Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Национальный стандарт РФ ГОСТ Р 59329-2021 "Системная инженерия. Защита информации в процессах приобретения и поставки продукции и услуг для системы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 апреля 2021 г. N 305-ст)
- Приложение Г (справочное). Типовые допустимые значения показателей рисков для процессов приобретения и поставки
Приложение Г (справочное). Типовые допустимые значения показателей рисков для процессов приобретения и поставки
Приложение Г
(справочное)
Типовые допустимые значения показателей рисков для процессов приобретения и поставки
С точки зрения остаточного риска, характеризующего приемлемый уровень целостности рассматриваемой системы, предъявляемые требования системной инженерии подразделяют на требования при допустимых рисках, обосновываемых по прецедентному принципу согласно ГОСТ Р 59349, и требования при рисках, свойственных реальной или гипотетичной системе-эталону. При формировании требований системной инженерии необходимо обоснование достижимости целей системы и рассматриваемого процесса приобретения или поставки продукции и/или услуг для системы, а также целесообразности использования количественных показателей рисков в дополнение к качественным показателям, определяемым по ГОСТ Р ИСО/МЭК 27005. При этом учитывают важность и критичность системы, ограничения на стоимость ее создания и эксплуатации, указывают другие условия в зависимости от специфики.
Требования системной инженерии при принимаемых рисках, свойственных системе-эталону, являются наиболее жесткими, они не учитывают специфики рассматриваемой системы, а ориентируются лишь на мировые технические и технологические достижения для удовлетворения требований заинтересованных сторон и рационального решения задач системного анализа. Полной проверке на соответствие этим требованиям подлежит система в целом, составляющие ее подсистемы и реализуемые процессы жизненного цикла. Выполнение этих требований является гарантией обеспечения высокого качества и безопасности рассматриваемой системы. Вместе с тем проведение работ системной инженерии с ориентацией на риски, свойственные системе-эталону, характеризуются существенно большими затратами по сравнению с требованиями, ориентируемыми на допустимые риски, обосновываемые по прецедентному принципу. Это заведомо удорожает разработку рассматриваемой системы, увеличивает время до принятия ее в эксплуатацию и удорожает саму эксплуатацию системы.
Требования системной инженерии при допустимых рисках, свойственных конкретной системе или ее аналогу и обосновываемых по прецедентному принципу, являются менее жесткими, а их реализация - менее дорогостоящей по сравнению с требованиями для рисков, свойственных системе-эталону. Использование данного варианта требований обусловлено тем, что на практике может оказаться нецелесообразной (из-за использования ранее зарекомендовавших себя технологий, по экономическим или иным соображениям) или невозможной ориентация на допустимые риски, свойственные системе-эталону. Вследствие этого минимальной гарантией обеспечения надежности реализации рассматриваемого процесса приобретения или поставки продукции и/или услуг для системы является выполнение требований системной инженерии при допустимом риске заказчика, обосновываемом по прецедентному принципу.
Типовые допустимые значения количественных показателей рисков для каждого из процессов приобретения или поставки продукции и/или услуг для системы отражены в таблице Г.1. При этом период прогноза для расчетных показателей подбирают таким образом, чтобы вероятностные значения рисков не превышали допустимые. В этом случае для задаваемых при моделировании условий имеет место гарантия надежной реализации рассматриваемого процесса в течение задаваемого периода прогноза.
Таблица Г.1 - Пример задания допустимых значений рисков
|
Показатель |
Допустимое значение риска (в вероятностном выражении) |
|
|
при ориентации на обоснование по прецедентному принципу |
при ориентации на обоснование для системы-эталона |
|
|
Риск нарушения требований по защите информации в процессе приобретения или поставки продукции и/или услуг для системы |
Не выше 0,05 |
Не выше 0,01 |
|
Интегральный риск нарушения реализации процесса приобретения продукции и/или услуг для системы с учетом требований по защите информации |
Не выше 0,10 |
Не выше 0,05 |
|
Интегральный риск нарушения реализации процесса поставки продукции и/или услуг для системы с учетом требований по защите информации |
Не выше 0,10 |
Не выше 0,05 |