Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 59356-2021 "Системная инженерия. Защита информации в процессе сопровождения системы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18 мая 2021 г. N 374-ст)
- Приложение В (справочное). Типовые модели и методы прогнозирования рисков
Приложение В (справочное). Типовые модели и методы прогнозирования рисков
Приложение В
(справочное)
Типовые модели и методы прогнозирования рисков
В.1 Основные положения
В.1.1 Для прогнозирования рисков в процессе сопровождения системы могут применяться любые возможные методы, обеспечивающие приемлемое достижение поставленных целей. Типовые модели и методы прогнозирования рисков обеспечивают вероятностную оценку следующих показателей:
- риска нарушения надежности реализации процесса сопровождения системы без учета требований по защите информации (см. В.1.2-В.1.8, В.2);
- риска нарушения требований по защите информации в процессе сопровождения системы (см. В.3);
- интегрального риска нарушения реализации процесса сопровождения системы с учетом требований по защите информации (см. В.4).
В.1.2 Для расчета типовых показателей рисков исследуемые сущности рассматривают в виде моделируемой системы простой или сложной структуры. Модели и методы системного анализа таких систем используют данные, получаемые по факту наступления событий, по выявленным предпосылкам к наступлению событий, и данные собираемой и накапливаемой статистики по процессам и возможным условиям их реализации.
Моделируемая система простой структуры представляет собой систему из единственного элемента или множества элементов, логически объединенных для анализа как один элемент. Анализ системы простой структуры осуществляют по принципу "черного ящика", когда известны входы и выходы, но неизвестны внутренние детали функционирования системы. Моделируемая система сложной структуры представляется как совокупность взаимодействующих элементов, каждый из которых рассматривается как "черный ящик", функционирующий в условиях неопределенности.
В.1.3 При анализе "черного ящика" для вероятностного прогнозирования рисков осуществляют формальное определение пространства элементарных состояний. Это пространство элементарных состояний формируют в результате статистического анализа произошедших событий с их привязкой к временной оси. Предполагается повторяемость событий. Чтобы провести системный анализ для ответа на условный вопрос "Что будет, если...", при формировании сценариев возможных нарушений статистика реальных событий по желанию исследователя процессов может быть дополнена гипотетичными событиями, характеризующими ожидаемые и/или прогнозируемые условия сопровождения системы. Применительно к анализируемому сценарию осуществляют расчет вероятности пребывания элементов моделируемой системы в определенном элементарном состоянии в течение задаваемого периода прогноза. Для негативных последствий при оценке рисков этой расчетной вероятности сопоставляют возможный ущерб.
В.1.4 Для математической формализации используют следующие основные положения:
- к началу периода прогноза предполагается, что целостность моделируемой системы обеспечена, включая изначальное выполнение требований по защите информации в системе (в качестве моделируемой системы простой или сложной структуры могут быть рассмотрены выходные результаты с задействованными активами и действия процесса, к которым предъявлены определенные требования по защите информации);
- в условиях неопределенностей возникновение и разрастание различных угроз описывается в терминах случайных событий;
- для различных вариантов развития угроз средства, технологии и меры противодействия угрозам с формальной точки зрения представляют собой совокупность мер и/или защитных преград, предназначенных для воспрепятствования реализации угроз.
Обоснованное использование выбранных мер и защитных преград является предупреждающими контрмерами, нацеленными на обеспечение успешной реализации процессов.
В.1.5 В В.2.2, В.2.3 приведены математические модели для прогнозирования рисков в системе, представляемой в виде "черного ящика". Модель В.2.2 для прогнозирования рисков при отсутствии какого-либо контроля является частным случаем модели В.2.3 при реализации технологии периодического системного контроля. Модель В.2.2 применима на практике лишь для оценки и сравнения случая полностью бесконтрольного функционирования моделируемой системы, например, там, где контроль невозможен или нецелесообразен по функциональным, экономическим или временным соображениям, или, когда ответственные лица пренебрегают функциями контроля или не реагируют должным образом на результаты системного анализа.
В.1.6 Для моделируемой системы сложной структуры применимы методы, изложенные в В.2.4, включая методы комбинации и повышения адекватности моделей.
В.1.7 При проведении оценок расчетных показателей на заданный период прогноза предполагают усредненное повторение количественных исходных данных, свойственных прошедшему аналогичному периоду для моделируемой системы или для системы, выбранной в качестве аналога. Для исследования запроектных сценариев при моделировании могут быть использованы гипотетичные исходные данные.
В.1.8 Изложение моделей в В.2 дано в контексте нарушения надежности реализации процесса сопровождения системы без учета требований по защите информации, в В.3 приведены способы прогнозирования риска нарушения требований по защите информации в процессе (в т.ч. с использованием моделей В.2). Методы прогнозирования интегрального риска нарушения реализации процесса сопровождения системы с учетом требований по защите информации представлены в В.4.
В приложении Г изложены методические указания по прогнозированию рисков.
В.1.9 Другие возможные подходы и подходы, подобные изложенным в В.2, В.3, для оценки рисков описаны в ГОСТ IEC 61508-3, ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р 54124, ГОСТ Р 58494, ГОСТ Р 58771, ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59341, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р МЭК 61069-1 - ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-5 - ГОСТ Р МЭК 61508-7.
В.2 Математические модели для прогнозирования риска нарушения надежности реализации процесса сопровождения системы
В.2.1 Общие положения
В.2.1.1 В моделях для анализа надежности реализации процесса под моделируемой системой понимается отдельное действие или множество действий процесса, получаемый выходной результат или множество выходных результатов (или иные сущности, подлежащие учету в моделируемой системе).
Примечание - Выполнение требований по защите информации в В.2 не рассматривается (учет этих требований см. в В.3 и В.4).
В.2.1.2 Для каждого элемента моделируемой системы возможны либо отсутствие какого-либо контроля, либо периодический системный контроль (диагностика) его целостности с необходимым восстановлением по результатам контроля.
В.2.1.3 В терминах системы, состоящей из элементов, отождествляемых с выполняемыми действиями или получаемыми выходными результатами (или иными рассматриваемыми сущностями), под целостностью моделируемой системы понимается такое состояние элементов модели системы, которое в течение задаваемого периода прогноза отвечает требованию обеспечения надежности реализации рассматриваемого процесса. С точки зрения вероятностного прогнозирования риска нарушения надежности реализации процесса сопровождения системы пространство элементарных состояний отдельного элемента моделируемой системы на временной оси образуют следующие состояния:
- "Целостность элемента моделируемой системы сохранена", если в течение всего периода прогноза обеспечена надежная реализация анализируемого действия или получения определенного выходного результата процесса;
- "Целостность элемента моделируемой системы нарушена" - в противном случае.
Примечание - Например, надежность реализации процесса сопровождения системы в течение задаваемого периода прогноза обеспечена, если в течение этого периода для всех недублируемых элементов моделируемой системы (т.е. для всех сущностей, логически объединяемых условием "И") обеспечена их целостность, т.е. на временной оси наблюдается элементарное состояние "Целостность элемента моделируемой системы сохранена" - см. также В.2.4.
В результате моделирования получают расчетные значения вероятностных показателей нахождения элементов моделируемой системы в определенном элементарном состоянии. В сопоставлении с возможным ущербом вероятность нахождения в состоянии "Целостность элемента моделируемой системы нарушена" характеризует риск нарушения надежности выполнения соответствующего действия или получения соответствующего выходного результата реализуемого процесса.
В.2.2 Математическая модель "черного ящика" при отсутствии какого-либо контроля
Моделируемая система представлена в виде "черного ящика", функционирование которого не контролируется. Восстановление возможностей по обеспечению выполнения действий процесса осуществляется по мере нарушения. В результате возникновения угроз и их развития может произойти нарушение надежности реализации процесса. С формальной точки зрения модель позволяет оценить вероятностное значение риска нарушения надежности реализации процесса сопровождения системы в течение заданного периода прогноза. С точки зрения системной инженерии этот результат интерпретируют следующим образом: результатом применения модели является расчетная вероятность нарушения надежности реализации процесса сопровождения системы в течение заданного периода прогноза при отсутствии какого-либо контроля.
Модель представляет собой частный случай модели В.2.3, если период между контролями состояния системы больше периода прогноза. Учитывая это, используют формулы (В.1)-(В.5).
В.2.3 Математическая модель "черного ящика" при реализации технологии периодического системного контроля
В моделируемой системе, представленной в виде "черного ящика", осуществляется периодический контроль состояния системы с точки зрения надежности реализации процесса сопровождения системы.
Примечание - Моделируемая система в виде "черного ящика" представляет собой единственный элемент.
Из-за случайного характера угроз, различных организационных, программно-технических и технологических причин, различного уровня квалификации специалистов, привлекаемых для контроля, неэффективных мер поддержания или восстановления приемлемых условий и в силу иных причин надежность реализации процесса сопровождения системы может быть нарушена. Такое нарушение способно повлечь за собой негативные последствия.
В рамках модели развитие событий в системе считается не нарушающим надежность реализации процесса сопровождения системы в течение заданного периода прогноза, если к началу этого периода требуемые условия для реализации процесса обеспечены и в течение всего периода либо источники угроз не активизируются, либо после активизации происходит их своевременное выявление и принятие адекватных мер противодействия угрозам. В целях моделирования предполагают, что существуют не только средства контроля (диагностики) состояния реализуемого процесса сопровождения системы, но и способы поддержания и/или восстановления возможностей по выполнению процесса при выявлении источников или следов активизации угроз. Восстановление осуществляется лишь в период системного контроля. Соответственно, чем чаще осуществляют системный контроль с должной реакцией на выявляемые нарушения или предпосылки к нарушениям, тем выше гарантии удержания рисков в допустимых пределах при реализации процесса сопровождения системы в условиях возможных угроз в течение периода прогноза (т.к. в принятой модели за счет предупреждающих действий по результатам диагностики устраняются появившиеся и/или активизируемые угрозы, тем самым отдаляется во времени момент нанесения ущерба от реализации какой-либо угрозы).
В модели рассмотрен следующий формальный алгоритм возникновения и развития потенциальной угрозы: сначала возникает источник угрозы, после чего он начинает активизироваться. По прошествии времени активизации, свойственного этому источнику угрозы (в общем случае время активизации представляет собой случайную величину), наступает виртуальный момент нарушения целостности моделируемой системы, интерпретируемый как момент реализации угрозы, приводящий к нарушению надежности реализации самого рассматриваемого процесса с возможными негативными последствиями. Если после виртуального начала активизации угрозы на временной оси наступает очередная диагностика целостности моделируемой системы, то дальнейшая активизация угрозы полагается предотвращенной до нанесения недопустимого ущерба, а источник угроз - нейтрализованным (до возможного нового появления какой-либо угрозы после прошедшей диагностики).
Примечание - Если активизация угрозы мгновенная, это считают эквивалентным внезапному отказу. Усилия системной инженерии как раз и направлены на использование времени постепенной активизации угроз для своевременного выявления, распознавания (в т.ч. на уровне предпосылок) и противодействия им.
Надежность реализации процесса сопровождения системы считается нарушенной лишь после того, как активизация источника угрозы происходит за период прогноза (т.е. возникает элементарное состояние "Целостность элемента моделируемой системы нарушена", означающее реализацию угрозы). При отсутствии нарушений результатом применения очередной системной диагностики является подтверждение возможностей по реализации процесса, а при наличии нарушений - полное восстановление нарушенных возможностей реализации процесса до приемлемого уровня. С точки зрения системной инженерии результатом применения модели является расчетная вероятность нарушения надежности реализации процесса сопровождения системы в течение заданного периода прогноза при реализации технологии периодического системного контроля (диагностики) целостности системы.
Для моделируемой системы, представленной в виде "черного ящика", применительно к выполняемым действиям, выходным результатам рассматриваемого процесса и защищаемым активам формально определяют следующие исходные данные:
- частота возникновения источников угроз с точки зрения нарушения надежности реализации процесса сопровождения системы;
- среднее время развития угроз (активизации источников угроз) с момента их возникновения до нарушения целостности (выполняемых действий процесса или защищаемых активов, используемых при выполнении действия) с точки зрения нарушения надежности реализации процесса;
Т меж - среднее время между окончанием предыдущей и началом очередной диагностики целостности моделируемой системы;
Т диаг - среднее время системной диагностики целостности моделируемой системы;
Т восст - среднее время восстановления нарушенной целостности моделируемой системы (учитывают путем использования способа 4 из В.2.4);
Т зад - задаваемая длительность периода прогноза.
Примечание - Переопределения этих исходных данных (согласно способу 1 из В.2.4), конкретизированные в приложении к выходным результатам и действиям процесса, приведены в Г.4.
Оценку вероятности R надежн (T зад) нарушения надежности реализации процесса в течение периода прогноза Т зад вычисляют по формуле
,
(В.1)
где Р возд(,
, Т меж, Т диаг, Т зад) - вероятность отсутствия нарушений надежности реализации процесса в системе в течение периода Т зад.
Примечание - В модели изложен случай, когда Т диаг = Т восст. Для учета более общего случая, когда средние времена системной диагностики и восстановления целостности не совпадают, используют способ 4 из В.2.4.
Возможны два варианта:
- вариант 1 - заданный оцениваемый период прогноза Т зад меньше периода между окончаниями соседних контролей (Т зад < Т меж + Т диаг);
- вариант 2 - заданный оцениваемый период прогноза Т зад больше или равен периоду между окончаниями соседних контролей (Т зад Т меж + Т диаг), т.е. за это время заведомо произойдет один или более контролей системы с восстановлением нарушенного выполнения процесса (если нарушения имели место к началу контроля).
Для варианта 1 при условии независимости исходных характеристик вероятность Р возд(1) (,
, Т меж, Т диаг, Т зад) отсутствия нарушений надежности реализации процесса сопровождения системы в течение периода прогноза Т зад вычисляют по формуле
.
(В.2)
Примечание - Формулу (В.2) используют также для оценки риска отсутствия нарушений надежности реализации процесса сопровождения системы при отсутствии какого-либо контроля в предположении, что к началу периода прогноза целостность моделируемой системы обеспечена, т.е. для расчетов по математической модели "черного ящика" при отсутствии какого-либо контроля (см. В.2.2).
Для варианта 2 при условии независимости исходных характеристик вероятность отсутствия нарушений надежности реализации процесса сопровождения системы в течение прогноза Т зад вычисляют по формуле
,
(В.3)
где Р серед - вероятность отсутствия нарушений надежности реализации процесса сопровождения системы в течение всех периодов между системными контролями, целиком вошедшими в границы времени Т зад, вычисляемая по формуле
,
(В.4)
где N - число периодов между диагностиками, которые целиком вошли в границы времени Т зад, с округлением до целого числа, N = [Т зад/(Т меж + Т диаг)] - целая часть,
Р кон - вероятность отсутствия нарушений надежности реализации процесса сопровождения системы после последнего системного контроля, вычисляемая по формуле (В.2), т.е.
,
где Т ост - остаток времени в общем заданном периоде Т зад по завершении N полных периодов, вычисляемый по формуле
.
(В.5)
Формула (В.3) логически интерпретируется так: для обеспечения выполнения требований по защите информации за весь период прогноза требуется обеспечение выполнения требований по реализации процесса на каждом из участков - будь то середина или конец задаваемого периода прогноза Т зад.
Примечание - Для расчетов Р возд(2) возможны иные вероятностные меры, например, когда N - действительное число, учитывающее не только целую, но и дробную части.
В итоге вероятность отсутствия нарушений надежности реализации процесса сопровождения системы в течение периода прогноза Т зад определяется аналитическими выражениями (В.2)-(В.5) в зависимости от варианта соотношений между исходными данными. Это позволяет вычислить по формуле (В.1) вероятность нарушения надежности реализации процесса сопровождения системы R надежн(,
, Т меж, Т диаг, Т зад) в течение заданного периода прогноза Т зад с учетом предпринимаемых технологических мер периодического системного контроля и восстановления возможностей по обеспечению выполнения процесса. С учетом возможного ущерба эта вероятность характеризует расчетный риск нарушения надежности реализации процесса сопровождения системы в течение заданного периода прогноза при реализации технологии периодического системного контроля.
Примечание - В частном случае, когда период между диагностиками больше периода прогноза Т зад < Т меж, модель В.2.3 превращается в модель В.2.2 для прогноза риска нарушения надежности реализации процесса сопровождения системы при отсутствии какого-либо контроля.
В.2.4 Расчет риска для систем сложной структуры, комбинация и повышение адекватности моделей
Описанные в В.2.2 и В.2.3 модели применимы для проведения оценок, когда система представляется в виде "черного ящика" и когда значения времен системной диагностики и восстановления нарушенной целостности совпадают. В развитие моделей В.2.2 и В.2.3 в настоящем подразделе приведены способы, позволяющие создание моделей для систем сложной структуры и более общего случая, когда значения времен системной диагностики и восстановления нарушенных возможностей системы различны.
Расчет основан на применении следующих инженерных способов.
1-й способ позволяет использовать одни и те же модели для расчетов различных показателей по области их приложения. Поскольку модели математические, то путем смыслового переопределения исходных данных возможно использование одних и тех же моделей для оценки показателей, различающихся по смыслу, но идентичных по методу их расчета.
2-й способ позволяет переходить от оценок систем или отдельных элементов, представляемых в виде "черного ящика", к оценкам систем сложной параллельно-последовательной логической структуры. В формируемой структуре, исходя из реализуемых технологий для системы, состоящей из двух элементов, взаимовлияющих на выполнение процесса, указывается характер их логического соединения.
Если два элемента соединяются последовательно, что означает логическое соединение "И", то в контексте надежности реализации процесса это интерпретируется так: "в системе обеспечена надежности реализации процесса в течение времени t, если 1-й элемент "И" 2-й элемент сохраняют свои возможности по надежной реализации процесса в течение этого времени". Если два элемента соединяются параллельно, что означает логическое соединение "ИЛИ", это интерпретируется так: "система сохраняет возможности по надежной реализации процесса в течение времени t, если 1-й элемент "ИЛИ" 2-й элемент сохраняет свои возможности по надежной реализации процесса в течение этого времени".
Для комплексной оценки в приложении к сложным системам используются рассчитанные на моделях вероятности нарушения надежности реализации процесса каждого из составных элементов за заданное время t. Тогда для простейшей структуры из двух независимых элементов вероятность нарушения надежности реализации процесса за время t определяют по формулам:
- для системы из двух последовательно соединенных элементов
;
(В.6)
- для системы из двух параллельно соединенных элементов
,
(В.7)
где P m(t) - вероятность нарушения надежности реализации процесса для m-го элемента за заданное время t, m = 1, 2.
Рекурсивное применение соотношений (В.6), (В.7) снизу-вверх дает соответствующие вероятностные оценки для сколь угодно сложной логической структуры с параллельно-последовательным логическим соединением элементов.
Примечание - Способ рекурсивного применения процессов рекомендован ГОСТ Р 57102. Рекурсивное применение снизу-вверх означает первичное применение моделей В.2.2 или В.2.3 сначала для отдельных системных элементов, представляемых в виде "черного ящика" в принятой сложной логической структуре системы, затем, учитывая характер логического объединения ("И" или "ИЛИ") в принятой структуре, по формулам (В.6) или (В.7) проводится расчет вероятности нарушения надежности реализации процесса за время t для объединяемых подсистем. И так - до объединения на уровне системы в целом. При этом сохраняется возможность аналитического прослеживания зависимости результатов расчетов по формулам (В.6) или (В.7) от исходных параметров моделей В.2.2 и В.2.3.
3-й способ в развитие 2-го способа позволяет использовать результаты моделирования для формирования заранее неизвестных (или сложно измеряемых) исходных данных в интересах последующего моделирования. На выходе моделирования по моделям В.2.2 и В.2.3 и применения 2-го способа получается вероятность нарушения надежности реализации процесса в течение заданного периода времени t. Если для каждого элемента просчитать эту вероятность для всех точек t от нуля до бесконечности, получится траектория функции распределения времени нарушения надежности реализации процесса по каждому из элементов в зависимости от реализуемых мер контроля и восстановления целостности, т.е. то, что используется в формулах (В.6) и (В.7). Полученный вид этой функции распределения, построенной по точкам (например, с использованием программных комплексов), позволяет традиционными методами математической статистики определить такой показатель, как среднее время до нарушения надежности реализации процесса каждого из элементов и системы в целом. С точки зрения системной инженерии это среднее время интерпретируют как виртуальную среднюю наработку на нарушение надежности реализации процесса сопровождения системы при прогнозировании риска по моделям В.2.2 и В.2.3 для системы простой и сложной структуры. Обратная величина этого среднего времени является частотой нарушений надежности реализации процесса в условиях определенных угроз и применяемых методов контроля и восстановления возможностей по обеспечению выполнения процесса для составных элементов. Именно это - необходимые исходные данные для последующего применения моделей В.2.2 и В.2.3 или аналогичных им для расчетов по моделям "черного ящика". Этот способ используют, когда изначальная статистика для определения частоты отсутствует или ее недостаточно.
4-й способ в дополнение к возможностям 2-го и 3-го способов повышает адекватность моделирования за счет развития моделей В.2.2 и В.2.3 в части учета времени на восстановление после нарушения надежности реализации процесса. В моделях В.2.2 и В.2.3 время системного контроля по составному элементу одинаково и равно в среднем Т диаг. Вместе с тем, если по результатам контроля требуются дополнительные меры для восстановления нарушенных возможностей по выполнению процесса в течение времени Т восст, то для расчетов усредненное время контроля Т диаг должно быть изменено. При этом усредненное время контроля вычисляют итеративно с заданной точностью:
- 1-я итерация определяет = Т диаг, задаваемое на входе модели. Для 1-й итерации при обнаружении нарушений полагается мгновенное восстановление нарушаемых возможностей по обеспечению выполнения процесса;
- 2-я итерация осуществляется после расчета риска R (1) по исходным данным после 1-й итерации
,
(В.8)
где R (1) - риск нарушения надежности реализации процесса с исходным значением , вычисляемый с использованием модели В.2.3. Здесь, поскольку на 1-й итерации
не учитывает времени восстановления, риск R (1), рассчитываемый с использованием модели В.2.3, ожидается оптимистичным (т.е. меньше реального, если время восстановления больше времени диагностики) или пессимистичным (если время восстановления заметно меньше времени диагностики при частых отказах);
- ... r-я итерация осуществляется после расчета риска R (r-1) по исходным данным после (r - 1)-й итерации
,
(В.9)
где R (r-1) - вычисляют по моделям В.2.2, В.2.3, но в качестве исходного уже выступает , рассчитанное на предыдущем шаге итерации. Здесь в большей степени учитывается время восстановления с частотой, стремящейся к реальной. Соответственно риск R (r-1) также приближается к реальному.
С увеличением r указанная последовательность сходится, и для дальнейших расчетов используют значение, отличающееся от точного предела
на величину, пренебрежимо малую по сравнению с задаваемой изначально точностью итерации
:
.
Таким образом, 4-й способ позволяет вместо одного исходного данного (среднего времени системной диагностики, включая восстановление нарушенной целостности моделируемой системы) учитывать два, которые могут быть различны по своему значению:
- Т диаг - среднее время системной диагностики целостности моделируемой системы;
- Т восст - среднее время восстановления нарушенной целостности моделируемой системы.
При этом для расчетов применяется одна и та же модель В.2.3.
В итоге за счет возможности учета различий в параметрах Т диаг и Т восст с использованием моделей и методов В.2.2-В.2.4 осуществляется расчет вероятности нарушения надежности реализации процесса R надежн (,
, Т меж, Т диаг, Т восст, Т зад), более общий по сравнению с расчетом R надежн (
,
, Т меж, Т диаг, Т зад), производимым по формуле (В.2).
Примечание - Способ итеративного применения процессов рекомендован ГОСТ Р 57102, адаптированный вариант этого способа приведен в ГОСТ Р 58494.
В.3 Математические модели для прогнозирования риска нарушения требований по защите информации
В.3.1 Общие положения
Прогнозирование рисков нарушения требований по защите информации осуществляют на основе применения математических моделей для прогнозирования риска нарушения требований по защите информации ГОСТ Р 59341-2021 (В.2 приложения В). Все положения по моделированию, изложенные в ГОСТ Р 59341 для процесса управления информацией, в полной мере применимы для прогнозирования риска нарушения требований по защите информации в процессе сопровождения системы (в части, свойственной этому процессу).
В моделях простой структуры под анализируемой системой понимается определенный выходной результат или действие, а также совокупность задействованных активов, к которым предъявляют требования и применяют меры защиты информации. Такую систему рассматривают как "черный ящик", если для него сделано предположение об использовании одной и той же модели угроз безопасности информации, и одной и той же технологии системного контроля выполнения требований по защите информации и восстановления системы после состоявшихся нарушений или выявленных предпосылок к нарушениям. В моделях сложной структуры под анализируемой системой понимается определенная упорядоченная совокупность составных элементов, каждый из которых логически представляет собой выходной результат и совокупность задействованных активов (выходной результат становится активом в итоге выполняемых действий), к которым предъявляют требования и применяют меры защиты информации. В общем случае для системы сложной структуры для различных элементов могут быть применены различные модели угроз безопасности информации или различные технологии системного контроля выполнения требований по защите информации и восстановления системы. Отдельный элемент рассматривается как "черный ящик".
Под целостностью моделируемой системы понимается такое ее состояние, которое в течение задаваемого периода прогноза отвечает целевому назначению модели системы. При моделировании, направленном на прогнозирование риска нарушения требований по защите информации, целевое назначение моделируемой системы проявляется в выполнении требований по защите информации. В этом случае для каждого из элементов и моделируемой системы в целом пространство элементарных состояний на временной оси образуют два основных состояния:
- "Выполнение требований по защите информации в системе обеспечено", если в течение всего периода прогноза обеспечено выполнение требований по защите информации;
- "Выполнение требований по защите информации в системе нарушено" - в противном случае.
В результате математического моделирования рассчитывают вероятность приемлемого выполнения требований по защите информации (т.е. пребывания в состоянии "Выполнение требований по защите информации в системе обеспечено") в течение всего периода прогноза и ее дополнение до единицы, представляющее собой вероятность нарушения требований по защите информации (т.е. пребывания в состоянии "Выполнение требований по защите информации в системе нарушено"). В свою очередь вероятность нарушения требований по защите информации в течение всего периода прогноза в сопоставлении с возможным ущербом определяет нарушения требований по защите информации.
Аналогично В.2 применяют математическую модель "черного ящика" при отсутствии какого-либо контроля или математическую модель "черного ящика" при реализации технологии периодического системного контроля, каждая из которых адаптирована к контексту защиты информации - см. ГОСТ Р 59341-2021 (В.2 приложения В).
С формальной точки зрения при сопоставлении с возможным ущербом модель позволяет оценить вероятностное значение риска нарушения требований по защите информации в моделируемой системе в течение заданного периода прогноза. С точки зрения системной инженерии этот результат интерпретируют следующим образом: результатом применения модели является расчетная вероятность нарушения требований по защите информации в процессе сопровождения системы в течение заданного периода прогноза при реализации технологии периодического системного контроля (диагностики). При этом учитываются предпринимаемые меры периодической диагностики и восстановления возможностей по обеспечению выполнения требований по защите информации.
В.3.2 Исходные данные и расчетные показатели
Для расчета вероятностных показателей применительно к моделируемой системе, где анализируемые сущности (выходные результаты, действия) могут быть представлены в виде системы или системного элемента - "черного ящика", используют исходные данные, формально определяемые в общем случае следующим образом:
- частота возникновения источников угроз нарушения требований по защите информации в процессе сопровождения системы;
- среднее время развития угроз с момента возникновения источников угроз до нарушения нормальных условий (например, до нарушения установленных требований по защите информации в системе или до инцидента);
Т меж - среднее время между окончанием предыдущей и началом очередной диагностики возможностей по обеспечению выполнения требований по защите информации в системе;
Т диаг - среднее время системной диагностики возможностей по обеспечению выполнения требований по защите информации (т.е. диагностики целостности моделируемой системы);
Т восст - среднее время восстановления нарушенных возможностей по обеспечению выполнения требований по защите информации в моделируемой системе;
Т зад - задаваемая длительность периода прогноза.
Расчетные показатели:
Р возд(,
, Т меж, Т диаг, Т восст, Т зад) - вероятность отсутствия нарушения требований защите информации в моделируемой системе в течение периода Т зад.
R наруш(,
, Т меж, Т диаг, Т восст, Т зад) - вероятность нарушения требований по защите информации в моделируемой системе в течение периода прогноза Т зад.
Расчет показателей применительно к процессу сопровождения для моделируемой системы простой или сложной структуры осуществляют по формулам ГОСТ Р 59341-2021 (В.2 приложения В). Расчет вероятности нарушения требований по защите информации в системе для процесса сопровождения системы в течение задаваемого периода прогноза R наруш(Т зад) = R наруш(,
, Т меж, Т диаг, Т восст, Т зад) осуществляют как дополнение до единицы значения Р возд(
,
, Т меж, Т диаг, Т восст, Т зад).
Примечание - При необходимости могут быть использованы модели, позволяющие оценивать защищенность от опасных программно-технических воздействий, от несанкционированного доступа и сохранение конфиденциальности информации в системе - см. ГОСТ Р 59341-2021 (В.3 приложения В).
В.4 Прогнозирование интегрального риска нарушения реализации процесса с учетом требований по защите информации
В сопоставлении с возможным ущербом интегральный риск нарушения реализации процесса сопровождения системы с учетом требований по защите информации R интегр(Т зад) для периода прогноза Т зад вычисляют по формуле
,
(В.10)
где R надежн(Т зад) - вероятность нарушения надежности реализации процесса сопровождения системы в течение периода прогноза Т зад без учета требований по защите информации, рассчитывается по моделям и рекомендациям В.2,
R наруш(Т зад) - вероятность нарушения требований по защите информации для процесса сопровождения системы в течение периода прогноза Т зад, рассчитывается по моделям и рекомендациям В.3.