Приложение Г (справочное). Методические указания по прогнозированию рисков для процесса управления знаниями о системе. Национальный стандарт РФ ГОСТ Р 59335-2021 "Системная инженерия. Защита информации в процессе управления знаниями о системе" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 28.04.2021 N 310-ст)

Приложение Г
(справочное)

Методические указания
по прогнозированию рисков для процесса управления знаниями о системе

Настоящие методические указания определяют типовые действия при расчетах основных количественных показателей рисков в процессе управления знаниями о системе:

- риска нарушения надежности реализации процесса управления знаниями о системе без учета требований по защите информации;

- риска нарушения требований по защите информации в процессе управления знаниями о системе;

- интегрального риска нарушения реализации процесса управления знаниями о системе с учетом требований по защите информации.

При этом риски характеризуют прогнозными вероятностными значениями в сопоставлении с возможными оценками ущербов.

Расчетные значения рисков на заданный период прогноза используют для решения задач системного анализа (см. раздел 7).

Примечание - Оценка ущербов не входит в состав настоящих методических указаний. Для разработки самостоятельной методики по оценке ущербов согласно приложению Е учитывают специфику систем - см., например ГОСТ Р 22.10.01, ГОСТ Р 54145. При этом должны учитываться соответствующие положения законодательства Российской Федерации [1]-[15].

Г.1 Анализируемые объекты для прогнозирования рисков

Применительно к конкретной системе для прогнозирования рисков согласно 5.3, 6.3 определению подлежат:

- состав выходных результатов и выполняемых действий процесса управления знаниями о системе и используемых при этом активов;

- перечень потенциальных угроз и возможные сценарии возникновения и развития угроз для выходных результатов, выполняемых действий процесса управления знаниями о системе и используемых при этом активов;

- технологии противодействия угрозам, используемые в процессе управления знаниями о системе в заданной среде применения системы;

- формализованные требования или условия по завершению необходимых действий процесса управления знаниями о системе, соблюдению сроков поставки знаний, отсутствию брака в приобретаемых и создаваемых знаниях, распространению и применению полезных знаний о системе.

Примечание - Для понимания деталей специфики прогнозирования рисков см., например ГОСТ Р 58494, где в приложении к системе дистанционного контроля в опасном производстве указаны примеры объектов, выходных результатов, выполняемых действий, множество потенциальных угроз.

В зависимости от целей прогнозирования рисков модели и методы, рекомендуемые в приложении В, относятся к моделям, представляемым в виде "черного ящика" или в виде сложной структуры. Для отдельных элементов сложной системы или при ее огрубленном моделировании используют модель "черного ящика". Для получения более точных результатов прогнозирования рисков осуществляют декомпозицию сложной моделируемой системы до уровня составных системных элементов, характеризуемых их параметрами и условиями эксплуатации и объединяемых для описания целостности моделируемой системы логическими условиями "И" и "ИЛИ". При этом целостность моделируемой системы (системного элемента) в течение задаваемого периода прогноза означает такое состояние этой системы (системного элемента), которое в течение этого периода прогноза отвечает целевому назначению применяемой модели.

Примечания

1 Логическое условие "И" для двух связанных этим условием элементов интерпретируется так: моделируемая система из двух последовательно соединяемых элементов находится в состоянии целостности, когда "И" первый элемент, "И" второй элемент находятся в состоянии целостности.

2 Логическое условие "ИЛИ" для двух связанных этим условием элементов интерпретируется так: система из двух параллельно соединяемых элементов находится в состоянии целостности, когда "ИЛИ" первый элемент, "ИЛИ" второй элемент находятся в состоянии целостности (в частности, когда для повышения надежности дублируется выполнение отдельных действий).

Г.2 Цель прогнозирования рисков

Основной целью прогнозирования рисков является установление степени вероятного нарушения требований по защите информации и/или нарушения надежности реализации исследуемого процесса управления знаниями о системе с учетом требований по защите информации за заданный период прогноза. Прогнозирование рисков осуществляется в интересах решения определенных задач системного анализа (см. раздел 7). Конкретные практические цели прогнозирования рисков устанавливают заказчик системного анализа и/или аналитик моделируемой системы при выполнении работ системной инженерии.

Прогнозирование рисков осуществляют с использованием формализованного представления рассматриваемой системы в виде моделируемой системы.

Г.3 Положения по формализации

Для решения задач системного анализа в качестве моделируемой системы могут выступать: множество выходных результатов и активов, множество действий процесса управления знаниями о системе, объединенных целевым назначением в рассматриваемой системе.

Для каждого из элементов моделируемой системы в зависимости от поставленных целей могут решаться свои задачи системного анализа. В общем случае моделируемую систему представляют в виде "черного ящика" либо в виде сложной системы, элементы которой объединяются последовательно или параллельно. Примеры декомпозиции сложной системы до составных элементов представлены на рисунках Г.1, Г.2. При этом для каждого элемента могут оказаться характерными свои разнородные угрозы и применяемые технологии контроля, мониторинга и восстановления нарушаемой целостности.

Рисунок Г.1 - Пример моделируемой системы, представляющей собой множество выходных результатов, где системный элемент - это конкретный выходной результат (всего I выходных результатов)

Рисунок Г.2 - Пример моделируемой системы, представляющей собой множество действий процесса, где системный элемент - это конкретное действие (последнее K-е действие задублировано)

Для каждого из элементов и для моделируемой системы в целом вводится пространство элементарных состояний (с учетом логических взаимосвязей элементов условиями "И", "ИЛИ").

Например, в приложении к прогнозированию риска нарушения требований по защите информации пространство элементарных состояний на временной оси может быть формально определено двумя основными состояниями:

- "Выполнение требований по защите информации в процессе управления знаниями о системе обеспечено", если в течение всего периода прогноза обеспечено выполнение требований по защите информации, т.е. с точки зрения математического моделирования их невыполнение ведет к ущербу;

- "Выполнение требований по защите информации в процессе управления знаниями о системе нарушено" - в противном случае.

В приложении к прогнозированию интегрального риска нарушения реализации процесса с учетом требований по защите информации пространство элементарных состояний на временной оси может быть формально определено другими двумя основными состояниями:

- "Надежность реализации процесса управления знаниями о системе и выполнение требований по защите информации в системе обеспечены", если в течение всего периода прогноза обеспечены и надежность выполнения определенных действий процесса для получения выходных результатов, и выполнение определенных требований по защите информации;

- "Надежность реализации процесса управления знаниями о системе и/или выполнение требований по защите информации в системе нарушено" - в противном случае.

В общем случае возможно расширение или переименование самих элементарных состояний, главное, чтобы они формировали полное множество аналогично множествам, введенным в настоящем подразделе. В Г.7.2 - Г.7.4 приведены примеры прогнозирования рисков.

Использование аппарата прогнозирования рисков позволяет обосновывать допустимые риски. По существу, для каждого анализируемого объекта существуют свои условия приемлемости в использовании по назначению. Приоритетным является выбор критерия допустимого риска, основанного на прецедентном принципе - см. ГОСТ Р 59349.

В качестве мер противодействия угрозам, способных при их применении снизить расчетные риски, могут выступать более частая (по сравнению со временем развития угроз) системная диагностика или контроль с восстановлением нормального функционирования (системы, процесса, системного элемента). При использовании задаваемых границ допустимого риска прогнозы для реальных случаев нарушений нормы "до" и "после" наступления нарушений позволяют (при использовании задаваемых количественно границ допустимого риска) выполнить аналитическое обоснование упреждающих мер по снижению или удержанию в допустимых пределах рисков и/или снижению затрат, и/или возможных ущербов при задаваемых ограничениях. Обоснованное определение сбалансированных системных мер и действий, предупреждающих возникновение ущербов при ограничениях на ресурсы и допустимые риски, а также оценка и обоснование эффективных кратко-, средне- и долгосрочных планов по обеспечению безопасности осуществляют путем решения самостоятельных оптимизационных задач, использующих расчетные значения прогнозируемых рисков (см. рекомендуемый перечень методик в приложении Е).

Примечание - Рекомендации по задачам системного анализа приведены в ГОСТ Р 59349.

По мере решения на практике задач анализа и оптимизации для различных объектов и логических структур системы создают базы знаний, содержащие варианты решения типовых задач сбалансированного управления рисками.

Примечание - Примерами практического применения общих методических положений к системам дистанционного контроля в опасном производстве могут служить положения ГОСТ Р 58494-2019, приложения А-Е.

Г.4 Показатели, исходные данные и расчетные соотношения

Применительно к моделируемой системе, которая может быть представлена в виде "черного ящика" (см. В.2, В.4) или сложной логической структуры (см. В.3), расчетными показателями являются:

R _{обобщен}(Т _зад) - Риск нарушения надежности реализации процесса управления знаниями о системе в течение задаваемого периода прогноза Т _зад без учета требований по защите информации;

R _наруш(T _зад) - Риск нарушения требований по защите информации в процессе управления знаниями о системе в течение задаваемого периода прогноза T _зад;

R _интегр(T _зад) - интегральный риск нарушения реализации процесса управления знаниями о системе с учетом требований по защите информации в течение задаваемого периода прогноза T _зад.

Применительно к моделируемой системе исходными являются данные, необходимые для проведения расчетов по моделям В.2, В.3. Расчеты осуществляют по рекомендациям В.2 - В.4.

Г.5 Порядок прогнозирования рисков

Для прогнозирования рисков осуществляют следующие шаги.

Шаг 1. Определяют моделируемую систему и устанавливают анализируемые объекты для прогнозирования рисков - действия осуществляют согласно Г.1.

Шаг 2. Устанавливают конкретные цели прогнозирования - действия осуществляют согласно Г.2.

Шаг 3. Формируют перечень возможных угроз. Принимают решение о представлении моделируемой системы в виде "черного ящика" или в виде сложной структуры, декомпозируемой до составных элементов. Формируют пространство элементарных состояний для каждого элемента и моделируемой системы в целом. Действия осуществляют согласно Г.3.

Шаг 4. Выбирают расчетные показатели и подходящие математические модели и методы (включая методы повышения их адекватности). Осуществляют расчет выбранных показателей с использованием расчетных соотношений (В.1)-(В.15). Действия осуществляют согласно Г.4.

Г.6 Обработка и использование результатов прогнозирования

Результаты прогнозирования рисков должны быть удобны для обработки заказчиком системного анализа и/или аналитиком процесса управления знаниями о системе. Результаты представляют в виде гистограмм, графиков, таблиц и/или в ином виде, позволяющем анализировать зависимости рисков от изменения значений исходных данных при решении задач системного анализа. Результаты расчетов подлежат использованию для решения задач системного анализа - см. раздел 7, приложение Е и ГОСТ Р 59349.

Г.7 Примеры

Г.7.1 Нижеследующие примеры призваны продемонстрировать отдельные аналитические возможности методов и моделей настоящего стандарта.

Согласно [27] для достижения основных целей государственной политики Российской Федерации в Арктике на период до 2035 года должны быть системно решены многочисленные задачи в сферах социального и экономического развития, развития инфраструктуры Арктической зоны, развития науки и технологий в интересах освоения Арктики, охраны окружающей среды и обеспечения экологической безопасности, развития международного сотрудничества, обеспечения защиты населения и территорий Арктической зоны Российской Федерации от чрезвычайных ситуаций природного и техногенного характера, обеспечения общественной и военной безопасности, защиты и охраны государственной границы Российской Федерации. Системное решение всего множества задач основано на управлении знаниями, базирующемся на аналитической обработке разнородных данных мониторинга и предусматривающем совершенствование, накопление и своевременное применение появляющихся знаний, - см. рисунок Г.3. Неизбежные неопределенности в специфике приложений для заданного периода прогноза (с начальной точки t ₁ до момента t _x в будущем) учитывают при решении практических задач с использованием математического моделирования, прогнозирования рисков, системного анализа и оптимизации на различных метауровнях.

Рисунок Г.3 - Прогнозирование в управлении знаниями

Учитывая сложность и многогранность решаемых практических задач по освоению Арктики и стремление к эффективной реализации государственной политики Российской Федерации, в Арктике на период до 2035 года и последующие десятилетия создание одного или нескольких ЦЗн является неизбежным. В условиях реальных и потенциальных угроз нарушения безопасности критической информационной инфраструктуры [15] защита информации в ЦЗн имеет приоритетное значение. Не вдаваясь в детали и специфику разнородных знаний, подлежащих интеграции и применению, в рамках примеров продемонстрированы отдельные практические подходы к использованию настоящей методики:

- для решения профильных задач обеспечения экологически безопасной морской разведки, добычи и транспортировки различных видов полезных ископаемых в экстремальных природно-климатических условиях (профильные задачи 1-го типа);

- для решения профильных задач обеспечения комплексной безопасности работ на континентальном шельфе, включая мониторинг и прогнозирование экстремальных ситуаций природного и техногенного характера (профильные задачи 2-го типа);

- для решения профильных задач предотвращения и ликвидации аварийных разливов нефти в ледовых условиях, включая создание технологий обнаружения нефти подо льдом (профильные задачи 3-го типа);

- для решения профильных задач разработки технологий комплексного гидрометеорологического и экологического мониторинга опасных природных явлений в арктических регионах (профильные задачи 4-го типа);

- для решения профильных задач разработки технологий дистанционного зондирования Земли, включая экологический мониторинг, оценку ресурсов и прогнозирование состояния окружающей среды Арктики (профильные задачи 5-го типа).

Методика проиллюстрирована на примерах прогноза:

- рисков нарушения надежности реализации процесса управления знаниями без учета требований по защите информации;

- риска нарушения требований по защите информации;

- интегрального риска нарушения реализации процесса управления знаниями с учетом требований по защите информации.

Для определенности с точки зрения системной инженерии для эффективной защиты информации рассмотрены два варианта: создания и функционирования пяти автономных профильных ЦЗн, каждый из которых специализируется на решении своих профильных задач (вариант 1), и добавления единого ЦЗн, интегрирующего возможности всех автономных ЦЗн (вариант 2). С учетом возможных ущербов цели прогнозирования рисков сформулированы следующим образом. В условиях существующей неопределенности:

- количественно оценить риски нарушения надежности реализации процесса управления знаниями без учета требований по защите информации;

- количественно оценить риск нарушения требований по защите информации (как поэлементно за каждый ЦЗн, так и за комплекс всех ЦЗн);

- определить критичные условия в развитии различных угроз;

- количественно оценить риски нарушения надежности реализации процесса управления знаниями с учетом требований по защите информации;

- определить такой период, при котором сохраняются гарантии непревышения допустимых рисков.

Тем самым выполнены шаги 1-2 настоящей методики.

Г.7.2 Примеры 1-4 иллюстрируют оценку рисков нарушения надежности реализации процесса управления знаниями согласно рекомендациям ГОСТ Р 57133 (без учета требований по защите информации) и 6.1.3. Полагая соизмеримость возможных ущербов, в примерах оцениваются вероятности нарушения надежности реализации процесса приобретения и создания полезных знаний и вероятность нарушения надежности распространения приобретенных или созданных полезных знаний и своевременного их применения.

Г.7.2.1 Пример 1 иллюстрирует оценку рисков нарушения надежности реализации процесса приобретения знаний.

При оценке рисков нарушения надежности реализации процесса приобретения знаний адаптируют методы системного анализа ГОСТ Р 59329-2021 (приложение В) в части оценки:

- риска незавершенности выполнения необходимых действий по поставке приобретаемых знаний;

- риска нарушения сроков поставки приобретаемых знаний;

- риска наличия недопустимого брака в приобретаемых знаниях (аналитических ошибок, описок, необоснованных заключений и/или рекомендаций).

С точки зрения расчетов, модели для оценки вышеперечисленных рисков являются идентичными, так как при оценке каждого из рисков расчетные вероятностные показатели сопоставляются с возможный ущербом, полученным из-за невыполнения условий приобретения знаний.

Ниже в примере показана оценка нарушения надежности сроков поставки приобретаемых знаний. Оценка незавершенности выполнения необходимых действий по поставке приобретаемых знаний и наличия недопустимого брака в приобретаемых знаниях (аналитических ошибок, описок, необоснованных заключений и/или рекомендаций) делается по аналогии.

Оценка риска нарушения надежности сроков поставки приобретаемых знаний осуществляется с использованием расчетных соотношений (В.5)-(В.7) согласно рекомендациям В.2.2.3.

В соответствии с поставленными задачами по развитию Арктики предполагается приобретение нескольких видов знаний i-го типа. Приобретение всех видов знаний за исключением одного проходит без нарушения сроков поставки, т.е. в этом случае Z _{срок i}(T _зад) = 0. Следовательно, при оценке риска учитывается только вид приобретаемых знаний, для которого сроки поставки нарушены.

С учетом статистических данных по развитию Арктики для определенности условно принимается, что за заданное время Т _{зад i} = 1 год для знаний i-го типа общее количество поставок N _i = 100, количество нарушений сроков поставки N _{наруш i} = 3, что составляет 3 % от общего количества поставок, а количество множественных поставок M _i = 1.

Таким образом, вероятность нарушения сроков однократной поставки для знаний i-го типа за задаваемое время Т _{зад i}: R _св(Т _зад) = 3/100 = 0,03, а вероятность нарушения сроков поставки по всему множеству знаний различных типов получается: R _св(Т _зад) =  = 0,03.

Г.7.2.2 В примере 2 без изменения сути демонстрации полагается, что результаты оценки нарушения надежности реализации процесса создания полезных знаний о системе полностью идентичны результатам примера 1, посвященного оценке нарушения надежности реализации процесса приобретения знаний (см. условия и результаты в 7.2.1).

Г.7.2.3 Пример 3 иллюстрирует оценку рисков нарушения надежности реализации процесса распространения полезных знаний согласно рекомендациям В.2.4.

Пусть с учетом статистических данных частота значимого изменения полезности знаний об условиях в Арктике, хранимых в базе знаний системы, составит не более одного изменения за десятилетие, т.е.  = 10 лет. Среднее время приобретения или создания и помещения в базу знаний системы новых знаний (от создателей или распространителей знаний) составит около трех месяцев, т.е. T _{база знаний} = 3 мес, что в переводе к одинаковым единицам измерения составляет 0,25 года. Доведение обновлений от центров знаний до потребителей системы осуществляется ежемесячно, т.е. q = 1 мес или 0,083 года. Кроме того, на вероятность нарушения надежности распространения полезных знаний накладывается ограничение сверху: эта вероятность не должна превышать максимально допустимого уровня R _{доп.распред}(T _зад) = 0,10.

Таким образом, оценка риска для дисциплины распространения знаний сразу после их приобретения или создания определяется по формуле (В.11): R _{распред} = 1 - 10/(10 + 0,25) = 0,024, а оценка риска для дисциплины периодического распространения знаний вне зависимости от сроков их приобретения или создания, т.е. по регламенту (с подтверждением полезности существующих хранимых знаний при отсутствии изменений), определяется по формуле (В.12)

.

Так как выполнено условие непревышения максимально допустимого уровня R _{распред}(T _зад)  R _{доп.распред}(T _зад), то данным показателем при дальнейших расчетах можно пренебречь, т.е. Z _полезн(Т _зад) = 0, условия по распространению знаний выполнены, см. формулу (В.13).

Г.7.2.4 В примере 4 представлена оценка обобщенного риска нарушения надежности реализации процесса управления знаниями о системе, которая определяется по формуле (В.14).

Оценка обобщенного риска нарушения надежности реализации процесса управления знаниями о системе проводится согласно рекомендациям, приведенным в В.2.5. т.е.

.

В итоге риск нарушения надежности реализации процесса управления знаниями о системе в прогнозируемом периоде 1 год составит приблизительно 0,03.

Г.7.3 Примеры 5 и 6 иллюстрируют прогнозирование риска нарушения требований по защите информации для сравнения эффективности защиты информации в приложении к варианту 1 нескольких автономных ЦЗн, каждый из которых специализируется на решении профильных задач (см. рисунок Г.4), и варианту 2 с добавлением единого ЦЗн, интегрирующего возможности всех автономных ЦЗн и по сути исполняющего функции резервного центра при реальных отказах, связанных в том числе с нарушениями требований по защите информации, - см. рисунок Г.5.

Именно эти две структуры определяют в примерах 5 и 6 моделируемые системы.

Рисунок Г.4 - Моделируемая система для варианта 1

Рисунок Г.5 - Моделируемая система для варианта 2

Г.7.3.1 Пример 5 демонстрирует прогнозирование риска нарушения требований по защите информации в нескольких автономных ЦЗн (вариант 1). Элементами моделируемой системы являются элементы 1-5. формально ассоциируемые с активами и выходными результатами решения профильных задач соответственно 1-го - 5-го типов (см. рисунок Г.4).

По определению отсутствие нарушений требований по защите информации в моделируемой системе считается обеспеченным в течение заданного периода прогноза, если в течение этого периода отсутствуют нарушения во всех автономных ЦЗн. Сам период прогноза для отдельного элемента может быть интерпретирован как относящийся к стадии создания (по угрозам, свойственным этой стадии), так и к стадии эксплуатации в будущем (по потенциально возможным угрозам).

Выполняя шаг 3 методики, выявлено множество критичных угроз, влияющих на безопасность каждого из структурных элементов моделируемой системы. Гипотетичные исходные данные по каждому из пяти элементов моделируемой системы с кратким обоснованием в комментариях представлены в таблице Г.1.

Таблица Г.1 - Гипотетичные исходные данные для прогнозирования риска нарушения требований по защите информации в процессе управления знаниями о системе

Исходные данные	Элементы	Значения и комментарии
- частота возникновения источников угроз нарушения требований по защите информации	1	четыре раза в год, что соизмеримо с возникновением угроз, связанных с субъективными факторами и ошибками специалистов средней квалификации в области ИТ при решении задач обеспечения экологически безопасной морской разведки, добычи и транспортировки различных видов полезных ископаемых в экстремальных природно-климатических условиях
	2	два раза в год, что соизмеримо со временем наработки на отказ программно-технического оборудования для обеспечения комплексной безопасности работ на континентальном шельфе, включая мониторинг и прогнозирование экстремальных ситуаций природного и техногенного характера
	3	один раз в год, что соизмеримо с возникновением угроз, связанных с причинами человеческих ошибок на уровнях принятия решений по предотвращению и ликвидации аварийных разливов нефти в ледовых условиях, включая создание технологий обнаружения нефти подо льдом
	4	один раз в два года, что соизмеримо с возникновением угроз от использования недекларируемых возможностей программного обеспечения в технологиях комплексного гидрометеорологического и экологического мониторинга опасных природных явлений в арктических регионах
	5	один раз в два года, что соизмеримо с возникновением угроз от использования недекларируемых возможностей программного обеспечения в технологиях дистанционного зондирования Земли, включая экологический мониторинг, оценку ресурсов и прогнозирование состояния окружающей среды Арктики
- среднее время развития угроз с момента возникновения источников угроз до нарушения требований по защите информации	1-5	1 сут (предполагается, что из-за источника угроз активизируются не сразу, а с некоторой задержкой не менее суток) - это время до возможного ущерба после возникновения признаков угроз
Т меж - среднее время между окончанием предыдущей и началом очередной диагностики возможностей системы по выполнению требований по защите информации	1	1 ч - определяется регламентом контроля целостности программного обеспечения и активов ЦЗн при сменной работе в части морской разведки, добычи и транспортировки различных видов полезных ископаемых в экстремальных природно-климатических условиях
	2	1 ч - определяется регламентом контроля целостности программного обеспечения и активов при мониторинге экстремальных ситуаций природного и техногенного характера
	3	2 ч - определяется регламентом контроля целостности программного обеспечения и активов ЦЗн при сменной работе в части предотвращения и ликвидации аварийных разливов нефти в ледовых условиях
	4	1 ч - определяется регламентом контроля целостности программного обеспечения и активов ЦЗн при комплексном гидрометеорологическом и экологическом мониторингах опасных природных явлений в арктических регионах
	5	8 ч - определяется регламентом контроля целостности программного обеспечения и активов ЦЗн при сменной работе в части дистанционного зондирования Земли, включая экологический мониторинг, оценку ресурсов и прогнозирование состояния окружающей среды Арктики
Т диаг - среднее время диагностики состояния активов и самой системы	1-5	30 с что соизмеримо с длительностью автоматического контроля целостности программного обеспечения и активов ЦЗн
Т восст - среднее время восстановления требуемой нормы эффективности защиты информации после выявления нарушений	1-5	5 мин включая перезагрузку программного обеспечения и восстановление данных ЦЗн
Т зад - задаваемая длительность периода прогноза	1-5	от одного месяца до двух лет (для определения периода, при котором сохраняются гарантии непревышения допустимого риска нарушения требований по защите информации)

Выполняя шаг 4 методики, прогнозирование риска нарушения требований по защите информации осуществлено с использованием рекомендаций В.3.

Анализ результатов моделирования согласно рекомендациям В.3 показал, что в вероятностном выражении риск нарушения требований по защите информации в течение года составит за весь комплекс центров знаний около 0,222 - см. рисунок Г.6, составляя для 1-го элемента - 0,080 ("узкое место"), для 2-го - 4-го элементов не превышая 0,041, а для 5-го элемента - 0,072 ("узкое место"). При изменении длительности периода прогноза от одного до четырех месяцев риск возрастает от 0,020 до 0,080. Для допустимого риска на уровне 0,050 обоснован период до 2,5 мес, при котором сохраняются гарантии непревышения допустимого риска для всего комплекса центров знаний, характеризуемых условиями примера из таблицы Г.1, - см. рисунок Г.7.

Рисунок Г.6 - Оценки риска нарушения требований по защите информации в течение года

Рисунок Г.7 - Зависимость риска за все центры знаний от периода прогноза длительностью от одного до четырех месяцев

Уровни рисков для угроз выходным результатам ЦЗн1 (связанным с субъективными факторами и ошибками специалистов средней квалификации в области ИТ при решении задач обеспечения экологически безопасной морской разведки, добычи и транспортировки различных видов полезных ископаемых в экстремальных природно-климатических условиях - элемент 1) и угроз выходным результатам ЦЗн2 (связанным с использованием недекларируемых возможностей программного обеспечения в технологиях дистанционного зондирования Земли, включая экологический мониторинг, оценку ресурсов и прогнозирование состояния окружающей среды Арктики - элемент 5) являются определяющими в общем риске нарушения требований по защите информации за год. Причем причиной того, что элемент 1 представляет собой своеобразное "узкое место" в комплексе ЦЗн, является сравнительно высокая частота возникновения источников угроз совершения человеческих ошибок (4 раза в год). А для элемента 5 причиной является сравнительно большое среднее время между окончанием предыдущей и началом очередной диагностики возможностей системы в части выполнения требований по защите информации (через 8 ч) - см. таблицу Г.1.

Г.7.3.2 Пример 6 демонстрирует прогнозирование риска нарушения требований по защите информации с добавлением единого ЦЗн, интегрирующего возможности всех автономных ЦЗн и исполняющего функции резервного центра при различного рода отказах в профильных ЦЗн (вариант 2) - см. рисунок Г.5.

Рассмотрены два случая:

- случай 1: частота возникновение источников угроз возрастает до 1 раза в месяц, что ненамного превышает суммарную частоту возникновения различных источников угроз для ЦЗн1 - ЦЗн5 по таблице Г.1;

- случай 2: частота возникновение источников угроз возрастает до 1 раза в сутки, что в 30 раз превышает частоту по сравнению со случаем 1 и сравнимо с умышленными компьютерными атаками на единый ЦЗн.

Для обоих случаев среднее время между окончанием предыдущей и началом очередной диагностики возможностей системы по выполнению требований по защите информации составляет 1 ч, что свойственно большинству профильных ЦЗн.

Анализ результатов моделирования согласно рекомендациям В.3 для сложной структуры, приведенной на рисунке Г.5, показал следующее.

Для случая 1 в вероятностном выражении суммарный риск нарушения требований по защите информации в течение года составит за весь комплекс центров знаний около 0,051, т.е. уменьшится по сравнению с примером 5 более чем в 4 раза. Это достигнуто за счет резервирования функционирования профильных центров знаний возможностями единого ЦЗн. При изменении длительности периода прогноза от 6 до 24 мес риск возрастает от 0,015 до 0,161. А для допустимого риска на уровне 0,050 обоснован период до 11,7 мес, при котором сохраняются гарантии непревышения допустимого риска для всего комплекса ЦЗн, характеризуемых условиями случая 1 примера 6 (см. рисунок Г.8).

Для случая 2, ассоциируемого с ежедневными умышленными атаками на единый ЦЗн, суммарный риск нарушения требований по защите информации в течение года составит за весь комплекс центров знаний около 0,222, т.е. такой же, как для примера 5 с частотой возникновения источников угроз, в 30 раз меньшей. При изменении длительности периода прогноза от 1 до 4 мес риск возрастает от 0,010 до 0,074. А для допустимого риска на уровне 0,050 обоснован период до 2,9 мес, при котором сохраняются гарантии непревышения допустимого риска для всего комплекса центров знаний, характеризуемых условиями случая 2 примера 6 (см. рисунок Г.9).

Рисунок Г.8 - Зависимость риска за все ЦЗн от периода прогноза длительностью от 6 до 24 мес (для случая 1)

Рисунок Г.9 - Зависимость риска за все ЦЗн от периода прогноза длительностью от 1 до 4 мес (для случая 2 - умышленные атаки)

Г.7.4 Пример 7. В продолжение примеров 1-6 интегральный риск R _интегр(Т _зад) нарушения реализации процесса управления знаниями с учетом требований по защите информации рассчитан с использованием рекомендаций раздела В.4.

Учитывая, что период прогноза Т _зад = 1 год, по результатам расчетов примеров 1-4 имеет место R _{обобщен}(Т _зад) = 0,030, а по результатам расчетов 6-го примера (случай 2 - умышленные атаки на единый ЦЗн) R _наруш(Т _зад) = 0,051, по формуле (В.10)

.

В итоге интегральный риск нарушения реализации процесса управления знаниями о системе в течение года с учетом требований по защите информации составит 0,080. При этом риск нарушения требований по защите информации (0,051) в 1,57 раза меньше обобщенного риска нарушения надежности реализации процесса управления знаниями без учета требований по защите информации. Тем не менее необходим дополнительный поиск мер повышения эффективности защиты информации для непревышения допустимого риска, установленного на уровне 0,050.

Принятие решений по способам снижения рисков должно быть количественно обосновано с использованием моделей, методов и методик, рекомендуемых в приложениях В, Г, Д, Е или иными приемлемыми методами.

Примечание - Другие примеры прогнозирования рисков и способы решения различных задач системного анализа приведены в ГОСТ Р ИСО 11231, ГОСТ Р 58494, ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59334, ГОСТ Р 59338, ГОСТ Р 59339, ГОСТ Р 59341, ГОСТ Р 59347, ГОСТ Р 59349, ГОСТ Р 59354, ГОСТ Р 59355.

Г.8 Материально-техническое обеспечение

В состав материально-технического обеспечения для прогнозирования рисков входят (в части, свойственной процессу управления знаниями о системе):

- результаты обследования, концепция создания, технический облик и/или ТЗ на разработку (для создаваемой системы), конструкторская и эксплуатационная документация (для существующей системы), их используют для формирования исходных данных при моделировании;

- модель угроз безопасности информации (ее используют для формирования необходимых исходных данных при моделировании и обоснования усовершенствований в результате решения задач системного анализа);

- записи из системного журнала учета предпосылок, инцидентов и аварий при функционировании системы, связанных с нарушением требований по защите информации (их используют для формирования исходных данных при моделировании);

- планы ликвидации нарушений, инцидентов и аварий, связанных с нарушением требований по защите информации, и восстановления целостности системы (их используют для формирования исходных данных при моделировании и обоснования усовершенствований в результате решения задач системного анализа);

- обязанности должностных лиц и инструкции по защите информации при выполнении процесса (их используют для формирования исходных данных при моделировании и обоснования усовершенствований в результате решения задач системного анализа);

- программные комплексы, поддерживающие применение математических моделей и методов по настоящим методическим указаниям (их используют для проведения расчетов и поддержки процедур системного анализа).

Г.9 Отчетность

По результатам прогнозирования рисков составляют протокол или отчет по ГОСТ 7.32 или по форме, устанавливаемой в организации.