.2.1 и В.2.2), либо в виде сложной системы, элементы которой объединяются соединяемых последовательно или параллельно (см. В.2.3). Пример декомпозиции сложной системы до составных элементов представлен на рисунках Г.1 - Г.3. При этом для каждого элемента могут оказаться характерными свои разнородные угрозы и применяемые методы контроля, мониторинга и восстановления нарушаемой целостности.
Рисунок Г.1 - Пример моделируемой системы, представляющей собой множество выходных результатов, где системный элемент - это конкретный выходной результат (всего I выходных результатов)
Рисунок Г.2 - Пример моделируемой системы, представляющей собой множество действий процесса, где системный элемент - это конкретное действие (последнее K-е действие задублировано)
Рисунок Г.3 - Пример моделируемой системы, представляющей собой множество заинтересованных сторон, участвующих в формировании своих потребностей и требований к системе. Системный элемент - это конкретная заинтересованная сторона (всего J заинтересованных сторон)
Для каждого из элементов и для моделируемой системы в целом вводится пространство элементарных состояний (с учетом логических взаимосвязей элементов условиями "И", "ИЛИ").
Например, если системные решения для различных заинтересованных сторон идентичны, то в приложении к прогнозированию риска нарушения требований по защите информации для некоторой заинтересованной стороны пространство элементарных состояний на временной оси образуют два основных состояния:
- "Выполнение требований по защите информации в процессе определения потребностей и требований заинтересованной стороны для системы обеспечено", если в течение всего периода прогноза обеспечено выполнение требований по защите информации, т.е. если выполняются все условия, интерпретируемые в совокупности как допустимая "норма";
- "Выполнение требований по защите информации в процессе определения потребностей и требований заинтересованной стороны для системы нарушено" - в противном случае.
Если системные решения для различных заинтересованных сторон по-прежнему идентичны, то в приложении к прогнозированию интегрального риска нарушения реализации процесса с учетом требований по защите информации для некоторой заинтересованной стороны пространство элементарных состояний на временной оси образуют два других основных состояния:
- "Надежность реализации процесса определения потребностей и требований заинтересованной стороны для системы "И" выполнение требований по защите информации в системе обеспечены", если в течение всего периода прогноза обеспечены "И" надежность выполнения действий процесса, "И" выполнение требований по защите информации;
- "Надежность реализации процесса определения потребностей и требований заинтересованной стороны для системы "И"/"ИЛИ" выполнение требований по защите информации в системе нарушены" - в противном случае.
Если же системные решения для различных заинтересованных сторон существенно разнятся, то для всего множества заинтересованных сторон в приложении к прогнозированию интегрального риска пространство элементарных состояний на временной оси будут определять следующие два состояния:
- "Для всех заинтересованных сторон надежность реализации процесса определения потребностей и требований заинтересованной стороны для системы "И" выполнение требований по защите информации в системе обеспечены", если в течение всего периода прогноза для каждой из заинтересованных сторон обеспечены "И" надежность выполнения действий процесса, "И" выполнение требований по защите информации;
- "Для полного множества заинтересованных сторон надежность реализации процесса определения потребностей и требований заинтересованной стороны для системы "И"/"ИЛИ" выполнение требований по защите информации в системе нарушено" - в противном случае, т.е. если хотя бы для одной заинтересованной стороны имеет место нарушение "И"/"ИЛИ" надежности реализации процесса, "И"/"ИЛИ" выполнения требований по защите информации.
В общем случае с применением 1-го способа В.2.3 возможно расширение или переименование самих элементарных состояний, главное, чтобы они формировали полное множество аналогично множествам, введенным в настоящем подразделе. В Г.10.1, Г.10.2 приведены примеры прогнозирования рисков.
В качестве мер противодействия угрозам, способных при их применении снизить расчетные риски, могут выступать более частая (по сравнению со временем развития угроз) системная диагностика или контроль с восстановлением нормального функционирования моделируемой системы. Многократные прогнозы для реальных случаев нарушений нормы "до" и "после" наступления нарушений позволяют (при использовании задаваемых границ допустимого риска) осуществление аналитического обоснования упреждающих мер по снижению или удержанию в допустимых пределах рисков и/или снижению затрат и/или возможных ущербов при задаваемых ограничениях. Обоснованное определение сбалансированных системных мер, предупреждающих возникновение ущербов при ограничениях на ресурсы и допустимые риски, а также оценка и обоснование эффективных кратко-, средне- и долгосрочных планов по обеспечению безопасности осуществляют путем решения самостоятельных оптимизационных задач, использующих расчетные значения прогнозируемых рисков - см. приложение Е.
Примечание - Рекомендации по задачам системного анализа приведены в ГОСТ Р 59349.
По мере решения на практике задач анализа и оптимизации для различных объектов и логических структур системы создают базы знаний, содержащих варианты решения типовых задач сбалансированного управления рисками.
Примечание - Примерами практического применения общих методических положений к системам дистанционного контроля в опасном производстве могут служить положения ГОСТ Р 58494-2019, приложения А-Е.
Г.4 Показатели, исходные данные и расчетные соотношения
В общем случае для различных заинтересованных сторон системные решения могут существенно различаться (например, для обработки открытой и закрытой информации). Это должно быть учтено при решении некоторых задач системного анализа. В настоящем разделе приведены показатели, исходные данные и расчетные соотношения для одной j-й заинтересованной стороны (j = 1, ..., J) или, если системные решения для группы заинтересованных сторон идентичны, то для этой группы.
Применительно к моделируемой системе, которая может быть представлена в виде "черного ящика" (см. В.2.1, В.2.2, В.3) или сложной логической структуры (см. В.2.3, В.3, В.4), расчетными показателями являются:
- Риск нарушения требований по защите информации в процессе определения потребностей и требований j-й заинтересованной стороны для системы в течение задаваемого периода прогноза T зад.треб;
- Риск нарушения надежности реализации процесса определения потребностей и требований j-й заинтересованной стороны для системы в течение задаваемого периода прогноза T зад.над без учета требований по защите информации;
- интегральный риск нарушения реализации процесса определения потребностей и требований j-й заинтересованной стороны для системы с учетом требований по защите информации для различных задаваемых периодов прогноза T зад.треб (в части защиты информации) и T зад.над (в части надежности);
- множество из двух задаваемых периодов прогноза (T зад.над; T зад.треб).
Применительно к моделируемой системе, отождествляемой с множеством выходных результатов процесса определения потребностей и требований j-й заинтересованной стороны для системы, для прогнозирования вероятностных показателей нарушения требований по защите информации исходными данными по каждому составному элементу (т.е. для задействованных активов и получаемым выходным результатам) являются:
- частота возникновения источников угроз нарушения требований по защите информации применительно к системному элементу (например, выходному результату, зависящему от конкретных задействованных активов);
- среднее время развития угроз с момента возникновения источников угроз до нарушения требований по защите информации применительно к системному элементу (выходному результату, зависящему от конкретных задействованных активов);
- среднее время между окончанием предыдущей и началом очередной диагностики возможностей системы по выполнению требований по защите информации применительно к системному элементу (выходному результату, зависящему от конкретных задействованных активов), определяется регламентом работы системы защиты информации);
- среднее время системной диагностики (контроля) состояния системного элемента (например, активов и самой системы защиты информации). В общем случае, это время, отличающееся от времени восстановления после выявления нарушений информационной безопасности. Это время определяется регламентом работы системы защиты информации и выполнением иных предусмотренных мер противодействия угрозам;
- среднее время восстановления нормы эффективности защиты информации в системном элементе после выявления нарушений, определяется возможностями системы в части восстановления нормальных условий своего функционирования, включая выполнение требований по защите информации;
- задаваемая длительность периода прогноза для анализа соблюдения требований по защите информации.
Примечания
1 Для определения значений исходных данных и
сначала устанавливают условия допустимой "нормы" требований по защите информации, нарушение которых может приводить к недопустимому ущербу. После этого искусственно вводят условные границы для элементарного состояния системных элементов (в качестве элемента моделируемой системы здесь выступают задействованные активы и получаемый выходной результат), например:
- "приемлемое" состояние в пределах условий допустимой "нормы" требований по защите информации (частота выхода за пределы "приемлемого" состояния означает частоту возникновения источника угрозы, тем самым определяется значение );
- временное отклонение от "приемлемого" состояния, но в пределах условий допустимой "нормы" требований по защите информации (среднее время с момента выхода за пределы "приемлемого" состояния до нарушения условий допустимой "нормы" позволяет определить среднее время развития угроз, тем самым определяется значение ).
2 Как пример, для оборудования объектов опасного производства по ГОСТ Р 58494 границы "приемлемого" состояния определяют по границам рабочего диапазона значений отслеживаемых параметров оборудования (температуры, давления, напряжения и др.). Границы "нормы" определяются гарантийными обязательствами поставщиков оборудования. Между этими границами возможно временное отклонение от "приемлемого" состояния. В общем случае условные границы для элементарного состояния элементов могут быть не только количественными, но и качественными или только качественными (например, используют шаблон обязательных требований, к ним в зависимости от приложения добавляют или из них исключают некоторые условия, требующие неукоснительного выполнения).
Применительно к моделируемой системе, отождествляемой с выполняемыми действиями в процессе определения потребностей и требований j-й заинтересованной стороны (т.е. в данном случае в качестве элементов моделируемой системы выступают отдельные действия или совокупности действий, объединенных для анализа как один элемент), для прогнозирования вероятности нарушения надежности реализации процесса без учета требований по защите информации R j надежн (T зад.над) исходными данными по каждому составному элементу являются:
- частота возникновения источников угроз нарушения надежности системного элемента (т.е. реализации действия процесса);
- среднее время развития угроз с момента возникновения источников угроз до наступления инцидента, связанного с нарушением надежности системного элемента (реализации действия процесса);
- среднее время между окончанием предыдущей и началом очередной диагностики возможностей системы по обеспечению надежности системного элемента (реализации действия процесса) определяется регламентом работы системы контроля и управления надежностью;
- длительность системной диагностики надежности системного элемента (в общем случае отличающееся от времени восстановление после нарушений надежности), это время определяется регламентом работы системы контроля и управления надежностью и выполнением иных предусмотренных мер противодействия угрозам;
- среднее время восстановления требуемой надежности системного элемента после наступления инцидента, связанного с нарушением надежности (реализации действия процесса), определяется возможностями системы контроля и управления надежностью в части восстановления нормальных условий своего функционирования;
- задаваемая длительность периода прогноза для анализа надежности реализации процесса.
Если системные решения для различных заинтересованных сторон идентичны, то для математического моделирования используют расчетные соотношения (В.10), определенные формулами (В.1)-(В.9) для моделей В.2.3, В.2.4 и В.3.
Если системные решения для различных заинтересованных сторон существенно различаются, то исходные данные - те же, отличие лишь в их значениях и расчетных соотношениях, интегрирующих результаты расчетов R j интегр.уч (Т зад) по всем j = 1, ..., J. Расчетные соотношения для этого случая приведены в Г.5.
Г.5 Расчет интегрального риска для всех заинтересованных сторон (при различиях в системных решениях)
При различиях в системных решениях интегральный риск нарушения реализации процесса определения потребностей и требований всех заинтересованных сторон для системы с учетом требований по защите информации R (1 - J) интегр.уч (T зад) для задаваемых периодов прогноза вычисляют по формуле
.
(Г.1)
Здесь - риск нарушения надежности реализации процесса определения потребностей и требований j-й заинтересованной стороны в течение периодов прогноза T зад с учетом требований по защите информации, рассчитывается по расчетным соотношениям (В.10);
- множество задаваемых периодов прогноза (Т зад.над; Т зад.треб), характеризуемое двумя периодами: длительностью периода прогноза для анализа непосредственно реализации процесса определения потребностей и требований заинтересованной стороны Т зад.над и длительностью периода прогноза для анализа выполнения требований по защите информации Т зад.треб.
Примечание - При решении различных задач системного анализа, включая поддержку принятия решений, наряду с прогнозированием рисков с использованием выражений (В.1)-(В.11) возможно прогнозирование эффективности реализации процесса. Прогноз эффективности при этом направляют на вероятностную оценку того, насколько выполнение формализованных требований к системе способно обеспечить удовлетворение потребностей пользователей и других заинтересованных сторон в заданной среде применения системы.
Г.6 Порядок прогнозирования рисков
Г.6.1 Для прогнозирования рисков осуществляют следующие шаги.
Шаг 1. Определяют моделируемую систему и устанавливают анализируемые объекты для прогнозирования рисков - действия осуществляют согласно Г.1.
Шаг 2. Устанавливают конкретные цели прогнозирования - действия осуществляют согласно Г.2.
Шаг 3. Формируют перечень возможных угроз. Принимают решение о представлении моделируемой системы в виде "черного ящика" или в виде сложной структуры, декомпозируемой до составных элементов с использованием логических условий "И", "ИЛИ". Формируют пространство элементарных состояний для каждого элемента и моделируемой системы в целом - действия осуществляют согласно Г.3.
Шаг 4. Выбирают расчетные показатели (риск нарушения требований по защите информации и/или интегральный риск нарушения реализации процесса с учетом требований по защите информации). Выбирают подходящие математические модели и методы повышения их адекватности из В.2, В.3, В.4. Устанавливают необходимость дифференциации заинтересованных лиц по группам (1, ..., j, ..., J) для прогнозирования рисков в случае, если системные решения для различных заинтересованных сторон существенно разнятся. Формируют исходные данные для каждого элемента моделируемой системы. Осуществляют расчет выбранных показателей с использованием расчетных соотношений (В.1)-(В.11), а также согласно рекомендациям Г.4, Г.5.
Шаг 5. Результаты прогнозирования используют для оценки рисков и применяют для решения задач системного анализа согласно поставленным целям прогнозирования.
Г.6.2 Условия моделирования, исходные данные и полученные результаты прогнозирования рисков подлежат документированию.
Г.7 Обработка и использование результатов прогнозирования
Результаты прогнозирования рисков должны быть удобны для обработки заказчиком системного анализа и/или аналитиком моделируемой системы. Результаты представляются в виде гистограмм, графиков, таблиц и/или в ином виде, позволяющем анализировать зависимости рисков от изменения значений исходных данных при решении задач системного анализа.
Результаты расчетов подлежат использованию для решения задач системного анализа - см. раздел 7, приложение Е и ГОСТ Р 59349.
Г.8 Примеры
Г.8.1 Нижеследующие примеры применительно к некоторой компании топливно-энергетического комплекса призваны продемонстрировать отдельные аналитические возможности методов и моделей настоящего стандарта. Пусть руководство компании, предпринимая меры по повышению уровня промышленной и информационной безопасности производства (см. [1]-[3], [9]-[12], [15]) и доверия бизнесу компании, приняло решение о проведении системного анализа, посвященного вопросам создания системы дистанционного контроля промышленной безопасности опасных производственных объектов. В общем случае применение СДК нацелено на оперативное выявление и оповещение ответственных лиц о предпосылках возникновения либо о возникновении опасных ситуаций на производственных объектах, удаленную информационно-аналитическую поддержку в интересах обеспечения нормальных условий функционирования производственных объектов и реализации на предприятиях риск-ориентированного подхода путем расчета и представления в режиме реального времени показателей состояния промышленной безопасности эксплуатируемого оборудования.
Именно СДК рассматривается в примерах в качестве моделируемой системы. Пример 1 посвящен прогнозированию риска нарушения требований по защите информации, пример 2 иллюстрирует прогнозирование риска нарушения надежности реализации процесса с учетом требований по защите информации, пример 3 демонстрирует учет требований различных заинтересованных сторон.
Г.8.2 Пример 1. Прогнозирование риска нарушения требований по защите информации проиллюстрировано для следующих выходных результатов процесса определения потребностей и требований заинтересованной стороны (см. 6.1.2):
- формализованных требований, отражающих потребности заинтересованных сторон в СДК;
- отчет о прослеживаемости сформулированных требований;
- характеристики и условия использования возможностей системы, критические показатели ее функционирования.
В компании выбор выходных результатов для системного анализа был обусловлен использованием следующих задействованных активов (защищаемых по-разному): финансовых и плановых документов, документации по обследованию объекта автоматизации, отчетов научно-исследовательских работ, баз данных (включая персональные данные должностных лиц), систем передачи данных, архивов компании - см. приложение А.
С учетом возможных ущербов в условиях существующей неопределенности цели прогнозирования рисков сформулированы руководством компании следующим образом:
цель 1 - количественно оценить риски нарушения требований по защите информации для каждого из выходных результатов и всей совокупности выходных результатов;
цель 2 - определить такой период, при котором сохраняются гарантии удержания риска в допустимых пределах для обеспечения нормы эффективности защиты информации;
цель 3 - определить критичные условия в развитии различных угроз.
Тем самым выполнены шаги 1, 2 настоящих методических указаний.
Выполняя шаг 3, выявлены критичные угрозы, влияющие на безопасность выходных результатов, основными из которых определены: угрозы, связанные с субъективными факторами, угрозы возникновения ущерба репутации и/или потери доверия из-за нарушения безопасности информации, угрозы безопасности функционирования программного обеспечения (ПО) оборудования и коммуникаций (см. приложение Б). Аналитиком моделируемой системы принято решение о формализованном представлении системы в виде сложной структуры - см. рисунок Г.4. Пространство элементарных состояний для каждого элемента и моделируемой системы из трех элементов сформировано согласно В.2 и Г.3 (элемент представляет собой конкретный выходной результат с задействованными для его получения активами). Определено элементарное состояние "Выполнение требований по защите информации в процессе определения потребностей и требований заинтересованной стороны для системы обеспечено", если в течение всего периода прогноза обеспечено выполнение требований по защите информации для каждого из выходных результатов (с задействованными для их получения активами).
Рисунок Г.4 - Моделируемая система для примера 1
Выполняя шаг 4 методических указаний, на основании модели угроз безопасности информации, результатов обследования производственных объектов и технологий обеспечения информационной и промышленной безопасности сформированы приблизительные исходные данные для каждого элемента моделируемой системы, приведенные в таблице Г.1. Расчет риска нарушения требований по защите информации осуществлен с использованием расчетных соотношений (В.1)-(В.9) согласно рекомендациям Г.4, В.2.2 и В.2.3.
Таблица Г.1 - Исходные данные для прогнозирования риска нарушения требований по защите информации в процессе определения потребностей и требований заинтересованной стороны
|
Исходные данные |
Значения и комментарии |
||
|
для 1-го элемента |
для 2-го элемента |
для 3-го элемента |
|
|
|
Один раз в год (угрозы, связанные с субъективными факторами) |
Один раз в год (угрозы возникновения ущерба репутации и/или потери доверия) |
Один раз в месяц (угрозы безопасности ПО, оборудования и коммуникаций) |
|
|
2 нед (развитие угроз может привести к неучету, несвоевременному или неадекватному учету потребностей) |
1 мес, что соизмеримо со временем юридического разбирательства (развитие угроз может привести к возникновению ущерба репутации и/или потере доверия) |
10 дней, что соизмеримо со временем разработки, модификации или адаптации ПО (развитие угроз может привести к нарушению качества и безопасности функционирования объекта) |
|
T меж - среднее время между окончанием предыдущей и началом очередной диагностики возможностей системы по выполнению требований по защите информации |
1 ч (определяется регламентом контроля целостности ПО и активов) |
1 ч (определяется регламентом контроля целостности ПО и активов) |
1 ч (определяется регламентом контроля целостности ПО и активов) |
|
Т диаг - среднее время диагностики состояния активов и самой системы защиты информации |
30 с |
30 с |
30 с |
|
Т восст - среднее время восстановления требуемой нормы эффективности защиты информации после выявления нарушений |
5 мин (включая перезагрузку ПО и восстановление данных) |
5 мин (включая перезагрузку ПО и восстановление данных) |
5 мин (включая перезагрузку ПО и восстановление данных) |
|
T зад.треб - задаваемая длительность периода прогноза |
От полугода до двух лет (для определения периода, при котором сохраняются гарантии удержания риска в допустимых пределах для обеспечения нормы эффективности защиты информации) |
||
Выполняя шаг 5, проведена оценка рисков. Анализ результатов расчетов с учетом возможных ущербов показал, что в вероятностном выражении риск нарушения требований по защите информации в приложении ко всем выходным документам в течение года (т.е. для периода прогноза, равного 12 мес) функционирования СДК не превысит 0,035, составляя для 1-го выходного результата 0,0016, для 2-го выходного результата - 0,0007, для 3-го выходного результата - 0,0266 (структуру моделируемой системы см. на рисунке Г.4). Тем самым достигнута 1-я цель прогнозирования.
По всей совокупности выходных результатов компанией в качестве одной из норм эффективности защиты информации определен вероятностный уровень допустимого риска нарушения требований по защите информации в течение года, не превышающий 0,05. Анализ результатов расчетов показал, что максимальный период прогноза, при котором сохраняются гарантии удержания риска в допустимых пределах, составляет около 19 мес - см. зависимость на рисунке Г.5.
Рисунок Г.5 - Зависимость риска в приложении ко всем выходным результатам от длительности периода прогноза (от 6 до 24 мес)
С точки зрения обеспечения эффективности защиты информации этот результат прогнозирования интерпретируется так: для моделируемой системы гарантии удержания риска в допустимых пределах будут обеспечены в течение максимум 19 мес. Этот временной запас гарантирован с вероятностью не ниже 0,95, что в 19 раз превышает уровень допустимого риска (0,95/0,05 = 19). Тем самым достигнута 2-я цель прогнозирования.
Учитывая, что наиболее высокий риск ожидается для 3-го выходного результата, проведены дополнительные математические расчеты по определению критичных условий в развитии угроз безопасности функционирования программного обеспечения оборудования и коммуникаций (другие угрозы характеризуются на порядок меньшими рисками). Результаты расчетов показали: при изменении среднего времени развития угроз () от 5 до 20 сут риск нарушения требований по защите информации R 1наруш (Т зад.треб = 1 год) убывает монотонно от 0,052 до 0,010, достигая условную границу 0,05 при значении
= 5,5 сут - см. зависимость на рисунке Г.6.
Рисунок Г.6 - Зависимость риска для 3-го выходного результата в течение года от среднего времени развития угроз (от 5 до 20 сут)
Это позволяет обосновать следующую норму эффективности защиты информации: при допустимом риске, полагаемом равным 0,05, защита информации должна быть такой, чтобы с момента выявления признаков возникновения реальных угроз безопасности функционирования программного обеспечения оборудования и коммуникаций предпринимаемые меры обеспечения защиты позволяли отсрочивать возникновение ущерба вследствие нарушения требований по защите информации на 20 и более дней. Этот запас времени - одна из важных требуемых норм эффективности защиты информации. Тем самым достигнута последняя 3-я цель прогнозирования в рамках примера 1.
Г.8.3 Пример 2. В продолжение примера 1 прогнозирование интегрального риска нарушения реализации процесса определения потребностей и требований некоторой заинтересованной стороны с учетом требований по защите информации проиллюстрировано для следующих действий процесса (см. 6.1.3):
- определения потребностей заинтересованных сторон СДК;
- разработки концепции функционирования СДК;
- поддержки основных информационных активов, создаваемых в рамках процесса (должны быть установлены границы этого действия в рамках процесса определения потребностей и требований заинтересованной стороны, поскольку полная поддержка основных активов в их жизненном цикле относится к процессу функционирования).
В отличие от примера 1 цели прогнозирования интегрального риска с учетом возможных ущербов сформулированы иначе:
цель 1 - установить соотношение риска нарушения надежности реализации процесса определения потребностей и требований заинтересованной стороны (без учета требований по защите информации) и риска нарушения требований по защите информации;
цель 2 - определить такой период, при котором сохраняются гарантии удержания риска в допустимых пределах нарушения надежности реализации процесса (без учета требований по защите информации);
цель 3 - определить для реальной длительности процесса, насколько повысится риск нарушения надежности его реализации (без учета требований по защите информации) по сравнению с риском нарушения надежности его реализации с учетом требований по защите информации.
Вышеперечисленное отвечает выполнению первых двух шагов настоящих методических указаний.
В рамках шага 3 компанией определено, что для надежности выполнения имеют место те же основные угрозы, что и в примере 1. Аналитиком моделируемой системы принято решение о формализованном ее представлении в виде сложной структуры - см. рисунок Г.7.
Рисунок Г.7 - Моделируемая система для примера 2
Пространство элементарных состояний для каждого элемента и моделируемой системы из трех элементов сформировано согласно В.2 и Г.3 (элемент представляет собой конкретное действие с использованием свойственных для него активов). Определено элементарное состояние: "Надежность реализации процесса определения потребностей и требований заинтересованной стороны для системы обеспечена" (без учета требований по защите информации), если в течение всего периода прогноза обеспечена надежность реализации каждого из действий процесса. "Надежность реализации процесса определения потребностей и требований заинтересованной стороны для системы "И" выполнение требований по защите информации в системе обеспечены", если в течение всего периода прогноза обеспечены "И" надежность выполнения действий процесса, "И" выполнение требований по защите информации для выходных результатов.
В рамках примера учтено, что во многих случаях применяемый процесс определения потребностей и требований заинтересованной стороны для конкретных систем занимает несколько суток или недель, а сами выработанные в результате реализации процесса требования сохраняются длительное время.
Примечание - Для систем коллективного пользования процесс определения потребностей и требований заинтересованной стороны может занимать несколько минут. Например, этот процесс может включать в себя регистрацию пользователей и установление фильтров для пользовательских запросов, а поддерживающее хранение результатов запросов отнесено к процессу функционирования.
Выполняя шаг 4 методических указаний, на основании модели угроз безопасности информации, результатов обследования производственных объектов и технологий обеспечения информационной и промышленной безопасности сформированы ориентировочные исходные данные для каждого элемента моделируемой системы, приведенные в таблице Г.2.
Расчет риска нарушения требований по защите информации с учетом специфики процесса осуществлен с использованием расчетных соотношений (В.1), (В.2), (В.6)-(В.9) согласно рекомендациям Г.4 с ориентацией на модели и методы В.2.2, В.2.3. Учтена специфика процесса: она заключается в относительной кратковременности и отсутствии периодического системного контроля, поскольку контроль проводится участниками процесса по ходу его выполнения. Это означает применимость модели В.3.2.
Выполняя шаг 5 методических указаний, проведена оценка рисков. Анализ результатов расчетов с учетом возможных ущербов показал, что в вероятностном выражении риск нарушения надежности реализации процесса в течение 15 сут в приложении ко всем выполняемым действиям составит около 0,027 - см. рисунок Г.8, по каждому из действий - 0,0083. Вместе с тем риск нарушения требований по защите информации в течение тех же 15 сут составит около 0,0012, что рассчитано по исходным данным примера 1 для Т зад.треб = 15 сут - см. рисунок Г.9.
Таблица Г.2 - Исходные данные для прогнозирования риска нарушения надежности реализации процесса (без учета требований по защите информации)
|
Исходные данные |
Значения и комментарии |
||
|
для 1-го элемента |
для 2-го элемента |
для 3-го элемента |
|
|
|
Один раз в год, что соизмеримо с наработкой на ошибку специалистов высокой квалификации (угрозы, связанные с субъективными факторами, или угрозы возникновения ущерба репутации и/или потери доверия) |
Один раз в год, что соизмеримо с наработкой на ошибку специалистов высокой квалификации (угрозы, связанные с субъективными факторами, или угрозы возникновения ущерба репутации и/или потери доверия) |
Один раз в год, что соизмеримо с наработкой на ошибку специалистов высокой квалификации (угрозы безопасности функционирования программного обеспечения оборудования и коммуникаций) |
|
|
1 мес, что соизмеримо со временем юридического разбирательства |
1 мес, что соизмеримо со временем юридического разбирательства |
1 мес, что соизмеримо со временем юридического разбирательства |
|
Т зад.над - задаваемая длительность периода прогноза |
От 8 до 30 дней |
||
|
Рисунок Г.8 - Зависимость риска нарушения надежности реализации процесса (без учета требований по защите информации) от длительности периода прогноза |
Рисунок Г.9 - Зависимость риска нарушения требований по защите информации от длительности периода прогноза |
В итоге системного анализа установлено, что риск нарушения надежности реализации процесса определения потребностей и требований заинтересованной стороны (без учета требований по защите информации) в 22,5 раза превышает риск нарушения требований по защите информации. Первая цель прогнозирования в примере 2 достигнута.
Дополнительный анализ расчетной зависимости на рисунке Г.8 показал, что максимальный период прогноза, при котором сохраняются гарантии удержания риска в допустимых пределах 0,05, составляет около 22 сут. С точки зрения системной инженерии этот результат прогнозирования интерпретируется так: для моделируемой системы гарантии удержания риска в допустимых пределах будут обеспечены в течение максимум 22 сут. Этот временной запас гарантирован с вероятностью не ниже 0,95. Тем самым достигнута 2-я цель прогнозирования.
Для достижения 3-й цели осуществляются дополнительные расчеты по формуле (В.10) для задаваемого периода прогноза Т зад.над = Т зад.треб = 15 сут. Интегральный риск нарушения реализации процесса определения потребностей и требований заинтересованной стороны с учетом требований по защите информации составит 0,0282 (подставляя в формулу (В.10), получается
0,0282. Это означает, что интегральный риск нарушения реализации процесса с учетом требований по защите информации получит приращение на 4,3 % по сравнению с риском нарушения надежности реализации процесса без учета требований по защите информации (0,027). Тем самым достигнута последняя 3-я цель прогнозирования рисков в рамках примера 2.
Г.8.4 Пример 3 демонстрирует учет требований различных заинтересованных сторон при проведении оценки риска. Рассматриваются две заинтересованные стороны (см. рисунок Г.10):
- 1-я заинтересованная сторона, включающая руководство компании и должностных лиц, отвечающих за безопасность в компании;
- 2-я заинтересованная сторона, куда относятся государственные органы, осуществляющие надзор и контроль за состоянием безопасности.
Рисунок Г.10 - Моделируемая система для примера 3
Для моделируемой системы "Надежность реализации процесса определения потребностей и требований всех заинтересованных сторон для системы "И" выполнение требований по защите информации в системе обеспечены", если в течение всего периода прогноза обеспечены "И" надежность выполнения действий процесса, "И" выполнение требований по защите информации для каждой из заинтересованных сторон.
Системные решения для 2-й заинтересованной стороны могут отличаться от системных решений для компании, поскольку государственные органы, осуществляющие надзор и контроль за состоянием безопасности, интересуют лишь состояние защищенности от угроз безопасности функционирования программного обеспечения оборудования и коммуникаций. Вместе с тем, для демонстрации работоспособности методики полагая, что оценки рисков для системных решений относительно обеих заинтересованных сторон приблизительно одинаковы и соответствуют результатам примера 2, т.е. R 1интегр. с учетом (T зад) = R 2интегр. с учетом (Т зад) = 0,00282. Интегральный риск нарушения реализации процесса определения потребностей и требований всех заинтересованных сторон для системы с учетом требований по защите информации может быть оценен по формуле (Г.1). В итоге этот оцениваемый интегральный риск составит около 0,0056. Это получено в результате расчетов: 1 - (1 - 0,00282) х (1 - 0,00282) 0,0056. С точки зрения системной инженерии результат прогнозирования интерпретируется так: для моделируемой системы надежная реализация процесса определения потребностей и требований всех заинтересованных сторон с выполнением требований по защите информации в системе в 177 раз более вероятна по сравнению с возникновением реальных нарушений (0,9944 против 0,0056).
Примечание - Другие примеры прогнозирования рисков и способы решения различных задач системного анализа приведены в ГОСТ Р ИСО 11231, ГОСТ Р 58494, ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59341, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59356.
Г.9 Материально-техническое обеспечение
В состав материально-технического обеспечения для прогнозирования рисков входят (в части, свойственной процессу определения потребностей и требований заинтересованной стороны для системы):
- результаты обследования, концепция создания, технический облик и/или ТЗ на разработку для создаваемой системы, конструкторская и эксплуатационная документация для рассматриваемой системы (используются при формировании необходимых исходных данных для моделирования);
- модель угроз безопасности информации (используется для формирования необходимых исходных данных и обоснования усовершенствований в результате решения задач системного анализа);
- записи из системного журнала учета предпосылок, инцидентов и аварий при функционировании системы, связанных с нарушением требований по защите информации (используются при формировании необходимых исходных данных для моделирования);
- планы ликвидации нарушений, инцидентов и аварий, связанных с нарушением требований по защите информации, и восстановления целостности системы (используются для формирования необходимых исходных данных и обоснования усовершенствований в результате решения задач системного анализа);
- обязанности должностных лиц и инструкции по защите информации при выполнении процесса (используются для формирования необходимых исходных данных и обоснования усовершенствований в результате решения задач системного анализа);
- программные комплексы, поддерживающие применение математических моделей и методов по настоящим методическим указаниям (используются для проведения расчетов и поддержки процедур системного анализа).
Г.10 Отчетность
По результатам прогнозирования рисков составляют протокол или отчет по ГОСТ 7.32 или по форме, устанавливаемой в организации.