Приложение В (справочное). Типовые модели и методы прогнозирования рисков. Национальный стандарт РФ ГОСТ Р 59345-2021 "Системная инженерия. Защита информации в процессе определения потребностей и требований заинтересованной стороны для системы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 30.04.2021 N 331-ст)

Приложение В
(справочное)

Типовые модели и методы прогнозирования рисков

В.1 Общие положения

В.1.1 Для прогнозирования рисков в процессе определения потребностей и требований заинтересованной стороны для системы могут применяться любые возможные методы, обеспечивающие приемлемое достижение поставленных целей.

Типовые методы и модели обеспечивают вероятностную оценку следующих показателей согласно 6.3:

- риска нарушения надежности реализации процесса определения потребностей и требований заинтересованной стороны для системы без учета требований по защите информации - см. В.3;

- риска нарушения требований по защите информации в процессе определения потребностей и требований заинтересованной стороны для системы - см. В.2;

- интегрального риска нарушения реализации процесса определения потребностей и требований заинтересованной стороны для системы с учетом требований по защите информации - см. В.4.

В.1.2 Для расчета типовых показателей рисков исследуемые сущности могут рассматриваться в виде системы простой или сложной структуры. Под моделируемой системой понимается система, для которой решение задач системного анализа осуществляется с использованием ее формализованной модели и, при необходимости, формализованных моделей учитываемых сущностей в условиях их применения. Модели и методы прогнозирования рисков в таких системах используют данные, получаемые по факту наступления событий, по выявленным предпосылкам к наступлению событий, и данные собираемой и накапливаемой статистики по процессам и возможным условиям их реализации, а также возможные гипотетичные данные.

Моделируемая система простой структуры представляет собой систему из единственного элемента или множества элементов, логически объединенных для анализа как один элемент. Анализ системы простой структуры осуществляют по принципу "черного ящика", когда известны входы и выходы, но неизвестны внутренние детали функционирования системы. Моделируемая система сложной структуры представляется как совокупность взаимодействующих элементов, каждый из которых рассматривается как "черный ящик", функционирующий в условиях неопределенности.

В.1.3 При анализе "черного ящика" для вероятностного прогнозирования рисков осуществляют формальное определение пространства элементарных состояний. Это пространство элементарных состояний формируют в результате статистического анализа произошедших событий с их привязкой к временной оси. Предполагается повторяемость событий. Чтобы провести системный анализ для ответа на условный вопрос "Что будет, если...", при формировании сценариев возможных нарушений статистика реальных событий по желанию исследователя процессов может быть дополнена гипотетичными событиями, характеризующими ожидаемые и/или прогнозируемые условия функционирования системы. Применительно к анализируемому сценарию осуществляется расчет вероятности пребывания элементов моделируемой системы в определенном элементарном состоянии в течение задаваемого периода прогноза. Для негативных последствий при оценке рисков этой расчетной вероятности сопоставляют возможный ущерб.

В.1.4 Для математической формализации используют следующие основные положения:

- к началу периода прогноза предполагается, что целостность моделируемой системы обеспечена, включая изначальное выполнение требований по защите информации в системе (в качестве моделируемой системы простой или сложной структуры могут быть рассмотрены выходные результаты с задействованными активами и действия процесса, к которым предъявлены определенные требования по защите информации);

- в условиях неопределенностей возникновение и разрастание различных угроз описывается в терминах случайных событий;

- для различных вариантов развития угроз средства, технологии и меры противодействия угрозам с формальной точки зрения представляют собой совокупность мер и/или защитных преград, предназначенных для воспрепятствования реализации угроз.

Обоснованное использование выбранных мер и защитных преград является предупреждающими контрмерами, нацеленными на обеспечение реализации рассматриваемого процесса.

В.1.5 Ниже в В.2.1 - В.2.2 приведены математические модели для прогнозирования рисков в системе, представляемой в виде "черного ящика". Модель В.2.1 для прогнозирования рисков при отсутствии какого-либо контроля (диагностики) целостности моделируемой системы является частным случаем модели В.2.2 при реализации технологии периодического системного контроля. Модель В.2.1 применима на практике лишь для оценки и сравнения случая полностью бесконтрольного функционирования рассматриваемой системы, например там, где контроль невозможен или нецелесообразен по функциональным, экономическим или временным соображениям, или когда ответственные лица пренебрегают функциями контроля или не реагируют должным образом на результаты системного анализа.

В.1.6 Для моделируемой системы сложной структуры применимы методы, изложенные в В.2.3, включая методы комбинации и повышения адекватности моделей.

В.1.7 При проведении оценок расчетных показателей на заданный период прогноза предполагают усредненное повторение количественных исходных данных, свойственных прошедшему аналогичному периоду для моделируемой системы. Для исследования запроектных сценариев при моделировании могут быть использованы гипотетичные исходные данные.

В.1.8 Изложение моделей в В.2 дано в контексте нарушения требований по защите информации, в В.3 приведены способы прогнозирования риска нарушения надежности реализации рассматриваемого процесса с использованием адаптированных моделей В.2. Методы прогнозирования интегрального риска нарушения реализации рассматриваемого процесса с учетом требований по защите информации представлены в В.4. При этом интегральный риск нарушения реализации процесса определения потребностей и требований заинтересованной стороны для системы с учетом требований по защите информации характеризуют сочетанием риска нарушения надежности реализации этого процесса без учета требований по защите информации и риска нарушения требований по защите информации в этом процессе.

В приложении Г изложены методические указания по прогнозированию рисков для рассматриваемого процесса.

В.1.9 При моделировании, направленном на прогнозирование риска нарушения требований по защите информации, целевое назначение моделируемой системы проявляется в выполнении требований по защите информации. Такая интерпретация подразумевает выполнение требований по защите информации не только применительно к защищаемым активам и действиям, с использованием которых создают и получают выходные результаты, но и к самим выходным результатам, которые применяют (или планируют к созданию, получению и/или применению). В итоге для каждого из элементов и моделируемой системы в целом в приложении к прогнозированию риска нарушения требований по защите информации пространство элементарных событий на временной оси образуют два основных состояния:

- "Выполнение требований по защите информации в системе обеспечено", если в течение всего периода прогноза обеспечено выполнение требований по защите информации;

- "Выполнение требований по защите информации в системе нарушено" - в противном случае.

В результате математического моделирования рассчитывают вероятность приемлемого выполнения требований по защите информации (т.е. пребывания в состоянии "Выполнение требований по защите информации в системе обеспечено") в течение всего периода прогноза и ее дополнение до 1, представляющее собой вероятность нарушения требований по защите информации (т.е. пребывания в состоянии "Выполнение требований по защите информации в системе нарушено"). В свою очередь вероятность нарушения требований по защите информации в течение всего периода прогноза в сопоставлении с возможным ущербом определяет риск нарушения требований по защите информации.

Примечание - Другие возможные подходы для оценки рисков описаны в ГОСТ IEC 61508-3, ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р 54124, ГОСТ Р 58494, ГОСТ Р 58771, ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59341, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59356, ГОСТ Р МЭК 61069-1 - ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-5 - ГОСТ Р МЭК 61508-7.

В.2 Математические модели для прогнозирования риска нарушения требований по защите информации

В.2.1 Математическая модель "черного ящика" при отсутствии какого-либо контроля

Моделируемая система представлена в виде "черного ящика", функционирование которого не контролируется. Восстановление возможностей по обеспечению выполнения требований по защите информации осуществляется по мере свершившегося нарушения. При функционировании в результате возникновения и развития угроз может произойти нарушение возможностей системы по обеспечению выполнения требований по защите информации. С формальной точки зрения модель позволяет оценить вероятностное значение риска нарушения требований по защите информации рассматриваемой системы в течение заданного периода прогноза. С точки зрения системной инженерии этот результат интерпретируют следующим образом: результатом применения модели является расчетная вероятность нарушения требований по защите информации в процессе определения потребностей и требований заинтересованной стороны в течение заданного периода прогноза при отсутствии какого-либо контроля.

Модель представляет собой частный случай модели В.2.2, если период между моментами контроля выполнения требований по защите информации в системе больше периода прогноза. Учитывая это, используют формулы (В.1)-(В.3) из В.2.2.

В.2.2 Математическая модель "черного ящика" при реализации технологии периодического системного контроля

В моделируемой системе, представленной в виде "черного ящика", осуществляется периодический контроль (диагностика) выполнения требований по защите информации.

Из-за случайного характера угроз, различных организационных, программно-технических и технологических причин, различного уровня квалификации специалистов, привлекаемых для контроля, неэффективных мер поддержания или восстановления приемлемых условий функционирования системы и в силу иных причин выполнение требований по защите информации в системе может быть нарушено. Такое нарушение способно повлечь за собой негативные последствия с недопустимым ущербом для системы.

В рамках модели развитие событий в системе считается не нарушающим требований по защите информации в течение заданного периода прогноза, если к началу этого периода выполнение требований по защите информации в системе обеспечено и в течение всего периода либо источники угроз не активизируются, либо после активизации происходит их своевременное выявление и принятие адекватных мер противодействия угрозам. В целях моделирования предполагают, что существуют не только средства контроля (диагностики) выполнения требований по защите информации, но и способы поддержания и/или восстановления возможностей по обеспечению их выполнения при выявлении источников (предпосылок к потенциальному нарушению) или следов активизации угроз (т.е. фактов состоявшегося нарушения). Восстановление целостности моделируемой системы осуществляется лишь в период системного контроля. Соответственно, чем чаще осуществляют системный контроль с должной реакцией на выявляемые нарушения или предпосылки к нарушениям, тем выше гарантии ненарушения требований по защите информации в системе из-за возможных угроз за период прогноза (т.к. нарушения устраняют за счет предупреждающих действий по результатам очередной системной диагностики состояния моделируемой системы).

За основу анализа принят следующий последовательный алгоритм возникновения и развития потенциальной угрозы: сначала возникает источник угрозы, после чего он начинает активизироваться, представляя угрозу для нарушения требований по защите информации. По прошествии периода активизации, свойственного этому источнику угрозы (в общем случае этот период активизации представляет собой случайную величину), наступает виртуальный момент нарушения, интерпретируемый как момент нарушения требований по защите информации с возможными негативными последствиями.

Примечание - Если активизация мгновенная, это считают эквивалентным внезапному отказу в приложении к надежности систем. Возможности системы защиты информации как раз и направлены на использование времени постепенной активизации угроз для своевременного выявления, распознавания и противодействия этим угрозам.

Выполнение требований по защите информации в моделируемой системе считается нарушенным лишь после того, как активизация источника угрозы происходит за период прогноза (т.е. возникает элементарное состояние "Выполнение требований по защите информации в системе нарушено"). При отсутствии нарушений результатом применения очередной системной диагностики является подтверждение возможностей по обеспечению выполнения требований по защите информации, а при наличии нарушений перед диагностикой результатом применения очередной системной диагностики является полное восстановление до приемлемого уровня нарушенных возможностей по обеспечению выполнения требований по защите информации.

С формальной точки зрения модель позволяет оценить вероятностное значение риска нарушения требований по защите информации в моделируемой системе в течение заданного периода прогноза. С точки зрения системной инженерии этот результат интерпретируют следующим образом: результатом применения модели является расчетная вероятность нарушения требований по защите информации в процессе определения потребностей и требований заинтересованной стороны для системы в течение заданного периода прогноза при реализации технологии периодического системного контроля (диагностики). При этом учитываются предпринимаемые меры периодической диагностики и восстановления возможностей по обеспечению выполнения требований по защите информации.

Для расчета вероятностных показателей применительно к моделируемой системе используют исходные данные, формально определяемые в общем случае следующим образом:

- частота возникновения источников угроз в процессе определения потребностей и требований заинтересованной стороны для системы;

- среднее время развития угроз с момента возникновения источников угроз до нарушения нормальных условий (например, до нарушения установленных требований по защите информации в системе или до инцидента);

Т _меж - среднее время между окончанием предыдущей и началом очередной диагностики возможностей по обеспечению выполнения требований по защите информации в системе;

Т _диаг - среднее время системной диагностики возможностей по обеспечению выполнения требований по защите информации (т.е. диагностики целостности моделируемой системы);

Т _восст - среднее время восстановления нарушенных возможностей по обеспечению выполнения требований по защите информации в моделируемой системе;

Т _зад - задаваемый период прогноза.

Примечание - Примеры переопределения этих исходных данных (согласно способу 1 из В.2.3), конкретизированные в приложении к выходным результатам и действиям процесса, приведены в Г.4.

Оценку вероятности нарушения требований по защите информации в системе R _наруш в течение периода прогноза Т _зад вычисляют по формуле

,

(В.1)

где - вероятность отсутствия нарушений по защите информации в системе в течение периода T _зад.

В настоящем подразделе определены расчетные выражения для случая, когда значения средних времен системной диагностики T _диаг и восстановления нарушенных возможностей по обеспечению выполнения требований по защите информации T _восст равны, т.е. для этого случая Р _возд (, , Т _меж, Т _диаг, Т _восст, Т _зад) = Р _{возд (1)} (, , Т _меж, Т _диаг, Т _зад). Расчет для более общего случая, когда значения Т _диаг и Т _восст различны, осуществляется с использованием 4-го способа повышения адекватности моделей (см. В.2.3).

Возможны два варианта:

- вариант 1 - заданный оцениваемый период прогноза Т _зад меньше периода между окончаниями соседних контролей (Т _зад < Т _меж + Т _диаг);

- вариант 2 - заданный оцениваемый период прогноза Т _зад больше или равен периоду между окончаниями соседних контролей (Т _зад  Т _меж + Т _диаг), т.е. за это время заведомо произойдет один или более контролей системы с восстановлением нарушенного выполнения требований по защите информации (если нарушения имели место к началу контроля).

Для варианта 1 при условии независимости исходных характеристик вероятность Р _{возд (1)} (, , Т _меж, Т _диаг, Т _зад) отсутствия нарушений требований по защите информации в моделируемой системе в течение периода прогноза Т _зад вычисляют по формуле

.

(В.2)

Примечание - Формулу (В.2) используют для оценки риска отсутствия нарушений требований по защите информации в моделируемой системе при отсутствии какого-либо контроля в предположении, что к началу периода прогноза целостность моделируемой системы обеспечена, т.е. для расчетов по математической модели "черного ящика" при отсутствии какого-либо контроля (см. В.2.1).

Для варианта 2 при условии независимости исходных характеристик вероятность отсутствия нарушений требований по защите информации в системе в течение прогноза Т _зад вычисляют по формуле

,

(В.3)

где - вероятность отсутствия нарушений требований по защите информации в системе в течение всех периодов между системными контролями, целиком вошедшими в границы времени T _зад, вычисляемая по формуле

,

(В.4)

здесь N - число периодов между контролями, которые целиком вошли в границы времени T _зад, с округлением до целого числа, N = [T _зад/(T _меж + T _диаг)] - целая часть;

- вероятность отсутствия нарушений по защите информации после последнего системного контроля, вычисляемая по формуле (В.2), т.е.

,

где - остаток времени в общем заданном периоде Т _зад по завершении N полных периодов, вычисляемый по формуле

.

(В.5)

Формула (В.3) логически интерпретируется так: для обеспечения выполнения требований по защите информации за весь период прогноза требуется обеспечение выполнения требований по защите информации на каждом из участков - будь это середина или конец задаваемого периода прогноза Т _зад.

Примечание - Для расчетов Р _{возд (2)} возможны иные вероятностные меры - например, когда N вычисляется как действительное число, а не как целая часть.

В итоге вероятность отсутствия нарушений требований по защите информации в течение периода прогноза Т _зад определяется аналитическими выражениями (В.2)-(В.5) в зависимости от варианта соотношений между исходными данными. Это позволяет вычислить по формуле (В.1) вероятность нарушения требований по защите информации в системе R _наруш (, , Т _меж, Т _диаг, Т _зад) в течение заданного периода прогноза Т _зад с учетом предпринимаемых технологических мер периодического системного контроля и восстановления возможностей по обеспечению выполнения требований по защите информации в системе. С учетом возможного ущерба эта вероятность характеризует расчетный риск нарушения требований по защите информации в процессе определения потребностей и требований заинтересованной стороны в течение заданного периода прогноза при реализации технологии периодического системного контроля.

Примечание - В частном случае, когда период между контролями больше периода прогноза Т _зад < Т _меж, модель В.2.2 превращается в модель В.2.1 для прогноза риска нарушения требований по защите информации в системе при отсутствии какого-либо контроля.

В.2.3 Расчет риска для систем сложной структуры, комбинация и повышение адекватности моделей

Описанные в В.2.1 и В.2.2 модели применимы для проведения оценок, когда система представляется в виде "черного ящика" и когда значения времен системной диагностики и восстановления нарушенной целостности совпадают. В развитие моделей В.2.1 и В.2.2 в настоящем подразделе приведены способы, позволяющие создание моделей для систем сложной структуры и более общего случая - когда значения времен системной диагностики и восстановления нарушенных возможностей системы различны.

Расчет основан на применении следующих инженерных способов.

1-й способ позволяет использовать одни и те же модели для расчетов различных показателей по области их приложения. Поскольку модели математические, то путем смыслового переопределения исходных данных возможно использование одних и тех же моделей для оценки показателей, различающихся по смыслу, но идентичных по методу их расчета.

2-й способ позволяет переходить от оценок систем или отдельных элементов, представляемых в виде "черного ящика", к оценкам систем сколь угодно сложной параллельно-последовательной логической структуры. В формируемой структуре, исходя из реализуемых технологий для системы, состоящей из двух элементов, взаимовлияющих на сохранение выполнения требований по защите информации в системе, указывается характер их логического соединения. Если два элемента соединяются последовательно, что означает логическое соединение "И" (см. рисунок В.1), то в контексте защиты информации это интерпретируется так: "система обеспечивает выполнение требований по защите информации в течение времени t, если "И" 1-й элемент, "И" 2-й элемент сохраняют свои возможности по обеспечению выполнения требований по защите информации в течение этого времени". Если два элемента соединяются параллельно, что означает логическое соединение "ИЛИ" (см. рисунок В.2), это интерпретируется так: "система сохраняет возможности по обеспечению выполнения требований по защите информации в течение времени t, если "ИЛИ" 1-й элемент, "ИЛИ" 2-й элемент сохраняют свои возможности по обеспечению выполнения требований по защите информации в течение этого времени".

Рисунок В.1 - Система из последовательно соединенных элементов ("И")

Рисунок В.2 - Система из параллельно соединенных элементов ("ИЛИ")

Для комплексной оценки в приложении к сложным системам используются рассчитанные на моделях вероятности нарушения требований по защите информации каждого из составных элементов за заданное время t. Тогда для простейшей структуры из двух независимых элементов вероятность нарушения требований по защите информации за время t вычисляют по формулам:

- для моделируемой системы из двух последовательно соединенных элементов

;

(В.6)

- для моделируемой системы из двух параллельно соединенных элементов

,

(В.7)

где - вероятность нарушения требований по защите информации m-го элемента за заданное время t, m = 1,2.

Примечание - Если для нарушения требований по защите информации нарушитель вынужден преодолевать несколько преград, это моделируется с использованием параллельно соединяемых элементов. Для двух преград логическое соединение "ИЛИ" (см. рисунок В.3) интерпретируется так: система защиты из двух преград сохраняет свои возможности по обеспечению выполнения требований по защите информации в течение времени t, если 1-я преграда "ИЛИ" 2-я преграда сохраняют свои возможности по обеспечению выполнения требований по защите информации в течение этого времени, не позволяя нарушителю достичь своей цели вопреки преградам".

Рекурсивное применение соотношений (В.6), (В.7) снизу вверх дает соответствующие вероятностные оценки для сколь угодно сложной логической структуры с параллельно-последовательным логическим соединением элементов.

Примечание - Способ рекурсивного применения процессов рекомендован ГОСТ Р 57102. Рекурсивное применение снизу-вверх означает первичное применение моделей В.2.1 или В.2.2 сначала для отдельных системных элементов, представляемых в виде "черного ящика" в принятой сложной логической структуре системы, затем, учитывая характер логического объединения ("И" или "ИЛИ") в принятой структуре, по формулам (В.6) или (В.7) проводится расчет вероятности нарушения требований по защите информации за время t для объединяемых подсистем. И так - до объединения на уровне системы в целом. При этом сохраняется возможность аналитического прослеживания зависимости результатов расчетов по формулам (В.6) или (В.7) от исходных параметров моделей В.2.1 и В.2.2.

3-й способ в развитие 2-го способа позволяет использовать результаты моделирования для формирования заранее неизвестных (или сложно измеряемых) исходных данных в интересах последующего моделирования. На выходе моделирования по моделям В.2.1 и В.2.2 и применения 2-го способа получается вероятность нарушения требований по защите информации в течение заданного периода времени t. Если для каждого элемента просчитать эту вероятность для всех точек t от нуля до бесконечности, получится траектория функции распределения времени нарушения требований по защите информации по каждому из элементов в зависимости от реализуемых мер контроля и восстановления целостности, т.е. то, что используется в формулах (В.6) и (В.7). Полученный вид этой функции распределения, построенной по точкам (например, с использованием программных комплексов), позволяет традиционными методами математической статистики определить такой показатель, как среднее время до нарушения требований по защите информации каждого из элементов и системы в целом. С точки зрения системной инженерии это среднее время интерпретируют как виртуальную среднюю наработку на нарушение требований по защите информации в процессе определения потребностей и требований заинтересованной стороны при прогнозировании риска по моделям В.2.1 и В.2.2 для системы простой и сложной структуры. Обратная величина этого среднего времени - частота нарушений требований по защите информации в условиях определенных угроз и применяемых методов контроля и восстановления возможностей по обеспечению выполнения требований по защите информации для составных элементов. Именно это - необходимые исходные данные для последующего применения моделей В.2.1 и В.2.2 или аналогичных для расчетов по моделям "черного ящика". Этот способ используют, когда изначальной статистики для определения частоты нет или ее недостаточно.

4-й способ в дополнение к возможностям 2-го и 3-го способов повышает адекватность моделирования за счет развития моделей В.2.1 и В.2.2 в части учета времени на восстановление после нарушения требований по защите информации. В моделях В.2.1 и В.2.2 время системного контроля по составному элементу одинаково и равно в среднем Т _диаг. Вместе с тем если по результатам контроля требуются дополнительные меры для восстановления нарушенных возможностей по обеспечению выполнения требований по защите информации в течение времени Т _восст, то для расчетов усредненное время контроля Т _диаг должно быть увеличено (если Т _диаг < Т _восст) или уменьшено (если Т _диаг > Т _восст). При этом усредненное время контроля вычисляют итеративно с заданной точностью:

- 1-я итерация определяет  = Т _диаг, задаваемое на входе модели. Для 1-й итерации при обнаружении нарушений полагается мгновенное восстановление нарушаемых возможностей по обеспечению выполнения процесса;

- 2-я итерация осуществляется после расчета риска R ⁽¹⁾ по исходным данным после 1-й итерации

,

(В.8)

где - риск нарушения надежности реализации процесса с исходным значением , вычисляемый с использованием модели В.2.3. Здесь, поскольку на 1-й итерации не учитывает времени восстановления, риск R ⁽¹⁾, рассчитываемый с использованием модели В.2.3, ожидается оптимистичным, т.е. меньше реального;

- ... r-я итерация осуществляется после расчета риска R ^(r - 1) по исходным данным после (r - 1)-й итерации

,

(В.9)

где вычисляют по моделям В.2.1, В.2.2, но в качестве исходного уже выступает , рассчитанное на предыдущем шаге итерации. Здесь в большей степени учитывается время восстановления с частотой, стремящейся к реальной. Соответственно также приближается к реальному.

С увеличением r указанная последовательность сходится, и для дальнейших расчетов используют значение, отличающееся от точного предела на величину, пренебрежимо малую по сравнению с задаваемой изначально точностью итерации :

.

Таким образом, 4-й способ позволяет вместо одного исходного данного (среднего времени системной диагностики, включая восстановление нарушенной целостности моделируемой системы) учитывать два, которые могут быть различны по своему значению:

T _диаг - среднее время системной диагностики целостности моделируемой системы;

Т _восст - среднее время восстановления нарушенной целостности моделируемой системы.

При этом для расчетов применяются одни и те же модели В.2.1 и В.2.2. В результате обеспечена возможность расчета показателей Р _возд (, , Т _меж, Т _диаг, T _восст, Т _зад) и R _наруш (, , Т _меж, Т _диаг, T _восст, Т _зад) по формулам (В.1)-(В.7).

Примечание - Способ итеративного применения процессов рекомендован ГОСТ Р 57102.

Применение инженерных способов 1-4 обеспечивает более точный прогноз вероятности нарушения требований по защите информации для системы сложной структуры. Этой расчетной вероятности нарушения требований по защите информации в системе при оценке рисков сопоставляют возможный ущерб.

В.3 Прогнозирование рисков нарушения надежности реализации процесса без учета требований по защите информации

В.3.1 Общие положения

В.3.1.1 Модели В.3 ориентированы на контекст обеспечения надежности реализации процесса и использование математической формализации В.2 с учетом того, что надежность реализации процесса определения потребностей и требований заинтересованной стороны представляет собой свойство процесса сохранять во времени в установленных пределах значения показателей, характеризующих способность выполнить процесс в заданных условиях реализации.

В.3.1.2 В моделях для анализа надежности под системой понимают отдельное действие или множество действий процесса, выполняемых с использованием определенных защищаемых активов. Для каждого из анализируемых действий возможно либо отсутствие какого-либо контроля, либо периодический системный контроль хода выполнения этого действия.

В.3.1.3 В терминах системы, отождествляемой с выполняемыми действиями, под целостностью моделируемой системы понимается такое ее состояние, которое отвечает целевому назначению модели системы в течение задаваемого периода прогноза. С точки зрения вероятностного прогнозирования риска нарушения надежности реализации процесса определения потребностей и требований заинтересованной стороны пространство элементарных событий на временной оси образуют следующие основные состояния:

- "Целостность элемента моделируемой системы сохранена", если в течение всего периода прогноза обеспечена надежная реализация анализируемого действия процесса;

- "Целостность элемента моделируемой системы нарушена" - в противном случае.

Надежность реализации процесса определения потребностей и требований заинтересованной стороны для системы в течение задаваемого периода прогноза обеспечена, если в течение этого периода для всех элементов моделируемой системы (т.е. для всех последовательно осуществляемых действий, логически объединяемых условием "И") обеспечена их целостность. Это означает, что в течение периода прогноза для всех последовательно осуществляемых недублируемых действий будет наблюдаться элементарное состояние "Целостность элемента моделируемой системы сохранена".

В.3.2 Математическая модель для прогнозирования риска при отсутствии какого-либо контроля

Моделируемая система представлена в виде "черного ящика" с полным повторением формализации по модели В.2.1, отличие состоит в логическом переопределении исходных данных для моделирования. Это означает применение способа 1 из В.2.3. С формальной точки зрения модель позволяет оценить вероятностное значение риска нарушения целостности моделируемой системы в течение заданного периода прогноза. С точки зрения системной инженерии этот результат интерпретируют следующим образом: результатом применения модели является расчетный риск нарушения надежности реализации процесса в течение заданного периода прогноза при отсутствии какого-либо контроля. Также применимы методы повышения адекватности В.2.3.

Модель применяют для случая, когда в системе отсутствует какой-либо контроль (диагностика) целостности реализуемых действий процесса. Модель представляет собой частный случай моделей В.2.2 и В.3.3, если период между моментами контроля целостности системы больше периода прогноза.

В.3.3 Математическая модель для прогнозирования риска при реализации технологии периодического системного контроля

Моделируемая система представлена в виде "черного ящика" с полным повторением математической формализации по модели В.2.2, отличие состоит в логическом переопределении исходных данных для моделирования согласно способу 1 из В.2.3. С формальной точки зрения модель позволяет оценить вероятностное значение риска нарушения целостности рассматриваемой системы в течение заданного периода прогноза. С точки зрения системной инженерии этот результат интерпретируют следующим образом: результатом применения модели является расчетный риск нарушения надежности реализации процесса определения потребностей и требований заинтересованной стороны (без учета требований по защите информации) в течение заданного периода прогноза при реализации технологии периодического системного контроля. Применимы методы повышения адекватности из В.2.3.

Для расчета риска нарушения надежности реализации процесса определения потребностей и требований заинтересованной стороны применительно к рассматриваемой системе исходные данные формально переопределяют применительно к выполняемым действиям процесса и защищаемым активам:

- частота возникновения источников угроз с точки зрения нарушения надежности реализации процесса;

- среднее время развития угроз (активизации источников угроз) с момента их возникновения до нарушения целостности (выполняемых действий процесса или защищаемых активов, используемых при выполнении действия) с точки зрения нарушения надежности реализации процесса;

Т _меж - время между окончанием предыдущего и началом очередного контроля целостности системы;

Т _диаг - длительность системного контроля или диагностики целостности системы;

Т _восст - среднее время восстановления нарушаемой целостности моделируемой системы;

Т _зад - задаваемая длительность периода прогноза.

Примечание - Несмотря на фактическую повторяемость названий исходных данных, их значения при моделировании по модели В.3 будут отличны от значений при моделировании по модели В.2, поскольку различны их природа, исходные данные, интерпретация и области приложений. Соответственно разными ожидаются и расчетные риски по этим моделям.

В итоге вероятность отсутствия нарушений целостности моделируемой системы в течение периода прогноза Т _зад формально определяется теми же аналитическими выражениями (В.1)-(В.9), что и в моделях В.2.2, В.2.3, в зависимости от идентичных используемых исходных данных.

Сопоставление с возможным ущербом позволяет рассматривать формулу (В.1) как риск нарушения надежности реализации процесса определения потребностей и требований заинтересованной стороны системы R _наруш (, , Т _меж, Т _диаг, Т _восст, Т _зад), в течение заданного периода прогноза Т _зад с учетом предпринимаемых технологических мер периодического системного контроля и восстановления целостности. Эта расчетная вероятность интерпретируется как риск нарушения целостности системы в течение заданного периода прогноза. При этом требования по защите информации не учтены.

В частном случае, когда период между диагностиками больше периода прогноза Т _зад < Т _меж, модель В.3.3 превращается в модель В.3.2 для прогноза риска нарушения целостности моделируемой системы при отсутствии какого-либо контроля.

Примечания

1 Практическая адаптация и реализация моделей согласно положениям В.1 - В.3 в приложении к системам дистанционного контроля промышленной безопасности в опасном производстве приведены в ГОСТ Р 58494.

2 Аналогичные модели для прогнозирования риска нарушения надежности реализации различных процессов более детально описаны в ГОСТ Р 59331-2021 (В.2 приложения В), ГОСТ Р 59333-2021 (В.2 приложения В), ГОСТ Р 59338-2021 (В.2 приложения В), ГОСТ Р 59347-2021 (В.2 приложения В).

В.4 Прогнозирование интегрального риска нарушения реализации процесса с учетом требований по защите информации

Интегральную вероятность нарушения реализации процесса определения потребностей и требований заинтересованной стороны для системы с учетом требований по защите информации R _{1интегр.уч} (Т _зад) для различных прогнозных периодов определяют по формуле

.

(В.10)

Здесь - вероятность нарушения надежности реализации процесса определения потребностей и требований заинтересованной стороны в течение периода прогноза T _{зад.над} без учета требований по защите информации, рассчитывается по моделям В.3 в зависимости от целей системного анализа;

- вероятность нарушения требований по защите информации в системе для процесса определения потребностей и требований заинтересованной стороны в течение периода прогноза Т _{зад.треб}, рассчитывается по формулам (В.1)-(В.9) в зависимости от целей системного анализа;

- задаваемая длительность периода прогноза для анализа надежности реализации процесса определения потребностей и требований заинтересованной стороны;

- задаваемая длительность периода прогноза для анализа соблюдения требований по защите информации для процесса определения потребностей и требований заинтересованной стороны (на практике требования к срокам соблюдения требований по защите информации могут существенно превышать длительность непосредственно реализации процесса ;

- множество задаваемых периодов прогноза, характеризуемое двумя периодами прогноза: длительностью непосредственно реализации процесса определения потребностей и требований заинтересованной стороны и длительностью соблюдения требований по защите информации , т.е. T _зад = (; ).

Расчет и ) вычисляют по формулам (В.1)-(В.9).

Расчет интегрального риска вычисляют по формуле (В.10).

Примечание - Использование "1" в нижних индексах показателей , , подчеркивает, что расчеты относятся к одной заинтересованной стороне. Если системные решения для различных заинтересованных сторон существенно разнятся, то, учитывая различие в исходных данных, возможно проведение расчетов для "j"-й заинтересованной стороны, j = 1, ..., J, J > 1. В этом случае вместо "1" используется индекс "j" - см. Г.5.