Приложение В (справочное). Типовые модели и методы прогнозирования рисков. Национальный стандарт РФ ГОСТ Р 59338-2021 "Системная инженерия. Защита информации в процессе управления решениями" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 28.04.2021 N 313-ст)

Приложение В
(справочное)

Типовые модели и методы прогнозирования рисков

В.1 Основные положения

В.1.1 Для прогнозирования рисков в процессе управления решениями применяют любые возможные методы, обеспечивающие приемлемое достижение поставленных целей. С учетом набираемой статистики в настоящем стандарте типовые модели и методы системного анализа обеспечивают оценку следующих показателей согласно 6.3:

- риска нарушения надежности реализации процесса управления решениями без учета требований по защите информации (см. В.1.2 - В.1.9, В.2);

- риска нарушения требований по защите информации в процессе управления решениями (см. В.3);

- интегрального риска нарушения реализации процесса управления решениями с учетом требований по защите информации (см. В.4).

В.1.2 Для расчета типовых показателей рисков исследуемые сущности рассматривают в виде моделируемой системы простой или сложной структуры. Под моделируемой системой понимается система, для которой решение задач системного анализа осуществляется с использованием ее формализованной модели и, при необходимости, формализованных моделей учитываемых сущностей в условиях их применения. Модели и методы прогнозирования рисков в таких системах используют данные, получаемые по факту наступления событий, по выявленным предпосылкам к наступлению событий, и данные собираемой и накапливаемой статистики по процессам и возможным условиям их реализации, а также возможные гипотетичные данные.

Моделируемая система простой структуры представляет собой систему из единственного элемента или множества элементов, логически объединенных для анализа как один элемент. Анализ системы простой структуры осуществляют по принципу "черного ящика", когда известны входы и выходы, но неизвестны внутренние детали функционирования системы. Моделируемая система сложной структуры представляется как совокупность взаимодействующих элементов, каждый из которых рассматривается как "черный ящик", функционирующий в условиях неопределенности.

В.1.3 При анализе "черного ящика" для вероятностного прогнозирования рисков осуществляют формальное определение пространства элементарных состояний. Это пространство элементарных состояний формируют в результате статистического анализа произошедших событий с их привязкой к временной оси. Предполагается повторяемость событий. Чтобы провести системный анализ для ответа на условный вопрос "Что будет, если...", при формировании сценариев возможных нарушений статистика реальных событий по желанию исследователя процессов может быть дополнена гипотетичными событиями, характеризующими ожидаемые и/или прогнозируемые условия функционирования системы. Применительно к анализируемому сценарию осуществляется расчет вероятности пребывания элементов моделируемой системы в определенном элементарном состоянии в течение задаваемого периода прогноза. Для негативных последствий при оценке рисков этой расчетной вероятности сопоставляют возможный ущерб.

В.1.4 Для математической формализации используют следующие основные положения:

- к началу периода прогноза предполагается, что целостность моделируемой системы обеспечена, включая изначальное выполнение требований по защите информации в системе (в качестве моделируемой системы простой или сложной структуры могут быть рассмотрены выходные результаты с задействованными активами и действия процесса, к которым предъявлены определенные требования по защите информации);

- в условиях неопределенностей возникновение и разрастание различных угроз описывается в терминах случайных событий;

- для различных вариантов развития угроз средства, технологии и меры противодействия угрозам с формальной точки зрения представляют собой совокупность мер и/или защитных преград, предназначенных для воспрепятствования реализации угроз.

Обоснованное использование выбранных мер и защитных преград является предупреждающими контрмерами, нацеленными на обеспечение реализации рассматриваемого процесса.

В.1.5 В В.2.2, В.2.3 приведены математические модели для прогнозирования рисков в системе, представляемой в виде "черного ящика". Модель В.2.2 для прогнозирования рисков при отсутствии какого-либо контроля (диагностики) целостности системы является частным случаем модели В.2.3 при реализации технологии периодического системного контроля. Модель В.2.2 применима на практике лишь для оценки и сравнения случая полностью бесконтрольного функционирования анализируемой системы, например, там, где контроль невозможен или нецелесообразен по функциональным, экономическим или временным соображениям, или, когда ответственные лица пренебрегают функциями контроля или не реагируют должным образом на результаты системного анализа.

В.1.6 Для моделируемой системы сложной структуры применимы методы, изложенные в В.2.4, включая методы комбинации и повышения адекватности моделей.

В.1.7 При проведении оценок расчетных показателей на заданный период прогноза предполагают усредненное повторение количественных исходных данных, свойственных прошедшему аналогичному периоду для моделируемой системы. Для исследования запроектных сценариев при моделировании могут быть использованы гипотетичные исходные данные.

В.1.8 Изложение моделей в В.2 дано в контексте нарушения надежности реализации процесса управления решениями без учета требований по защите информации, в В.3 приведены способы прогнозирования риска нарушения требований по защите информации в процессе (в том числе с использованием моделей В.2). Методы прогнозирования интегрального риска нарушения реализации процесса управления решениями с учетом требований по защите информации представлены в В.4. При этом интегральный риск нарушения реализации процесса управления решениями с учетом требований по защите информации характеризуют сочетанием риска нарушения надежности реализации процесса управления решениями без учета требований по защите информации и риска нарушения требований по защите информации в этом процессе.

В приложении Г изложены методические указания по прогнозированию рисков для процесса управления решениями.

В.1.9 Другие возможные подходы для оценки рисков описаны в ГОСТ IEC 61508-3, ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р 54124, ГОСТ Р 58494, ГОСТ Р 58771, ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59341, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59349, ГОСТ Р 59356, ГОСТ Р МЭК 61069-1 - ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-5 - ГОСТ Р МЭК 61508-7.

В.2 Математические модели для прогнозирования риска нарушения надежности реализации процесса управления решениями

В.2.1 Общие положения

В.2.1.1 В моделях для анализа надежности реализации процесса под системой понимается отдельное действие или множество действий процесса, получаемый выходной результат или множество выходных результатов (или иные сущности, подлежащие учету в моделируемой системе).

Примечание - Выполнение требований по защите информации в В.2 не рассматривается (учет этих требований см. в В.3 и В.4).

В.2.1.2 Для каждого элемента моделируемой системы возможны либо отсутствие какого-либо контроля, либо периодический системный контроль (диагностика) его целостности с необходимым восстановлением по результатам контроля.

В.2.1.3 В терминах системы, состоящей из элементов, отождествляемых с выполняемыми действиями или получаемыми выходными результатами (или иными рассматриваемыми сущностями), под целостностью моделируемой системы понимается такое состояние элементов системы, которое в течение задаваемого периода прогноза отвечает требованию обеспечения надежности реализации рассматриваемого процесса. С точки зрения вероятностного прогнозирования риска нарушения надежности реализации процесса управления решениями пространство элементарных состояний отдельного элемента моделируемой системы на временной оси образуют следующие состояния:

- "Целостность элемента моделируемой системы сохранена", если в течение всего периода прогноза обеспечена надежность реализации анализируемого действия или получение определенного выходного результата процесса;

- "Целостность элемента моделируемой системы нарушена" - в противном случае.

Примечание - Например, надежность реализации процесса управления решениями в течение задаваемого периода прогноза обеспечена, если в течение этого периода для всех недублируемых элементов моделируемой системы (т.е. для всех осуществляемых действий или получаемых выходных результатов, логически объединяемых условием "И") обеспечена их целостность, т.е. на временной оси наблюдается элементарное состояние "Целостность элемента моделируемой системы сохранена" - см. также В.2.4.

В результате моделирования получают расчетные значения вероятностных показателей нахождения элементов моделируемой системы в определенном элементарном состоянии. В сопоставлении с возможным ущербом вероятность нахождения в состоянии "Целостность элемента моделируемой системы нарушена" характеризует риск нарушения надежности выполнения соответствующего действия или получения соответствующего выходного результата реализуемого процесса.

Примечание - Обеспечение требуемого качества используемой для принятия решения информации предполагает надежное и своевременное представление полной, достоверной и, при необходимости, конфиденциальной информации в ходе ее сбора и обработки - по ГОСТ Р 59341.

В.2.2 Математическая модель "черного ящика" при отсутствии какого-либо контроля

Моделируемая система представлена в виде "черного ящика", функционирование которого не контролируется. Восстановление возможностей по обеспечению выполнения действий процесса осуществляется лишь после обнаружения наступившего нарушения. В результате возникновения угроз и их развития может произойти нарушение надежности реализации процесса. С формальной точки зрения модель позволяет оценить вероятностное значение риска нарушения надежности реализации процесса в течение заданного периода прогноза. С точки зрения системной инженерии этот результат интерпретируют следующим образом: результатом применения модели является расчетная вероятность нарушения надежности реализации процесса управления решениями в течение заданного периода прогноза при отсутствии какого-либо контроля.

Модель представляет собой частный случай модели В.2.3, если период между диагностиками состояния моделируемой системы больше периода прогноза. Учитывая это, используют формулы (В.1)-(В.3).

В.2.3 Математическая модель "черного ящика" при реализации технологии периодического системного контроля

В моделируемой системе, представленной в виде "черного ящика", осуществляется периодический контроль состояния системы с точки зрения надежности реализации процесса управления решениями.

Примечание - Моделируемая система в виде "черного ящика" представляет собой единственный элемент.

Из-за случайного характера угроз, различных организационных, программно-технических и технологических причин, различного уровня квалификации специалистов, привлекаемых для контроля процесса, неэффективных мер поддержания или восстановления приемлемых условий и в силу иных причин надежность реализации процесса управления решениями может быть нарушена. Такое нарушение способно повлечь за собой негативные последствия.

В рамках модели развитие событий в системе считается не нарушающим надежность реализации процесса управления решениями в течение заданного периода прогноза (см. также В.2.4), если в течение всего периода прогноза источники угроз отсутствуют либо за время между соседними диагностиками возникшие источники угроз не успевают активизироваться. При этом в модели предполагается, что при очередном контроле (диагностике) происходит своевременное выявление каждого источника угроз и принятие адекватных защитных мер и действий против активизации выявленных угроз (см. иллюстрирующие примеры угроз, меры и действия по противодействию угрозам в Г.7).

В целях моделирования предполагают, что существуют не только средства контроля (диагностики) состояния моделируемой системы (позволяющие выявить источники угроз и следы их активизации), но и способы поддержания и/или восстановления нарушаемых возможностей системы. Восстановление осуществляется лишь в период системного контроля (диагностики) или сразу после него при выявлении источников угроз или следов их активизации. Соответственно, чем чаще осуществляют системный контроль с должной реакцией на выявляемые нарушения или предпосылки к нарушениям, тем выше гарантии обеспечения надежности реализации рассматриваемого процесса в период прогноза (т.к. в принятой модели за счет предупреждающих действий по результатам диагностики устраняются появившиеся и/или активизируемые угрозы, тем самым отдаляется во времени момент нанесения ущерба от реализации какой-либо угрозы).

В модели рассмотрен следующий формальный алгоритм возникновения и развития потенциальной угрозы: сначала возникает источник угрозы, после чего он начинает активизироваться. По прошествии времени активизации, свойственного этому источнику угрозы (в общем случае это время активизации представляет собой случайную величину), наступает виртуальный момент нарушения целостности моделируемой системы, интерпретируемый как момент реализации угрозы, приводящий к нарушению надежности реализации самого рассматриваемого процесса с возможными негативными последствиями. Если после виртуального начала активизации угрозы на временной оси наступает очередная диагностика целостности моделируемой системы, то дальнейшая активизация угрозы полагается предотвращенной до нанесения недопустимого ущерба, а источник угроз - нейтрализованным (до возможного нового появления какой-либо угрозы после прошедшей диагностики).

Примечание - Если активизация угрозы мгновенная, это считают эквивалентным внезапному отказу. Усилия системной инженерии как раз и направлены на использование времени постепенной активизации угроз для своевременного выявления, распознавания и противодействия им.

Надежность реализации процесса управления решениями считается нарушенной лишь после того, как активизация источника угрозы происходит за период прогноза (т.е. возникает элементарное состояние "Целостность элемента моделируемой системы нарушена", означающее реализацию угрозы). При отсутствии нарушений результатом применения очередной системной диагностики является подтверждение возможностей по реализации процесса, а при наличии нарушений - полное восстановление нарушенных возможностей реализации процесса до приемлемого уровня. С точки зрения системной инженерии результатом применения модели является расчетная вероятность нарушения надежности реализации процесса управления решениями в течение заданного периода прогноза при реализации технологии периодического системного контроля (диагностики) целостности системы.

Для моделируемой системы, представленной в виде "черного ящика", применительно к выполняемым действиям, выходным результатам рассматриваемого процесса и защищаемым активам формально определяют следующие исходные данные:

- частота возникновения источников угроз в моделируемой системе с точки зрения нарушения надежности реализации процесса управления решениями;

- среднее время развития угроз (активизации источников угроз) с момента их возникновения до нарушения целостности моделируемой системы (выполняемых действий процесса, выходных результатов и/или защищаемых активов) с точки зрения нарушения надежности реализации процесса;

Т _меж - среднее время между окончанием предыдущей и началом очередной диагностики целостности моделируемой системы;

Т _диаг - среднее время системной диагностики целостности моделируемой системы (без использования метода повышения адекватности модели по В.2.4 действует ограничительное допущение, что среднее время восстановления нарушаемой целостности системы, выявляемой при диагностике, включено в среднее время системной диагностики);

Т _восст - среднее время восстановления нарушаемой целостности моделируемой системы (используется в случае применения метода повышения адекватности модели по В.2.4);

Т _зад - задаваемая длительность периода прогноза.

Примечание - Примеры переопределения этих исходных данных (согласно В.2.4), конкретизированные в приложении к выходным результатам и действиям процесса, приведены в Г.7.

Вероятность нарушения надежности реализации процесса управления решениями R _надежн(Т _зад) в течение периода прогноза Т _зад вычисляют по формуле

,

(В.1)

где - вероятность отсутствия нарушений надежности реализации процесса в системе в течение периода T _зад.

Возможны два варианта:

- вариант 1 - заданный период прогноза T _зад меньше периода между окончаниями соседних контролей целостности моделируемой системы (T _зад < T _меж + T _диаг);

- вариант 2 - заданный период прогноза T _зад больше или равен периоду между окончаниями соседних контролей целостности моделируемой системы (T _зад  T _меж + T _диаг), т.е. за это время заведомо произойдет один или более контролей системы с восстановлением нарушенной целостности (если нарушения имели место).

Для варианта 1 при условии независимости исходных характеристик вероятность отсутствия нарушений надежности реализации процесса управления решениями в течение периода прогноза T _зад вычисляют по формуле

.

(В.2)

Примечание - Эту же формулу используют для оценки риска отсутствия нарушений надежности реализации процесса управления решениями при отсутствии какого-либо контроля в предположении, что к началу периода прогноза целостность моделируемой системы обеспечена, т.е. для расчетов по математической модели "черного ящика" при отсутствии какого-либо контроля в В.2.2.

Для варианта 2 при условии независимости исходных характеристик вероятность отсутствия нарушений надежности реализации процесса управления решениями в течение прогноза T _зад вычисляют по формуле

,

(В.3)

где - вероятность отсутствия нарушений надежности реализации процесса управления решениями в течение всех периодов между системными контролями, целиком вошедшими в границы времени T _зад, вычисляемая по формуле

,

(В.4)

где N - число периодов между диагностиками, которые целиком вошли в границы времени T _зад, с округлением до целого числа, N = [T _зад/(T _меж + T _диаг)] - целая часть;

- вероятность отсутствия нарушений надежности реализации процесса управления решениями после последнего системного контроля, вычисляемая по формуле (В.2), т.е.

,

где - остаток времени в общем заданном периоде T _зад по завершении N полных периодов, вычисляемый по формуле

.

(В.5)

Формула (В.3) логически интерпретируется так: для обеспечения выполнения требований целостности моделируемой системы за весь период прогноза требуется обеспечение ее целостности на каждом из участков - будь то середина или конец задаваемого периода прогноза T _зад.

Примечание - Для расчетов Р _возд(2) возможны иные вероятностные меры, например, когда N - действительное число, учитывающее не только целую, но и дробную части.

В итоге вероятность отсутствия нарушений надежности реализации процесса управления решениями в течение периода прогноза T _зад определяется аналитическими выражениями (В.2)-(В.5) в зависимости от варианта соотношений между исходными данными. Это позволяет вычислить по формуле (В.1) вероятность нарушения надежности реализации процесса управления решениями R _надежн (, , Т _меж, Т _диаг, Т _зад) в течение заданного периода прогноза T _зад с учетом предпринимаемых технологических мер периодического системного контроля и восстановления возможностей по обеспечению реализации процесса. С учетом возможного ущерба эта вероятность характеризует расчетный риск нарушения надежности реализации процесса управления решениями в течение заданного периода прогноза при использовании технологии периодического системного контроля.

Примечание - В частном случае, когда период между диагностиками больше периода прогноза T _меж > T _зад, модель В.2.3 превращается в модель В.2.2 для прогноза риска нарушения надежности реализации процесса управления решениями при отсутствии какого-либо контроля.

В.2.4 Расчет риска для систем сложной структуры, комбинация и повышение адекватности моделей

Описанные в В.2.2 и В.2.3 модели применимы для проведения оценок, когда система представляется в виде "черного ящика" и когда значения времен системной диагностики и восстановления нарушенной целостности совпадают. В развитие моделей В.2.2 и В.2.3 в настоящем подразделе приведены способы, позволяющие создание моделей для систем сложной структуры и более общего случая - когда значения времен системной диагностики и восстановления нарушенных возможностей системы различны.

Расчет основан на применении следующих инженерных способов.

1-й способ позволяет использовать одни и те же модели для расчетов различных показателей по области их приложения. Поскольку модели математические, то путем смыслового переопределения исходных данных возможно использование одних и тех же моделей для оценки показателей, различающихся по смыслу, но идентичных по методу их расчета. Применение этого способа позволяет соизмерять прогнозируемые риски для разнородных угроз по единой вероятностной шкале от 0 до 1.

2-й способ позволяет переходить от оценок систем или отдельных элементов, представляемых в виде "черного ящика", к оценкам систем сложной параллельно-последовательной логической структуры. В формируемой структуре, исходя из реализуемых технологий для системы, состоящей из двух элементов, взаимовлияющих на выполнение процесса, указывается характер их логического соединения. Если два элемента соединяются последовательно, что означает логическое соединение "И" (см. рисунок В.1), то в контексте надежности реализации процесса это интерпретируется так: "в системе обеспечена надежность реализации процесса в течение времени t, если "И" 1-й элемент, "И" 2-й элемент сохраняют свои возможности по надежной реализации процесса в течение этого времени". Если два элемента соединяются параллельно, что означает логическое соединение "ИЛИ" (см. рисунок В.2), это интерпретируется так: "система сохраняет возможности по надежной реализации процесса в течение времени t, если 1-й элемент "ИЛИ" 2-й элемент сохраняют свои возможности по надежной реализации процесса в течение этого времени".

Рисунок В.1 - Система из последовательно соединенных элементов ("И")

Рисунок В.2 - Система из параллельно соединенных элементов ("ИЛИ")

Для комплексной оценки в приложении к сложным системам используются рассчитанные на моделях вероятности нарушения надежности реализации процесса каждого из составных элементов за заданное время t. Тогда для простейшей структуры из двух независимых элементов вероятность нарушения надежности реализации процесса за время t вычисляют по формулам:

1) для системы из двух последовательно соединенных элементов

;

(В.6)

2) для системы из двух параллельно соединенных элементов

,

(В.7)

где - вероятность нарушения надежности реализации процесса m-го элемента за заданное время t, m = 1, 2.

Рекурсивное применение соотношений (В.6), (В.7) снизу-вверх дает соответствующие вероятностные оценки для сложной логической структуры с параллельно-последовательным логическим соединением элементов.

Примечание - Способ рекурсивного применения процессов рекомендован ГОСТ Р 57102. Рекурсивное применение снизу-вверх означает первичное применение моделей В.2.2 или В.2.3 сначала для отдельных системных элементов, представляемых в виде "черного ящика" в принятой сложной логической структуре системы, затем, учитывая характер логического объединения ("И" или "ИЛИ") в принятой структуре, по формулам (В.6) или (В.7) проводится расчет вероятности нарушения надежности реализации процесса за время t для объединяемых элементов (в принятых условиях независимости распределений их временных характеристик). И так - до объединения элементов на уровне сложной системы в целом. При этом сохраняется возможность аналитического прослеживания зависимости результатов расчетов по формулам (В.6) или (В.7) от исходных параметров моделей В.2.1 и В.2.2.

3-й способ в развитие 2-го способа позволяет использовать результаты моделирования для формирования заранее неизвестных (или сложно измеряемых) исходных данных в интересах последующего моделирования. На выходе моделирования по моделям В.2.2 и В.2.3 и применения 2-го способа получается вероятность нарушения надежности реализации процесса в течение заданного периода времени t. Если для каждого элемента просчитать эту вероятность для всех точек t от нуля до бесконечности, получится траектория функции распределения времени нарушения надежности реализации процесса по каждому из элементов в зависимости от реализуемых мер контроля и восстановления целостности, т.е. то, что используется в формулах (В.6) и (В.7). Полученный вид этой функции распределения, построенной по точкам (например, с использованием программных комплексов), позволяет традиционными методами математической статистики определить такой показатель, как среднее время до нарушения надежности реализации процесса каждого из элементов и системы в целом. С точки зрения системной инженерии это среднее время интерпретируют как виртуальную среднюю наработку на нарушение надежности реализации процесса управления решениями при прогнозировании риска по моделям В.2.2 и В.2.3 для систем простой и сложной структуры. Обратная величина этого среднего времени является частотой нарушений надежности реализации процесса в условиях определенных угроз и применяемых методов контроля и восстановления возможностей по обеспечению выполнения процесса для составных элементов. Именно это - необходимые исходные данные для последующего применения моделей В.2.2 и В.2.3 или аналогичных им для расчетов по моделям "черного ящика". Этот способ используют, когда изначальная статистика для определения частоты отсутствует или ее недостаточно.

4-й способ в дополнение к возможностям 2-го и 3-го способов повышает адекватность моделирования за счет развития моделей В.2.2 и В.2.3 в части учета времени на восстановление после нарушения надежности реализации процесса. В моделях В.2.2 и В.2.3 время системного контроля по составному элементу одинаково и равно в среднем T _диаг. Вместе с тем, если по результатам контроля требуются дополнительные меры для восстановления нарушенных возможностей по выполнению процесса в течение времени T _восст, то для расчетов усредненное время контроля T _диаг должно быть увеличено. При этом усредненное время контроля вычисляют итеративно с заданной точностью:

- 1-я итерация определяет  = T _диаг задаваемое на входе модели. Для 1-й итерации при обнаружении нарушений полагается мгновенное восстановление нарушаемых возможностей по обеспечению выполнения процесса;

- 2-я итерация осуществляется после расчета риска R ⁽¹⁾ по исходным данным после 1-й итерации

,

(В.8)

где - риск нарушения надежности реализации процесса с исходным значением , вычисляемый с использованием модели В.2.3. Здесь, поскольку на 1-й итерации не учитывает времени восстановления, риск , рассчитываемый с использованием модели В.2.3, ожидается оптимистичным, т.е. меньше реального;

- ... r-я итерация осуществляется после расчета риска R ^(r-1) по исходным данным после (r-1)-й итерации

,

(В.9)

где - вычисляют по моделям В.2.2, В.2.3, но в качестве исходного уже выступает , рассчитанное на предыдущем шаге итерации. Здесь в большей степени учитывается время восстановления с частотой, стремящейся к реальной. Соответственно риск также приближается к реальному.

С увеличением r указанная последовательность сходится, и для дальнейших расчетов используют значение, отличающееся от точного предела на величину, пренебрежимо малую по сравнению с задаваемой изначально точностью итерации :

.

Таким образом, 4-й способ позволяет вместо одного исходного данного (среднего времени системной диагностики, включая восстановление нарушенной целостности моделируемой системы) учитывать два, которые могут быть различны по своему значению:

- T _диаг - среднее время системной диагностики целостности моделируемой системы;

- Т _восст - среднее время восстановления нарушенной целостности моделируемой системы.

При этом для расчетов применяется одна и та же модель В.2.3.

Примечание - Способ итеративного применения процессов рекомендован ГОСТ Р 57102, применен в ГОСТ Р 58494.

Применение инженерных способов 1-4 обеспечивает более точный прогноз для системы сложной структуры с учетом различий во временах диагностики и восстановления целостности моделируемой системы.

В.2.5 Учет качества используемой информации

В случае критичности качества информации, используемой для принятия решений, действие сбора и анализа качества информации рассматривают отдельно. При этом дополнительно применяют модели и методы оценки качества выходной информации по ГОСТ Р 59341. В сопоставлении с возможным ущербом итоговый риск нарушения надежности реализации процесса управления решениями R _надежн(T _зад) в течение периода прогноза T _зад без учета требований по защите информации вычисляют по формуле

,

(В.10)

где - вероятность нарушения надежности реализации процесса управления решениями в течение периода прогноза Т _зад без учета качества используемой информации и требований по защите информации, вычисляют по моделям и рекомендациям В.2.2, В.2.3;

- вероятность нарушения надежности реализации процесса управления информацией в течение периода прогноза Т _зад без учета требований по защите информации, вычисляют с помощью моделей и рекомендаций ГОСТ Р 59341-2021 (В.3.2 - В.3.8, В.3.10 приложения В).

В.3 Математические модели для прогнозирования риска нарушения требований по защите информации

В.3.1 Общие положения

Прогнозирование рисков нарушения требований по защите информации осуществляют на основе применения математических моделей для прогнозирования риска нарушения требований по защите информации ГОСТ Р 59341-2021 (В.2 приложения В). Все положения по моделированию, изложенные в ГОСТ Р 59341 для процесса управления информацией, в полной мере применимы для прогнозирования риска нарушения требований по защите информации в процессе управления решениями (в части, свойственной этому процессу).

В моделях простой структуры под анализируемой системой понимают определенный выходной результат или действие, а также совокупность задействованных активов, к которым предъявлены требования и применяются меры защиты информации. Такую систему рассматривают как "черный ящик", если для него сделано предположение об использовании одной и той же модели угроз безопасности информации и одной и той же технологии системного контроля выполнения требований по защите информации и восстановления системы после состоявшихся нарушений или выявленных предпосылок к нарушениям. В моделях сложной структуры под моделируемой системой понимается определенная упорядоченная совокупность составных элементов, каждый из которых логически представляет собой выходной результат или действие и совокупность задействованных активов (выходной результат становится активом в итоге выполняемых действий), к которым предъявлены требования и применяют меры защиты информации. В общем случае для системы сложной структуры для различных элементов могут быть применены различные модели угроз или различные технологии системного контроля выполнения требований по защите информации и восстановления системы. Отдельный элемент рассматривается как "черный ящик".

Под целостностью моделируемой системы понимается такое состояние, которое в течение задаваемого периода прогноза отвечает целевому назначению системы. При моделировании, направленном на прогнозирование риска нарушения требований по защите информации, целевое назначение моделируемой системы проявляется в выполнении требований по защите информации. В этом случае для каждого из элементов и моделируемой системы в целом пространство элементарных состояний на временной оси образуют два основных состояния:

- "Выполнение требований по защите информации в системе обеспечено", если в течение всего периода прогноза обеспечено выполнение требований по защите информации;

- "Выполнение требований по защите информации в системе нарушено" - в противном случае.

В результате математического моделирования рассчитывают вероятность приемлемого выполнения требований по защите информации (т.е. пребывания в состоянии "Выполнение требований по защите информации в системе обеспечено") в течение всего периода прогноза и ее дополнение до единицы, представляющее собой вероятность нарушения требований по защите информации (т.е. пребывания в состоянии "Выполнение требований по защите информации в системе нарушено"). В свою очередь вероятность нарушения требований по защите информации в течение всего периода прогноза в сопоставлении с возможным ущербом определяет нарушения требований по защите информации.

Аналогично В.2 применяют математическую модель "черного ящика" при отсутствии какого-либо контроля или математическую модель "черного ящика" при реализации технологии периодического системного контроля, каждая из которых адаптирована к контексту защиты информации - см. ГОСТ Р 59341-2021 (В.2 приложения В).

С формальной точки зрения при сопоставлении с возможным ущербом модель позволяет оценить вероятностное значение риска нарушения требований по защите информации в моделируемой системе в течение заданного периода прогноза. С точки зрения системной инженерии этот результат интерпретируют следующим образом: результатом применения модели является расчетная вероятность нарушения требований по защите информации в процессе управления решениями в течение заданного периода прогноза при реализации технологии периодического системного контроля (диагностики). При этом учитываются предпринимаемые меры периодической диагностики и восстановления возможностей по обеспечению выполнения требований по защите информации.

В.3.2 Исходные данные и расчетные показатели

Для расчета вероятностных показателей применительно к моделируемой системе, где анализируемые сущности (выходные результаты, действия) могут быть представлены в виде системы - "черного ящика", используют исходные данные, формально определяемые в общем случае следующим образом:

- частота возникновения источников угроз нарушения требований по защите информации в процессе управления решениями;

- среднее время развития угроз с момента возникновения источников угроз до нарушения нормальных условий (например, до нарушения установленных требований по защите информации в системе или до инцидента);

Т _меж - среднее время между окончанием предыдущей и началом очередной диагностики возможностей по обеспечению выполнения требований по защите информации в моделируемой системе;

Т _диаг - среднее время системной диагностики возможностей по обеспечению выполнения требований по защите информации (т.е. диагностики целостности моделируемой системы);

Т _восст - среднее время восстановления нарушенных возможностей по обеспечению выполнения требований по защите информации в моделируемой системе;

Т _зад - задаваемая длительность периода прогноза.

Расчетные показатели:

Р _возд (, , Т _меж, Т _диаг, Т _восст, Т _зад) - вероятность отсутствия нарушений по защите информации в моделируемой системе в течение периода прогноза T _зад;

R _наруш (, , Т _меж, Т _диаг, Т _восст, Т _зад) - вероятность нарушения требований по защите информации в моделируемой системе в течение периода прогноза T _зад в вероятностном выражении характеризует риск нарушения требований по защите информации в процессе управления решениями).

Расчет показателей применительно к процессу управления решениями для моделируемой системы простой и сложной структуры осуществляют по формулам ГОСТ Р 59341-2021 (В.2 приложения В). С учетом возможного ущерба расчет риска нарушения требований по защите информации в процессе управления решениями в течение периода прогноза R _наруш (Т _зад) = R _наруш (, , Т _меж, Т _диаг, Т _восст, Т _зад) осуществляют как дополнение до единицы значения Р _возд (, , Т _меж, Т _диаг, Т _восст, Т _зад).

Примечание - При необходимости могут быть использованы модели, позволяющие оценивать защищенность от опасных программно-технических воздействий, от несанкционированного доступа и сохранение конфиденциальности информации в системе - см. ГОСТ Р 59341-2021 (В.3 приложения В).

В.4 Прогнозирование интегрального риска нарушения реализации процесса с учетом требований по защите информации

В сопоставлении с возможным ущербом интегральный риск нарушения реализации процесса управления решениями с учетом требований по защите информации R _интегр(Т _зад) для периода прогноза Т _зад вычисляют по формуле

,

(В.11)

где - риск нарушения надежности реализации процесса управления решениями в течение периода прогноза Т _зад без учета требовании по защите информации, в сопоставлении с возможным ущербом вычисляют по моделям и рекомендациям В.2;

- риск нарушения требований по защите информации в процессе управления решениями в течение периода прогноза Т _зад, в сопоставлении с возможным ущербом вычисляют по моделям и рекомендациям В.3.