Приложение Г (справочное). Методические указания по прогнозированию рисков для процесса управления инфраструктурой системы. Национальный стандарт РФ ГОСТ Р 59331-2021 "Системная инженерия. Защита информации в процессе управления инфраструктурой системы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 28.04.2021 N 307-ст)

Приложение Г
(справочное)

Методические указания
по прогнозированию рисков для процесса управления инфраструктурой системы

Г.1 Анализируемые объекты

Настоящие методические указания определяют типовые действия при расчетах основных количественных показателей рисков в процессе управления инфраструктурой системы:

- риска нарушения надежности реализации процесса управления инфраструктурой системы без учета требований по защите информации;

- риска нарушения требований по защите информации в процессе управления инфраструктурой системы;

- интегрального риска нарушения реализации процесса управления инфраструктурой системы с учетом требований по защите информации.

При этом риски характеризуют прогнозными вероятностными значениями в сопоставлении с возможным ущербом. Прогнозирование рисков осуществляют с использованием формализованного представления реальной системы в виде моделируемой системы.

Применительно к конкретной системе в целях прогнозирования рисков согласно 5.3, 6.1 определению подлежат:

- состав выходных результатов и выполняемых действий процесса управления инфраструктурой системы и используемых при этом активов;

- перечень потенциальных угроз и возможных сценариев возникновения и развития угроз для выходных результатов и выполняемых действий процесса управления инфраструктурой системы;

- иные сущности, используемые в прогнозировании рисков, при необходимости оценки того, насколько организация процесса управления инфраструктурой системы способна обеспечить возможности по выполнению процесса в заданных условиях.

Г.2 Цель прогнозирования рисков

Основной целью прогнозирования рисков является установление степени вероятного нарушения требований по защите информации и/или нарушения реализации исследуемого процесса управления инфраструктурой системы с учетом требований по защите информации за заданный период прогноза. Прогнозирование рисков осуществляется в интересах решения определенных задач системного анализа (см. раздел 7). Конкретные практические цели прогнозирования рисков устанавливают заказчик системного анализа и/или аналитик моделируемой системы при выполнении работ системной инженерии.

Г.3 Положения по формализации

Для решения задач системного анализа в качестве элементов моделируемой системы могут выступать: множество выходных результатов, множество действий процесса управления инфраструктурой системы или иные сущности (подлежащие учету), объединенные целевым назначением при моделировании.

Для каждого из элементов моделируемой системы в зависимости от поставленных целей могут решаться свои задачи системного анализа (см. раздел 7). В общем случае моделируемую систему представляют либо в виде "черного ящика" (см. В.2.2 и В.2.3), либо в виде сложной системы, элементы которой логически объединяются последовательно или параллельно (см. В.2.4). Для получения более точных результатов прогнозирования рисков осуществляют декомпозицию сложной моделируемой системы до уровня составных системных элементов, характеризуемых их параметрами и условиями эксплуатации и объединяемых для описания целостности моделируемой системы логическими условиями "И" и "ИЛИ". При этом целостность моделируемой системы (системного элемента) в течение задаваемого периода прогноза означает такое состояние этой системы (системного элемента), которое в течение периода прогноза обеспечивает ее целевое назначение.

Примечания

1 Логическое условие "И" для двух связанных этим условием элементов интерпретируется так: моделируемая система из двух последовательно соединяемых элементов находится в состоянии целостности, когда первый элемент "И" второй элемент находятся в состоянии целостности.

2 Логические условие "ИЛИ" для двух связанных этим условием элементов интерпретируется так: система из двух параллельно соединяемых элементов находится в состоянии целостности, когда первый элемент "ИЛИ" второй элемент находятся в состоянии целостности (в частности, когда для повышения надежности дублируется выполнение отдельных действий).

Для каждого из элементов и для моделируемой системы в целом вводится пространство элементарных состояний (с учетом логических взаимосвязей элементов условиями "И", "ИЛИ"). Например, в приложении к прогнозированию риска нарушения требований по защите информации пространство элементарных состояний на временной оси может быть формально определено двумя основными состояниями (см. также В.3.1):

- "Выполнение требований по защите информации в процессе управления инфраструктурой обеспечено", если в течение всего периода прогноза обеспечено выполнение требований по защите информации;

- "Выполнение требований по защите информации в процессе управления инфраструктурой нарушено" - в противном случае, т.е. с точки зрения математического моделирования невыполнение заданных требований считается нарушением целостности элемента.

В приложении к прогнозированию интегрального риска нарушения реализации процесса относительно выполняемых действий с учетом требований по защите информации пространство элементарных состояний на временной оси может быть формально определено другими двумя основными состояниями:

- "Отсутствуют нарушения реализации процесса управления инфраструктурой системы", если в течение всего периода прогноза обеспечено выполнение определенных действий процесса "И" выполнение определенных требований по защите информации;

- "Реализация процесса управления инфраструктурой системы нарушена" - в противном случае, т.е. если в течение всего периода прогноза произошло хотя бы одно нарушение выполнения определенных действий процесса (например, с точки зрения безопасности, качества или эффективности системы, что должно быть заранее формально определено для практической интерпретации реальных нарушений) "ИЛИ" были нарушены определенные требования по защите информации, что может повлечь за собой возникновение недопустимого ущерба.

В общем случае с применением 1-го способа по В.2.4 возможно расширение или переименование самих элементарных состояний. Главное, чтобы они не пересекались (для однозначной интерпретации событий) и формировали полное множество элементарных состояний.

В Г.7 приведены примеры прогнозирования рисков.

Использование аппарата прогнозирования рисков позволяет обосновывать допустимые риски. По существу для каждого анализируемого объекта есть свои условия приемлемости его использования по назначению, что делает возможным выбор критерия допустимости риска, основанного на прецедентном принципе согласно ГОСТ Р 59349 и приложению Д.

В качестве мер противодействия угрозам, способных снизить расчетные риски, могут выступать более частая (по сравнению со временем развития угроз) системная диагностика с восстановлением нормального функционирования моделируемой системы. При использовании задаваемых количественных границ допустимого риска статистические данные по реальным случаям нарушений этих границ позволяют формировать исходные данные для моделирования и осуществлять аналитическое обоснование упреждающих мер по снижению рисков или удержанию рисков в допустимых пределах и/или по снижению затрат и/или возможных ущербов при задаваемых ограничениях. Обоснованное определение сбалансированных системных мер, предупреждающих возникновение ущербов при ограничениях на ресурсы и допустимые риски, а также оценка и обоснование эффективных кратко-, средне- и долгосрочных планов по обеспечению безопасности осуществляют путем решения самостоятельных оптимизационных задач, использующих расчетные значения прогнозируемых рисков (см. рекомендуемый перечень методик в приложении Е).

Примечание - Рекомендации по задачам системного анализа приведены в ГОСТ Р 59349.

По мере решения на практике задач анализа и оптимизации применительно к процессу управления инфраструктурой системы создают базы знаний, содержащие варианты решения типовых задач системной инженерии.

Примечание - Примерами практического применения общих методических положений к системам дистанционного контроля в опасном производстве могут служить положения ГОСТ Р 58494-2019, приложения А-Е.

Г.4 Показатели, исходные данные и расчетные соотношения

Применительно к моделируемой системе, которая может быть представлена в виде "черного ящика" (см. В.2.1, В.2.2, В.3) или сложной логической структуры (см. В.2.3, В.3, В.4), расчетными показателями являются:

R _надежн (Т _зад) - Риск нарушения надежности реализации процесса управления инфраструктурой системы в течение задаваемого периода прогноза Т _зад без учета требований по защите информации;

R _наруш (Т _зад) - Риск нарушения требований по защите информации в процессе управления инфраструктурой системы в течение задаваемого периода прогноза Т _зад;

R _интегр (Т _зад) - интегральный риск нарушения реализации процесса управления инфраструктурой системы с учетом требований по защите информации в течение задаваемого периода прогноза Т _зад.

Применительно к моделируемой системе исходными данными являются данные, необходимые для проведения расчетов по моделям В.2 - В.4.

Г.5 Порядок прогнозирования рисков

Для прогнозирования рисков применительно к процессу управления инфраструктурой системы осуществляют следующие шаги.

Шаг 1. Определяют моделируемую систему и устанавливают анализируемые объекты для прогнозирования рисков. Действия осуществляют согласно Г.1.

Шаг 2. Устанавливают конкретные цели прогнозирования. Действия осуществляют согласно Г.2.

Шаг 3. Выявляют перечень существенных угроз, критичных с точки зрения недопустимого потенциального ущерба (см. также ГОСТ Р 59346). Принимают решение о представлении моделируемой системы в виде "черного ящика" или в виде сложной структуры, декомпозируемой до составных элементов. Формируют пространство элементарных состояний для каждого элемента и моделируемой системы в целом. Действия осуществляют согласно Г.3.

Шаг 4. Выбирают расчетные показатели согласно рекомендациям Г.4. Выбирают подходящие математические модели и методы повышения их адекватности по В.2, В.3, В.4. Осуществляют расчет выбранных показателей с использованием соотношений (В.1)-(В.10) и иных рекомендаций приложения В.

Г.6 Обработка и использование результатов прогнозирования рисков

Результаты прогнозирования рисков должны быть удобны для обработки заказчиком системного анализа и/или аналитиком процесса управления инфраструктурой системы. Результаты представляются в виде гистограмм, графиков, таблиц и/или в ином виде, позволяющем анализировать зависимости рисков от изменения значений исходных данных. Результаты расчетов подлежат использованию для решения задач системного анализа - см. раздел 7, приложение Е и ГОСТ Р 59349.

Г.7 Примеры

Г.7.1 Приводимые примеры демонстрируют отдельные аналитические возможности методических положений, рекомендуемых настоящим стандартом.

Согласно [27] сложившийся уровень развития социально-экономической, транспортной и информационно-коммуникационной инфраструктуры сухопутных территорий Арктической зоны РФ по состоянию на 2020 г. представляет собой множество долговременных разнородных угроз национальной безопасности в Арктике. При освоении Арктики неизбежны неопределенности в специфике решения практических задач, требующих математического моделирования, системного анализа и оптимизации на различных метауровнях.

Учитывая сложность и многогранность решаемых практических задач по освоению Арктики и стремление к эффективной реализации государственной политики РФ в Арктике на период до 2035 года и последующие десятилетия неизбежным является создание единого ЦОД (см. ГОСТ Р 58811, ГОСТ Р 58812), интегрирующего аналитические возможности для решения комплекса задач освоения Арктики. В условиях реальных и потенциальных угроз нарушения безопасности критической информационной инфраструктуры (см. [15]) защита информации в ЦОД имеет приоритетное значение. Не вдаваясь в детали и специфику разнородных инфраструктурных решений, подлежащих интеграции и применению, в рамках примеров продемонстрированы отдельные практические подходы к использованию настоящих методических указаний для решения ряда приоритетных задач освоения Арктики:

- задач развития социально-экономической инфраструктуры (задач 1-го типа), предусматривающих:

- инфраструктурное обустройство минерально-сырьевых центров, логистически связанных с Северным морским путем,

- ускоренное развития социальной инфраструктуры населенных пунктов, в которых расположены органы и организации, выполняющие функции в области обеспечения национальной безопасности и/или функции базы для развития минерально-сырьевых центров, реализации экономических и/или инфраструктурных проектов в Арктике,

- создание эффективной системы предупреждения и ликвидации (минимизации) последствий аварийных разливов нефти и нефтепродуктов на всей протяженности Северного морского пути и других морских транспортных коридоров,

- развитие системы энергоснабжения, модернизации объектов локальной генерации, расширения использования возобновляемых источников энергии, сжиженного природного газа и местного топлива,

- интенсификацию лесовосстановления, стимулирование развития лесной инфраструктуры и глубокой переработки лесных ресурсов;

- задач развития транспортной инфраструктуры (задач 2-го типа), предусматривающих:

- формирование ледокольного, аварийно-спасательного и вспомогательного флотов в составе, необходимом и достаточном для обеспечения круглогодичного, безопасного, бесперебойного и экономически эффективного судоходства в акваториях Северного морского пути и других морских транспортных коридоров,

- строительство и модернизацию морских портов, расширение возможностей судоходства по рекам Арктической зоны, включая проведение дноуглубительных работ, обустройство портов и портопунктов,

- строительство железнодорожных магистралей, обеспечивающих вывоз продукции из регионов европейской и азиатской частей страны по Северному морскому пути,

- расширение сети аэропортов и посадочных площадок, обеспечения транспортной доступности населенных пунктов, не имеющих связи с сетью автомобильных дорог общего пользования;

- задач развития информационно-коммуникационной инфраструктуры (задач 3-го типа), предусматривающих:

- развитие системы и средств постоянного комплексного космического мониторинга Арктики, независимых от иностранных технологий и средств информационного обеспечения,

- создание системы контроля за обеспечением безопасности судоходства, управлением транспортными потоками в районах интенсивного движения судов,

- совершенствование информационно-коммуникационной инфраструктуры, позволяющей оказывать услуги связи населению и хозяйствующим субъектам, в том числе прокладки подводных волоконно-оптических линий связи по трассе Северного морского пути.

В привязке к упомянутым задачам, позволяющей достичь демонстрационные цели примеров, применение методических указаний иллюстрирует прогноз:

- рисков нарушения надежности реализации процесса управления инфраструктурой без учета требований по защите информации;

- рисков нарушения требований по защите информации;

- интегрального риска нарушения реализации процесса управления инфраструктурой с учетом требований по защите информации.

Для определенности с точки зрения системной инженерии реализации процесса управления инфраструктурой системы рассмотрен фрагмент варианта создания и функционирования единого ЦОД в интересах решения задач развития социально-экономической, транспортной и информационно-коммуникационной инфраструктуры в Арктике. С учетом возможных ущербов цели прогнозирования рисков в примерах сформулированы следующим образом. В условиях существующей неопределенности осуществить:

- количественную оценку рисков нарушения надежности реализации процесса управления инфраструктурой системы без учета требований по защите информации;

- количественную оценку рисков нарушения требований по защите информации (как поэлементно по каждому типу инфраструктурных задач, так и за весь комплекс задач);

- выявление критичных факторов, влияющих на риски;

- определение такого периода, при котором сохраняются гарантии непревышения допустимых рисков;

- количественную оценку интегрального риска нарушения реализации процесса управления инфраструктурой системы с учетом требований по защите информации.

Вышеизложенное в Г.7.1 представляет собой пример выполнения шагов 1, 2 настоящих методических указаний (см. Г.5).

Г.7.2 Пример 1 (см. Г.7.3) иллюстрирует прогноз рисков нарушения надежности реализации процесса управления инфраструктурой системы без учета требований по защите информации с использованием ЦОД, создаваемого и действующего с учетом рекомендаций ГОСТ Р 58811, ГОСТ Р 58812 и 6.1.3 настоящего стандарта. Пример 2 (см. Г.7.4) иллюстрирует прогноз риска нарушения требований по защите информации непосредственно в ЦОД с ориентацией на инженерную инфраструктуру по ГОСТ Р 58812. Пример 3 (см. Г.7.5) дает представление об интегральном риске нарушения реализации процесса управления инфраструктурой системы с учетом требований по защите информации.

Полагая соизмеримость возможных ущербов в примерах осуществлен системный анализ с использованием вероятностных показателей рисков.

Г.7.3 Пример 1. Моделируемая система примера 1, демонстрирующего прогнозирование риска нарушения надежности реализации процесса управления инфраструктурой системы без учета требований по защите информации, представлена на рисунке Г.1. Здесь в качестве моделируемой системы выступает комплекс выходных результатов и активов для решения задач 1-го, 2-го и 3-го типов (см. Г.7.1). Применима следующая интерпретация: в течение задаваемого периода прогноза моделируемая система находится в элементарном состоянии "Целостность моделируемой системы сохранена" (т.е. обеспечена реализация процесса управления инфраструктурой системы, гарантирующая надежное получение выходных результатов), если каждый из элементов в течение всего периода находится в состоянии "Целостность элемента моделируемой системы сохранена" (т.е. обеспечена надежная реализация процесса управления инфраструктурой системы для решения задач развития социально-экономической, транспортной "И" информационно-коммуникационной инфраструктуры).

При выполнении шага 3 настоящих методических указаний (см. Г.5) выявлено множество возможных угроз, влияющих на надежность получения выходных результатов по каждому из структурных элементов. Не углубляясь в многочисленные технические аспекты постановки и решения задач развития социально-экономической, транспортной и информационно-коммуникационной инфраструктуры в Арктике (т.е. всех трех элементов, представленных на рисунке Г.1), в таблице Г.1 отражены гипотетичные усредненные исходные данные с возможным обоснованием принятых значений для моделирования по моделям В.2.2 и В.2.3 настоящего стандарта.

Рисунок Г.1 - Моделируемая система для примера 1

Таблица Г.1 - Исходные данные для прогнозирования риска нарушения надежности реализации процесса управления инфраструктурой системы без учета требований по защите информации

Исходные данные	Значения и комментарии
	для 1-го элемента, т.е. для решения задач развития социально-экономической инфраструктуры	для 2-го элемента, т.е. для решения задач развития транспортной инфраструктуры	для 3-го элемента, т.е. для решения задач развития информационно-коммуникационной инфраструктуры
- частота возникновения источников угроз нарушения надежности реализации процесса для элемента	2 раза в год (из-за проблем, связанных с трудностями доставки грузов в условиях Арктики и недостатка квалифицированных кадров)	1 раз в год (из-за проблем, связанных с технической и технологической сложностью решаемых задач и недостатка квалифицированных кадров)	1 раз в месяц (из-за проблем, связанных с отставанием в области ИТ, приобретением и использованием несертифицированного импортного ПО, не сертифицированного по требованиям безопасности, и несовершенного отечественного ПО для информационно-коммуникационной инфраструктуры)
- среднее время развития угроз для элемента с момента возникновения источников угроз до нарушения с возможным ущербом	6 мес (что соизмеримо со временем между критичными проблемами, выявляемыми на практике эксплуатации социально-экономической инфраструктуры) - это означает, что развитие угроз до возможного недопустимого ущерба из-за трудностей в доставке грузов и недостатка квалифицированных кадров составляет в среднем около 6 мес. В течение этого срока за счет управленческих воздействий возможно предотвращение ущерба	2 мес (что соизмеримо со временем между критичными проблемами, выявляемыми при испытаниях или эксплуатации объектов создаваемой транспортной инфраструктуры) - это означает, что развитие угроз до возможного недопустимого ущерба из-за технической и технологической сложности решаемых задач и недостатка квалифицированных кадров составляет в среднем около 2 мес. В течение этого срока за счет контроля и соответствующих управленческих воздействий возможно предотвращение ущерба	2 нед (что соизмеримо со временем между критичными ошибками в ПО, выявляемыми в процессе функционирования и при развитии информационно-коммуникационной инфраструктуры) - это означает, что развитие угроз до возможного недопустимого ущерба из-за отставания в области ИТ, приобретения и использования несертифицированного импортного ПО, не сертифицированного по требованиям безопасности, и несовершенного отечественного ПО составляет в среднем около 3 мес. В течение этого срока за счет контроля и соответствующих управленческих воздействий возможно предотвращение ущерба
Т меж - среднее время между окончанием предыдущей и началом очередной диагностики возможностей элемента	1 нед/по результатам системного анализа снижается до суток - определяется регламентом текущего контроля решения социально-экономических задач со стороны руководства поселений и предприятий	1 нед/по результатам системного анализа снижается до суток - определяется регламентом текущего контроля решения задач развития транспортной инфраструктуры со стороны руководства предприятий	1 ч - определяется регламентом автоматического контроля технологической безопасности используемой информационно-коммуникационной инфраструктуры
Т диаг - среднее время диагностики состояния элемента	1 ч - определяется временем удаленного сеанса связи для текущего контроля состояния решения социально-экономических задач	1 ч - определяется временем удаленного сеанса связи для текущего контроля состояния решения задач развития транспортной инфраструктуры	1 мин - автоматический контроль технологической безопасности используемой информационно-коммуникационной инфраструктуры
Т восст - среднее время восстановления элемента после выявления нарушений	3 дня - это время экстренного устранения на местах негативных последствий от неадекватного решения проблем, приведших к недопустимым ущербам	1 нед - это время экстренного устранения на местах негативных последствий от неадекватного решения проблем, приведших к недопустимым ущербам	30 мин - это среднее время восстановления работоспособности информационно-коммуникационной инфраструктуры (возможно, за счет перевода в дежурный технологический режим функционирования) после критичных нарушений, приведших к недопустимым ущербам
Т зад - задаваемая длительность периода прогноза	от 1 года до 4 лет работы по освоению Арктики (для определения периода, при котором сохраняются гарантии непревышения допустимого риска нарушения надежности реализации процесса управления инфраструктурой системы)

При выполнении шагов 4 и 5 настоящих методических указаний (см. Г.5) прогнозирование риска нарушения надежности реализации процесса управления инфраструктурой системы без учета требований по защите информации осуществлено с использованием расчетных соотношений (В.1)-(В.9) согласно рекомендациям В.2.2 и В.2.3. Для расчетов в качестве точечного периода прогноза выбран срок 2 года, который характерен для кратко- и среднесрочных планов реального создания и развития многих инфраструктурных проектов при освоении Арктики.

Анализ результатов расчетов показал, что в вероятностном выражении риск нарушения надежности реализации процесса без учета требований по защите информации в течение двух лет составит за все элементы 0,282, в т. ч. по 1-му элементу 0,089, по 2-му - 0,182, а по 3-му - 0,036 (см. рисунок Г.2). В свою очередь для прогноза на 1 год вероятность нарушения надежности реализации процесса без учета требований по защите информации не опустится ниже 0,150 (см. рисунок Г.3), а для прогноза на 4 года при еженедельном контроле вероятности нарушения надежности и успешной реализации процесса практически сравняются (0,49 против 0,51). На практике такой уровень рисков неприемлем, т.е. необходим поиск критичных факторов, влияющих на риски, и обоснование действенных способов снижения рисков.

Рисунок Г.2 - Риски нарушения надежности реализации процесса управления инфраструктурой системы без учета требований по защите информации по элементам 1-3 и за все элементы в течение 2 лет при еженедельном контроле

Рисунок Г.3 - Зависимость риска нарушения надежности реализации процесса управления инфраструктурой системы без учета требований по защите информации по всем элементам от длительности периода прогноза (от 1 до 4 лет) при еженедельном контроле

Дополнительные расчеты показали, что одним из критичных факторов выступает параметр "среднее время между окончанием предыдущей и началом очередной диагностики возможностей" для 1-го и 2-го элементов (Т _меж). За счет управленческого решения, выражающегося в изменении частоты контроля с еженедельного до ежесуточного, с принятием соответствующих мер противодействия угрозам при прочих неизменных условиях возможно снижение рисков в несколько раз. Достаточно сравнить риски на рисунках Г.2 и Г.4: по всем элементам достигнуто снижение риска в 2,1 раза, по 1-му элементу - в 4 раза, по 2-му элементу - в 1,7 раза, по 3-му элементу - в 2,6 раза. То есть за счет наиболее просто осуществляемых организационных мер, связанных с введением более частого контроля работ по развитию социально-экономической и транспортной инфраструктуры, достижимо существенное снижение рисков нарушения надежности реализации процесса управления инфраструктурой системы. Возможность достижения такого неочевидного эффекта выявлена на основе применения расчетных моделей В.2.2, В.2.3. Для прогноза на 1 год вероятность нарушения надежности реализации процесса без учета требований по защите информации составит 0,08 (см. рисунок Г.5). В свою очередь, в результате анализа расчетной зависимости риска от длительности периода прогноза (от 1 до 4 лет) дополнительно установлено, что в условиях примера при ежесуточном контроле уровень риска 0,10 не будет превышен в течение 1,3 года. Это означает, что, ориентируясь для процесса управления инфраструктурой при освоении Арктики на задаваемый допустимый риск на уровне 0,10, в условиях примера в течение 1,3 года будут сохранены гарантии непревышения допустимого риска.

Примечание - Слабозаметный пилообразный характер зависимости риска от периода прогноза на рисунках Г.3, Г.5 объясняется периодичностью диагностик с восстановлением целостности моделируемой системы и тем, что в моделях В.2.2, В.2.3 при расчетах используется целое количество диагностик, входящих в период прогноза. Сразу после диагностики риск нарушения снижается, со временем до следующей диагностики возрастает. Именно это является причиной некоторой пилообразности.

Рисунок Г.4 - Риски нарушения надежности реализации процесса управления инфраструктурой системы без учета требований по защите информации по элементам 1-3 и за все элементы в течение 2 лет при ежесуточном контроле

Рисунок Г.5 - Зависимость риска нарушения надежности реализации процесса управления инфраструктурой системы без учета требований по защите информации по всем элементам от длительности периода прогноза ( от 1 до 4 лет) при ежесуточном контроле

Г.7.4 Пример 2. Моделируемая система примера 2, демонстрирующего прогнозирование риска нарушения требований по защите информации, представлена на рисунке Г.6. В отличие от примера 1 моделируемая система представляет собой комплекс действий, связанных с:

- обслуживанием зданий и сооружений (элемент 1);

- обеспечением функционирования инженерно-технических систем (элемент 2);

- обеспечением функционирования инженерных сетей (элемент 3);

- решением задач развития социально-экономической инфраструктуры (элемент 4);

- решением задач развития транспортной инфраструктуры (элемент 5);

- решением задач развития информационно-коммуникационной инфраструктуры (элемент 6).

Применима следующая интерпретация: в течение задаваемого периода прогноза моделируемая система находится в элементарном состоянии "Выполнение требований по защите информации в системе обеспечено", если все учитываемые элементы в течение всего периода находятся в состоянии "Выполнение требований по защите информации для элемента обеспечено".

Не вдаваясь в детали осуществляемых действий на уровне инженерной инфраструктуры и функциональной части ЦОД, в таблице Г.2 отражены гипотетичные усредненные исходные данные с возможным обоснованием принятых значений для расчетов по моделям В.3 настоящего стандарта.

При выполнении шага 4 методики (см. Г.5) прогнозирование риска нарушения требований по защите информации осуществлено с использованием рекомендаций В.3. Для сохранения преемственности с примером 1 в качестве точечного периода прогноза по-прежнему выбран срок 2 года, характерный для кратко- и среднесрочных планов реального создания и развития многих инфраструктурных проектов при освоении Арктики.

Анализ результатов расчетов показал, что в вероятностном выражении риск нарушения требований по защите информации в течение двух лет составит за все элементы 0,219, в т. ч. по 1-му элементу - 0,122, по 2-му - 0,063, по 3-му - 0,032, по элементам 4, 5 и 6 - не превысит 0,011 (см. рисунок Г.7). В свою очередь, для прогноза на 4 года при ежесуточном контроле состояния инженерной инфраструктуры ЦОД (т.е. элементов 1, 2, 3) вероятность нарушения требований по защите информации за все действия ЦОД (т.е. элементы 1-6) составит около 0,39, а для прогноза на 1 год эта вероятность составит около 0,12 (см. рисунок Г.8). В целом результаты соизмеримы с результатами примера 1.

Рисунок Г.6 - Моделируемая система для примера 2

Таблица Г.2 - Исходные данные для прогнозирования риска нарушения требований по защите информации в процессе управления инфраструктурой системы

Исходные данные	Элементы	Значения и комментарии
- частота возникновения источников угроз нарушения требований по защите информации	Элемент 1	4 раза в год, что соизмеримо с возникновением угроз, связанных с субъективными факторами и ошибками специалистов средней квалификации в области ИТ при решении задач обслуживания зданий и сооружений
	Элемент 2	2 раза в год, что соизмеримо со временем наработки на отказ инженерно-технического оборудования при его функционировании
	Элемент 3	1 раз в год, что соизмеримо с возникновением угроз, связанных с причинами человеческих ошибок в обслуживании инженерных сетей
	Элемент 4	1 раз в 2 год, что соизмеримо с возникновением угроз от использования недекларируемых возможностей программного обеспечения при решении задач развития социально-экономической инфраструктуры
	Элемент 5	1 раз в 2 год, что соизмеримо с возникновением угроз от использования недекларируемых возможностей программного обеспечения при решении задач развития транспортной инфраструктуры
	Элемент 6	2 раза в год, что соизмеримо с возникновением угроз от использования импортного технического и программного обеспечения при обеспечении функционирования и решении задач развития информационно-коммуникационной инфраструктуры
- среднее время развития угроз с момента возникновения источников угроз до нарушения требований по защите информации	По всем элементам 1-6	1 мес (предполагается, что в целях скрытности источники угроз активизируются не сразу, а с некоторой задержкой не менее месяца) - это время до возможного ущерба после возникновения признаков возможных угроз
Т меж - среднее время между окончанием предыдущей и началом очередной диагностики возможностей системы по выполнению требований по защите информации	Элемент 1	24 ч - определяется регламентом контроля целостности программного обеспечения и активов ЦОД при сменной работе по обслуживанию зданий и сооружений
	Элемент 2	24 ч - определяется регламентом контроля целостности программного обеспечения и активов ЦОД при сменной работе по обслуживанию инженерно-технического оборудования
	Элемент 3	24 ч - определяется регламентом контроля целостности программного обеспечения и активов ЦОД при сменной работе по обслуживанию инженерных сетей
	Элемент 4	8 ч - определяется регламентом контроля целостности программного обеспечения и активов ЦОД при решении задач развития социально-экономической инфраструктуры
	Элемент 5	8 ч - определяется регламентом контроля целостности программного обеспечения и активов ЦОД при решении задач развития транспортной инфраструктуры
	Элемент 6	1 ч - определяется регламентом контроля целостности программного обеспечения и активов ЦОД при обеспечении функционирования и решении задач развития информационно-коммуникационной инфраструктуры
Т диаг - среднее время диагностики состояния активов и самой системы	По всем элементам 1-6	30 с, что соизмеримо с длительностью автоматического контроля целостности программного обеспечения и активов ЦОД
Т восст - среднее время восстановления требуемой нормы эффективности защиты информации после выявления нарушений	По всем элементам 1-6	10 мин, включая перезагрузку программного обеспечения и восстановление данных ЦОД
Т зад - задаваемая длительность периода прогноза	По всем элементам 1-6	От 1 года до 4 лет работ по освоению Арктики (для определения периода, при котором сохраняются гарантии непревышения допустимого риска нарушения требований по защите информации)

Рисунок Г.7 - Риски нарушения требований по защите информации по элементам 1-6 и за все элементы в течение 2 лет при ежесуточном контроле состояния объектов инженерной инфраструктуры ЦОД

Рисунок Г.8 - Зависимость риска нарушения требований по защите информации по всем элементам ЦОД от длительности периода прогноза (от 1 до 4 лет) при ежесуточном контроле состояния объектов инженерной инфраструктуры ЦОД

По аналогии с примером 1 одним из критичных факторов выступает параметр Т _меж - среднее время между окончанием предыдущей и началом очередной диагностики возможностей для инженерной инфраструктуры ЦОД (т.е. для 1-го, 2-го и 3-го элементов). За счет управленческого решения, выражающегося в изменении частоты контроля с ежесуточного до одного раза в 8 ч (что можно связать со сменной работой на объектах), с принятием соответствующих мер противодействия угрозам при прочих неизменных условиях возможно снижение рисков за все действия ЦОД (т.е. по всем элементам 1-6) с уровня 0,219 до 0,091 (сравните риски на рисунках Г.7 и Г.9). Таким образом, за счет наиболее просто осуществляемых организационных мер, связанных с введением более частого контроля состояния инженерной инфраструктуры (например, силами дежурной службы обеспечения информационной безопасности ЦОД), достижимо существенное снижение рисков нарушения требований по защите информации. Такой эффект выявлен на основе применения моделей и рекомендаций В.3. Для прогноза на 1 год вероятность нарушения требований по защите информации составит 0,05 (см. рисунок Г.10). В результате анализа расчетной зависимости риска от длительности периода прогноза (от 1 до 4 лет) дополнительно установлено, что в условиях примера при контроле инженерной инфраструктуры 1 раз в 8 ч уровень риска 0,10 не будет превышен в течение 2,3 года. Это означает, что, ориентируясь для процесса управления инфраструктурой при освоении Арктики на задаваемый допустимый риск нарушения требований по защите информации на уровне 0,10, в течение 2,3 года будут сохранены гарантии непревышения допустимого риска для условий таблицы Г.1. Это в 1,77 раза дольше по сравнению с аналогичным гарантийным сроком из примера 1.

Рисунок Г.9 - Риски нарушения требований по защите информации по элементам 1-6 и за все элементы в течение 2 лет при контроле состояния объектов инженерной инфраструктуры ЦОД каждые 8 ч

Рисунок Г.10 - Зависимость риска нарушения требований по защите информации по всем элементам ЦОД от длительности периода прогноза (от 1 до 4 лет) при контроле состояния объектов инженерной инфраструктуры ЦОД каждые 8 ч

Г.7.5 Пример 3. В продолжение примеров 1-2 интегральный риск R _интегр (Т _зад) нарушения реализации процесса управления инфраструктурой системы с учетом требований по защите информации рассчитан с использованием рекомендаций раздела В.4 для периода прогноза Т _зад = 1 год.

По результатам 1-го примера R _надежн (Т _зад) = 0,08 (см. рисунок Г.5), а по результатам 2-го примера R _наруш (Т _зад) = 0,05 (см. рисунок Г.10). Тогда по формуле (В.10)

.

В итоге интегральный риск нарушения реализации процесса управления инфраструктурой системы в течение года с учетом требований по защите информации составит 0,126. В общем случае такой уровень риска считается повышенным, он может быть признан приемлемым лишь в исключительных случаях, когда отсутствуют реальные возможности какого-либо противодействия угрозам. Поскольку такие возможности далеко не исчерпаны, необходим дополнительный поиск мер для снижения интегрального риска.

Принятие решений по способам снижения рисков должно быть количественно обосновано с использованием моделей, методов и методик, рекомендуемых в приложениях В, Г, Д, Е, или иными приемлемыми методами.

Примечание - Другие примеры прогнозирования рисков и способы решения различных задач системного анализа приведены в ГОСТ Р ИСО 11231, ГОСТ Р 58494, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59341, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59356.

Г.8 Материально-техническое обеспечение

В состав материально-технического обеспечения для прогнозирования рисков входят (в части, свойственной процессу управления инфраструктурой системы):

- результаты обследования, концепция создания, технический облик и/или ТЗ на разработку для создаваемой системы, конструкторская и эксплуатационная документация для существующей системы (используют для формирования исходных данных при моделировании);

- модель угроз безопасности информации (используют для формирования необходимых исходных данных при моделировании и обоснования усовершенствований в результате решения задач системного анализа);

- записи из системного журнала учета предпосылок, инцидентов и аварий при функционировании системы, связанных с нарушением требований по защите информации (используют для формирования исходных данных при моделировании);

- планы ликвидации нарушений, инцидентов и аварий, связанных с нарушением требований по защите информации, и восстановления целостности системы (используют для формирования исходных данных при моделировании и обоснования усовершенствований в результате решения задач системного анализа);

- обязанности должностных лиц и инструкции по защите информации при выполнении процесса (используют для формирования исходных данных при моделировании и обоснования усовершенствований в результате решения задач системного анализа);

- программные комплексы, поддерживающие применение математических моделей и методов по настоящим методическим указаниям (используют для проведения расчетов и поддержки процедур системного анализа).

Г.9 Отчетность

По результатам прогнозирования рисков составляется протокол или отчет по ГОСТ 7.32 или по форме, устанавливаемой в организации.