Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 59339-2021 "Системная инженерия. Защита информации в процессе управления рисками для системы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 30 апреля 2021 г. N 330-ст)
- Приложение Г (справочное). Методические указания по прогнозированию рисков
Приложение Г (справочное). Методические указания по прогнозированию рисков
Приложение Г
(справочное)
Методические указания по прогнозированию рисков
Г.1 Общие положения
Настоящие методические указания определяют типовые действия в процессе управления рисками для системы. При этом риски характеризуют прогнозными вероятностными значениями в сопоставлении с возможными оценками ущербов.
Расчетные значения рисков на заданный период прогноза используют для решения задач системного анализа при выполнении работ системной инженерии. Синергетические эффекты системной инженерии достигаются за счет количественно обоснованного целенаправленного уменьшения различных рисков или удержания рисков в допустимых пределах при реализации каждого из процессов соглашения, организационного обеспечения проекта, технического управления и технических процессов на всех этапах жизненного цикла систем - см. ГОСТ Р 59329, ГОСТ Р 59330, ГОСТ Р 59331, ГОСТ Р 59332, ГОСТ Р 59333, ГОСТ Р 59334, ГОСТ Р 59335, ГОСТ Р 59336, ГОСТ Р 59337, ГОСТ Р 59338, ГОСТ Р 59340, ГОСТ Р 59341, ГОСТ Р 59342, ГОСТ Р 59343, ГОСТ Р 59344, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59348, ГОСТ Р 59349, ГОСТ Р 59350, ГОСТ Р 59351, ГОСТ Р 59352, ГОСТ Р 59353, ГОСТ Р 59354, ГОСТ Р 59355, ГОСТ Р 59356, ГОСТ Р 59357.
Примечание - Дополнительно могут быть востребованы методики по оценке ущербов, учитывающие специфику системы (см., например, ГОСТ Р 22.10.01, ГОСТ Р 54145).
Г.2 Анализируемые объекты для прогнозирования рисков
Применительно к конкретной системе для прогнозирования рисков нарушения требований по защите информации в процессе управления рисками для системы согласно 5.2, 5.3, 6.1 настоящего стандарта определению подлежат:
- состав заинтересованных сторон, имеющих интерес к рассматриваемой системе;
- состав выходных результатов и выполняемых действий процесса управления рисками для системы и используемых при этом активов;
- перечень потенциальных угроз и возможных сценариев возникновения и развития угроз для выходных результатов и выполняемых действий процесса управления рисками для системы;
- иные объекты, используемые в прогнозировании рисков при необходимости оценки того, насколько организация процесса управления рисками способна обеспечить возможности по его выполнению в заданной среде применения системы.
Г.3 Цель прогнозирования рисков
Основной целью прогнозирования рисков является установление степени вероятного нарушения требований по защите информации и/или нарушения надежности реализации исследуемых системных процессов (процессов соглашения, процессов организационного обеспечения проекта, процессов технического управления, технических процессов) с учетом требований по защите информации за заданный период прогноза. Прогнозирование рисков осуществляют в интересах решения определенных задач системного анализа при планировании и реализации системных процессов, обосновании эффективных предупреждающих мер по снижению рисков или их удержанию в допустимых пределах. Конкретные практические цели прогнозирования рисков устанавливают заказчик системного анализа и/или аналитик моделируемой системы при выполнении работ системной инженерии.
Г.4 Используемые методы и модели
Для выполнения необходимых работ системной инженерии, связанных с прогнозированием рисков, используют методы и модели (см. приложение В), устанавливают ограничения на допустимые риски (см. приложение Д), разрабатывают необходимые методики системного анализа (см. приложение Е).
Г.5 Порядок прогнозирования рисков
Г.5.1 Для прогнозирования рисков осуществляют следующие шаги.
Шаг 1. Определяют моделируемые системы и устанавливают анализируемые объекты для прогнозирования рисков - действия осуществляют согласно Г.1.
Шаг 2. Устанавливают конкретные цели прогнозирования - действия осуществляют согласно Г.2.
Шаг 3. Формируют перечень возможных угроз. Принимают решение о представлении каждой из моделируемых систем в виде "черного ящика" или в виде сложной структуры, декомпозируемой до составных элементов. Формируют пространство элементарных состояний для каждого элемента и каждой моделируемой системы в целом - все действия осуществляют согласно Г.3.
Шаг 4. Согласно Г.4 выбирают расчетные показатели и подходящие математические модели и методы, приведенные в приложении В. Определяют допустимые риски - см. приложение Д. Разрабатывают необходимые методики системного анализа - см. приложение Е. Применительно к моделируемым системам формируют исходные данные, необходимые для проведения расчетов. Осуществляют расчет выбранных показателей по выбранным и разработанным методам, моделям, методикам.
Г.5.2 Получаемые в результате моделирования значения рисков используют для решения задач системного анализа (см. раздел 7 и приложение Е).
Г.6 Обработка и использование результатов прогнозирования для управления рисками
Результаты прогнозирования рисков должны быть удобны для обработки заказчиком функционирования системы и/или аналитиком моделируемой системы. Результаты представляются в виде гистограмм, графиков, таблиц и/или в ином виде, позволяющем анализировать зависимости рисков от изменения значений исходных данных при решении задач системного анализа (см. раздел 7 и приложение Е). Результаты расчетов подлежат использованию для управления рисками при выполнении работ системной инженерии.
Возможные способы уменьшения рисков, которые могут быть количественно обоснованы с применением рекомендуемых методов и моделей, представляют собой механизмы непосредственно управления рисками при реализации каждого из системных процессов (процессов соглашения, процессов организационного обеспечения проекта, процессов технического управления, технических процессов) - см. таблицу Г.1.
Таблица Г.1 - Возможные способы уменьшения рисков в результате управления
|
Системный процесс |
Вероятностные показатели рисков |
Возможные способы уменьшения рисков, используемые в результате применения методов и моделей по таблице В.1 |
|
Процессы приобретения и поставки продукции и услуг для системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса приобретения или поставки продукции и услуг для системы; соблюдение сроков поставки продукции и/или услуг; соблюдение уровня допустимого брака в поставляемых продукции и/или услугах |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе приобретения и поставки продукции и услуг для системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе приобретения и поставки продукции и услуг для системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процессов приобретения и поставки продукции и услуг для системы и защите информации в этих процессах, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления моделью жизненного цикла системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса управления моделью жизненного цикла системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления моделью жизненного цикла системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления моделью жизненного цикла системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления моделью жизненного цикла системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления инфраструктурой системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Снижение частоты возникновения источников угроз нарушения надежности реализации процесса управления инфраструктурой системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления инфраструктурой системы |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления инфраструктурой системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления инфраструктурой системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления инфраструктурой системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления портфелем проектов |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса управления портфелем проектов; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления портфелем проектов (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления портфелем проектов |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления портфелем проектов и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления человеческими ресурсами системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Снижение частоты возникновения источников угроз нарушения надежности реализации процесса управления человеческими ресурсами системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления человеческими ресурсами системы |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления человеческими ресурсами системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления человеческими ресурсами системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления человеческими ресурсами системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления качеством системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса управления качеством системы; соблюдение сроков поставки продукции и/или услуг; соблюдение уровня допустимого брака в поставляемых продукции и/или услугах |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления качеством системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления качеством системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления качеством системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления знаниями о системе |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса приобретения знаний; соблюдение сроков поставки приобретаемых знаний; соблюдение уровня допустимого брака в приобретаемых знаниях; выполнение необходимых условий с завершением всех предпринимаемых действий процесса создания полезных знаний; соблюдение сроков создания полезных знаний; соблюдение уровня допустимого брака в создаваемых знаниях |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления знаниями о системе (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления знаниями о системе |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления знаниями о системе и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс планирования проекта |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса планирования проекта; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе планирования проекта (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе планирования проекта |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса планирования проекта и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс оценки и контроля проекта |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса оценки и контроля проекта; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе оценки и контроля проекта (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе оценки и контроля проекта |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса оценки и контроля проекта и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления решениями |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Снижение частоты возникновения источников угроз нарушения надежности реализации процесса управления решениями (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления решениями |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления решениями (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления решениями |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления решениями и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления рисками для системы |
По настоящему стандарту |
По всем системным процессам - способы уменьшения рисков согласно приведенным в настоящей таблице |
|
Процесс управления конфигурацией системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса управления конфигурацией системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления конфигурацией системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления конфигурацией системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления конфигурацией системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления информацией системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Обеспечение необходимой надежности представления используемой информации; обеспечение необходимой своевременности представления используемой информации; обеспечение необходимой полноты оперативного отражения в системе новых объектов и явлений; обеспечение необходимой актуальности обновляемой информации; обеспечение необходимой безошибочности информации после контроля; обеспечение необходимой корректности обработки информации; обеспечение необходимой безошибочности действий должностных лиц |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления информацией системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления информацией системы; сохранение целостности системы в условиях опасных программно-технических воздействий; обеспечение защищенности активов от несанкционированного доступа; сохранение конфиденциальности используемой информации |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления информацией системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс измерений системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса измерений системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе измерений системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе измерений системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса измерений системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс гарантии качества для системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса гарантии качества для системы; повышение уверенности в ожидаемой готовности системы к выполнению требований заинтересованных сторон по качеству, срокам и затратам |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе гарантии качества для системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе гарантии качества для системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса гарантии качества для системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс анализа бизнеса или назначения системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса анализа бизнеса или назначения системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе анализа бизнеса или назначения системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе анализа бизнеса или назначения системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса анализа бизнеса или назначения системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс определения потребностей и требований заинтересованной стороны для системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса анализа бизнеса или назначения системы; повышение готовности системы к выполнению требований заинтересованных сторон по качеству, срокам и затратам |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе определения потребностей и требований заинтересованной стороны для системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе определения потребностей и требований заинтересованной стороны для системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса определения потребностей и требований заинтересованной стороны для системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс определения системных требований |
Частные показатели риска реализации угроз безопасности информации, направленных на нарушение функционирования системы, в условиях отсутствия мер защиты, предлагаемых к применению в ходе формирования системных требований, и в условиях их применения (показатели остаточного риска нарушения функционирования системы) |
Защита системы от вредоносного программного обеспечения; межсетевое экранирование; использование системы обнаружения вторжений и пресечения попыток проникновения в операционную среду; применение мер разграничения доступа на территорию, к оборудованию и к информации в системе, в том числе мер идентификации и аутентификации пользователей и процессов; применение средств и комплексов доверенной загрузки; применение мер контроля и анализа защищенности программных и программно-аппаратных модулей системы от угроз изменения настроек и нарушения функционирования; мониторинг, регистрация и учет действий пользователей и выполнения процессов в системе; пресечение и блокирование неправомерных действий пользователей, в том числе направленных на несанкционированную инсталляцию программного обеспечения; применение мер резервирования и восстановления программного и аппаратного обеспечения системы |
|
Частные показатели риска реализации угроз утечки конфиденциальной информации в условиях отсутствия мер защиты, предлагаемых к применению в ходе формирования системных требований, и в условиях их применения (показатели остаточного риска нарушения требований по защите конфиденциальной информации в системе или о системе) |
Защита системы от вредоносного программного обеспечения; межсетевое экранирование; использование системы обнаружения вторжений и пресечения попыток проникновения в операционную среду; применение мер разграничения доступа на территорию, к оборудованию и к информации в системе, в том числе мер идентификации и аутентификации пользователей и процессов; применение средств и комплексов доверенной загрузки; применение мер контроля и анализа защищенности программных и программно-аппаратных модулей системы от угроз возможной утечки информации; мониторинг, регистрация и учет действий пользователей и выполнения процессов в системе; пресечение и блокирование неправомерных действий пользователей, направленных на копирование информации и/или несанкционированную ее передачу во внешние сети; учет, регистрация и применение технических мер защиты отчуждаемых носителей информации; применение криптографической защиты трафика как внутри системы, так и при взаимодействии ее с другими системами |
|
|
Интегральные показатели риска реализации угроз, направленных на нарушение функционирования системы в течение ее жизненного цикла, в условиях отсутствия и применения мер защиты, предлагаемых в ходе формирования системных требований |
Все способы уменьшения рисков реализации угроз безопасности информации, оцениваемых по частным показателям для данного процесса, а также: мониторинг публикаций по возможным угрозам и инцидентам безопасности информации, новым уязвимостями системного и прикладного программного обеспечения и средствам их эксплуатации в интересах учета при формировании системных требований в части защиты информации на всех стадиях жизненного цикла системы; согласование подлежащих применению на разных стадиях жизненного цикла системы мер защиты от угроз нарушения функционирования системы или утечки конфиденциальной информации; обеспечение возможности корректировки состава и характеристик мер защиты от угроз нарушения функционирования системы или ее элементов и угроз утечки информации на каждой стадии жизненного цикла системы в зависимости от фактов нарушения безопасности информации, выявленных на предыдущих стадиях |
|
|
Процесс определения архитектуры системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Снижение частоты возникновения источников угроз надежности реализации процесса определения архитектуры системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе определения архитектуры системы |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе определения архитектуры системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе определения архитектуры системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса определения архитектуры системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс определения проекта |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса определения проекта; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе определения проекта (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе определения проекта |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса определения проекта и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс системного анализа |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение для каждого из системных процессов необходимых условий с завершением всех предпринимаемых действий, связанных с прогнозированием рисков, обоснованием допустимых рисков, выявлением явных и скрытых угроз, поддержкой принятия решений в жизненном цикле системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе системного анализа (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе системного анализа |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса системного анализа и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс реализации системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса реализации системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе реализации системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе реализации системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности выполнения процесса реализации системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс комплексирования системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса комплексирования системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе комплексирования системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе комплексирования системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса комплексирования системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс верификации системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса верификации системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе верификации системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе верификации системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса верификации системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс передачи системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса передачи системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе передачи системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе передачи системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса передачи системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс аттестации системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса аттестации системы; обеспечение готовности системы к выполнению требований заинтересованных сторон по качеству, срокам и затратам |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе аттестации системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе аттестации системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса аттестации системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс функционирования системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Снижение частоты возникновения источников угроз нарушения надежности реализации процесса функционирования системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе функционирования системы; обеспечение необходимой надежности представления используемой информации; обеспечение необходимой своевременности представления используемой информации; обеспечение необходимой полноты оперативного отражения в системе новых объектов и явлений; обеспечение необходимой актуальности обновляемой информации; обеспечение необходимой безошибочности информации после контроля; обеспечение необходимой корректности обработки информации; обеспечение необходимой безошибочности действий должностных лиц |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе функционирования системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе функционирования системы; сохранение целостности системы в условиях опасных программно-технических воздействий; обеспечение защищенности активов от несанкционированного доступа; сохранение конфиденциальности используемой информации |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса функционирования системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс сопровождения системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Снижение частоты возникновения источников угроз нарушения надежности реализации процесса сопровождения системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе сопровождения системы |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе сопровождения системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе сопровождения системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса сопровождения системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс изъятия и списания системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса изъятия и списания системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе изъятия и списания системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе изъятия и списания системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса изъятия и списания системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
Г.7 Материально-техническое обеспечение
В состав материально-технического обеспечения для прогнозирования рисков входят (в части, свойственной процессу управления рисками для системы):
- результаты обследования, концепция создания, технический облик и/или ТЗ на разработку для создаваемой системы, конструкторская и эксплуатационная документация для существующей системы (используют для формирования исходных данных при моделировании);
- модель угроз безопасности информации (используют для формирования необходимых исходных данных при моделировании и обоснования усовершенствований в результате решения задач системного анализа);
- записи из системного журнала учета предпосылок, инцидентов и аварий при функционировании системы, связанных с нарушением требований по защите информации (используют для формирования исходных данных при моделировании);
- планы ликвидации нарушений, инцидентов и аварий, связанных с нарушением требований по защите информации, и восстановления целостности системы (используют для формирования исходных данных при моделировании и обоснования усовершенствований в результате решения задач системного анализа);
- обязанности должностных лиц и инструкции по защите информации при выполнении процесса (используют для формирования исходных данных при моделировании и обоснования усовершенствований в результате решения задач системного анализа);
- программные комплексы, поддерживающие применение математических моделей и методов по настоящим методическим указаниям (используют для проведения расчетов и поддержки процедур системного анализа).
Г.8 Отчетность
По результатам прогнозирования рисков составляется протокол или отчет по ГОСТ 7.32 или по форме, устанавливаемой в организации.
Примечание - Примером практического подхода к прогнозированию рисков может служить ГОСТ Р 58494, в котором положения системной инженерии изложены в приложении к системам дистанционного контроля в опасном производстве. Примеры прогнозирования рисков и решения задач системного анализа приведены в ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59341, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59356.