Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 59349-2021 "Системная инженерия. Защита информации в процессе системного анализа" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18 мая 2021 г. N 372-ст)
- Приложение В (справочное). Типовые модели и методы прогнозирования рисков
Приложение В (справочное). Типовые модели и методы прогнозирования рисков
Приложение В
(справочное)
Типовые модели и методы прогнозирования рисков
В.1 Общие положения
Процесс системного анализа применим ко всем системным процессам (к процессам соглашения, процессам организационного обеспечения проекта, процессам технического управления, техническим процессам) по ГОСТ Р 57193, ГОСТ Р 59329, ГОСТ Р 59330, ГОСТ Р 59331, ГОСТ Р 59332, ГОСТ Р 59333, ГОСТ Р 59334, ГОСТ Р 59335, ГОСТ Р 59336, ГОСТ Р 59337, ГОСТ Р 59338, ГОСТ Р 59339, ГОСТ Р 59340, ГОСТ Р 59341, ГОСТ Р 59342, ГОСТ Р 59343, ГОСТ Р 59344, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59348, ГОСТ Р 59350, ГОСТ Р 59351, ГОСТ Р 59352, ГОСТ Р 59353, ГОСТ Р 59354, ГОСТ Р 59355, ГОСТ Р 59356, ГОСТ Р 59357, в том числе непосредственно к себе самому. Для прогнозирования различных рисков применимы любые научно обоснованные модели и методы, обеспечивающие приемлемое достижение поставленных целей.
В настоящем приложении приведены ссылки на стандарты системной инженерии, содержащие рекомендации по типовым моделям, методам и необходимым исходным данным для прогнозирования рисков во всех системных процессах (см. В.2).
Применимые для процесса системного анализа специальные положения по прогнозированию риска нарушения надежности реализации процесса, риска нарушения требований по защите информации и интегрального риска изложены в В.3.
В.2 Ссылки на типовые модели и методы
Ссылки на стандарты системной инженерии, содержащие рекомендации по типовым моделям, методам и необходимым исходным данным для прогнозирования рисков при проведении системного анализа, отражены в таблице В.1.
Таблица В.1 - Ссылки на типовые модели и методы прогнозирования рисков
|
Системный процесс |
Вероятностные показатели риска |
Ссылки на типовые модели и методы |
|
Процессы приобретения и поставки продукции и услуг для системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59329-2021, приложение В |
|
Процесс управления моделью жизненного цикла системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59330-2021, приложение В |
|
Процесс управления инфраструктурой системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59331-2021, приложение В |
|
Процесс управления портфелем проектов |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59332-2021, приложение В |
|
Процесс управления человеческими ресурсами системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59333-2021, приложение В |
|
Процесс управления качеством системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59334-2021, приложение В |
|
Процесс управления знаниями о системе |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59335-2021, приложение В |
|
Процесс планирования проекта |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59336-2021, приложение В |
|
Процесс оценки и контроля проекта |
По ГОСТ Р 59337-2021, подраздел 6.3 |
ГОСТ Р 59337-2021, приложение В |
|
Процесс управления решениями |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59338-2021, приложение В |
|
Процесс управления рисками для системы |
По ГОСТ Р 59339-2021, подраздел 6.3 |
ГОСТ Р 59339-2021, приложение В |
|
Процесс управления конфигурацией системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59340-2021, приложение В |
|
Процесс управления информацией системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59341-2021, приложение В |
|
Процесс измерений системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59342-2021, приложение В |
|
Процесс гарантии качества для системы |
По ГОСТ Р 59343-2021, подраздел 6.3 |
ГОСТ Р 59343-2021, приложение В |
|
Процесс анализа бизнеса или назначения системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59344-2021, приложение В |
|
Процесс определения потребностей и требований заинтересованной стороны для системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59345-2021, приложение В |
|
Процесс определения системных требований |
Частные показатели риска реализации угроз безопасности информации в условиях отсутствия мер защиты информации, предлагаемых к использованию в процессе; частные показатели риска реализации угроз безопасности информации в случае применения мер защиты информации, предлагаемых к использованию в процессе; интегральный риск нарушения функционирования системы и утечки защищаемой информации при применении мер защиты информации, предлагаемых к использованию в процессе; показатель риска нарушения надежности реализации процесса определения системных требований в части защиты информации |
ГОСТ Р 59346-2021, приложения В, Д |
|
Процесс определения архитектуры системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59347-2021, приложение В |
|
Процесс определения проекта |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59348-2021, приложение В |
|
Процесс системного анализа |
По 6.3 |
Настоящий стандарт, приложение В |
|
Процесс реализации системы |
Риск нарушения надежности выполнения процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения выполнения процесса с учетом требований по защите информации |
ГОСТ Р 59350-2021, приложение В |
|
Процесс комплексирования системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59351-2021, приложение В |
|
Процесс верификации системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59352-2021, приложение В |
|
Процесс передачи системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59353-2021, приложение В |
|
Процесс аттестации системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59354-2021, приложение В |
|
Процесс функционирования системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59355-2021, приложение В |
|
Процесс сопровождения системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59356-2021, приложение В |
|
Процесс изъятия и списания системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации |
ГОСТ Р 59357-2021, приложение В |
Примечание - Другие возможные показатели, модели и методы оценки рисков приведены в ГОСТ IEC 61508-3, ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р 54124, ГОСТ Р 58045, ГОСТ Р 58494, ГОСТ Р 58771, ГОСТ Р МЭК 61069-1 - ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-5 - ГОСТ Р МЭК 61508-7.
В.3 Специальные положения по прогнозированию рисков для процесса системного анализа
В.3.1 Типовые модели и методы прогнозирования рисков обеспечивают вероятностную оценку следующих показателей:
- риска нарушения надежности реализации процесса системного анализа без учета требований по защите информации (см. В.3.2 - В.3.7, В.4);
- риска нарушения требований по защите информации в процессе системного анализа (см. В.5);
- интегрального риска нарушения надежности реализации процесса системного анализа с учетом требований по защите информации (см. В.6).
В.3.2 Для расчета показателей рисков исследуемые сущности процесса рассматривают в виде моделируемой системы простой или сложной структуры. Модели и методы системного анализа таких систем используют данные, получаемые по факту наступления событий, по выявленным предпосылкам к наступлению событий, данные собираемой и накапливаемой статистики по процессам и возможным условиям их реализации.
Система простой структуры представляет собой систему из единственного элемента или множества элементов, логически объединенных для анализа как один элемент. Анализ моделируемой системы простой структуры осуществляют по принципу "черного ящика", когда известны входы и выходы, но неизвестны внутренние детали функционирования системы. Система сложной структуры представляет собой совокупность взаимодействующих элементов, каждый из которых представляется в виде "черного ящика", функционирующего в условиях неопределенности.
В.3.3 При анализе "черного ящика" для вероятностного прогнозирования рисков осуществляют формальное определение пространства элементарных состояний. Это пространство элементарных состояний формируют в результате статистического анализа произошедших событий с их привязкой к временной оси. Предполагается повторяемость событий. Чтобы провести системный анализ для ответа на условный вопрос "Что будет, если...", при формировании сценариев возможных нарушений статистика реальных событий по желанию исследователя может быть дополнена гипотетичными событиями, характеризующими ожидаемые и/или прогнозируемые условия функционирования моделируемой системы. Применительно к анализируемому сценарию осуществляют расчет вероятности пребывания элементов моделируемой системы в определенном элементарном состоянии в течение задаваемого периода прогноза. Для негативных последствий при оценке рисков этой расчетной вероятности сопоставляют возможный ущерб.
В.3.4 Для математической формализации используют следующие основные положения:
- к началу периода прогноза предполагается целостность моделируемой системы, включая изначальное выполнение требований по защите информации в системе (в качестве моделируемой системы простой или сложной структуры могут быть рассмотрены выходные результаты с задействованными активами, действия процесса, а также иные сущности, подлежащие учету при системном анализе);
- в условиях неопределенностей возникновение и разрастание различных угроз описывается в терминах случайных событий;
- для различных вариантов развития угроз средства, технологии и меры противодействия угрозам с формальной точки зрения представляют собой совокупность мер, действий и/или защитных преград, предназначенных для воспрепятствования реализации угроз.
Обоснованное использование выбранных мер и защитных преград позволяет рассматривать их в качестве предупреждающих контрмер, нацеленных на обеспечение успешной реализации рассматриваемых процессов.
В.3.5 Математические модели для прогнозирования рисков в системе, представляемой в виде "черного ящика", приведены в В.4.1, В.4.2. Модель В.4.2 для прогнозирования рисков при отсутствии какого-либо контроля является частным случаем модели В.4.3 при использовании технологии периодического контроля. Модель В.4.2 применима на практике лишь для оценки и сравнения случая полностью бесконтрольного функционирования анализируемой системы, например, там, где контроль невозможен или нецелесообразен по функциональным, экономическим или временным соображениям, или там, где ответственные лица пренебрегают функциями контроля или не реагируют должным образом на результаты системного анализа.
В.3.6 Для систем сложной структуры применимы модели и методы, изложенные в В.4.4.
В.3.7 Изложение моделей в В.4 дано в контексте нарушения надежности реализации процесса системного анализа без учета требований по защите информации. Для адаптации математических моделей к контексту нарушения требований по защите информации в В.4.3 приведен инженерный способ 1, его применение продемонстрировано в В.5, В.6 и приложении Г.
В.3.8 Другие возможные подходы к оценке рисков описаны в ГОСТ IEC 61508-3, ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р 54124, ГОСТ Р 58494, ГОСТ Р 58771, ГОСТ Р МЭК 61069-1 - ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-5 - ГОСТ Р МЭК 61508-7, ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59341, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59356.
В.4 Математические модели для прогнозирования риска нарушения надежности реализации процесса системного анализа
В.4.1 Общие положения
В.4.1.1 Надежность реализации процесса системного анализа представляет собой свойство процесса сохранять во времени в установленных пределах значения показателей, характеризующих способность выполнить процесс в заданных условиях реализации. Выполнение требований по защите информации в В.4 не учитывается, их рассмотрение проведено в В.5 и В.6. Для каждого из рассматриваемых действий или выходных результатов, являющихся элементом в моделируемой системе простой или сложной структуры, возможны либо отсутствие какого-либо контроля, либо периодический системный контроль хода выполнения этого действия или получения выходного результата.
В.4.1.2 В терминах моделируемой системы, состоящей из элементов, отождествляемых с выполняемыми действиями или получаемыми выходными результатами, под целостностью моделируемой системы понимается такое состояние элементов рассматриваемой системы, которое в течение задаваемого периода прогноза отвечает требованию обеспечения надежной реализации процесса системного анализа. С точки зрения вероятностного прогнозирования риска нарушения надежности реализации процесса (например, для отдельного действия или выходного результата как элемента моделируемой системы) пространство элементарных состояний на временной оси образуют следующие основные состояния:
- "Целостность элемента моделируемой системы сохранена", если в течение всего периода прогноза обеспечена надежная реализация анализируемого действия или получения определенного выходного результата процесса, при этом обеспечено требуемое качество используемой в системном анализе информации;
- "Целостность элемента моделируемой системы нарушена" - в противном случае.
Примечание - Обеспечение требуемого качества используемой в системном анализе информации предполагает надежное и своевременное представление полной, достоверной и, при необходимости, конфиденциальной информации в ходе ее сбора и обработки (по ГОСТ Р 59341).
Надежность реализации процесса системного анализа в течение задаваемого периода прогноза обеспечена, если в течение этого периода для всех недублируемых элементов моделируемой системы (например, для всех осуществляемых действий или получаемых выходных результатов или иных рассматриваемых сущностей, логически объединяемых условием "И") обеспечена их целостность, т.е. наблюдается элементарное состояние "Целостность элемента моделируемой системы сохранена".
В.4.2 Математическая модель "черного ящика" при отсутствии какого-либо контроля
Моделируемая система представлена в виде "черного ящика", функционирование которого не контролируется. Восстановление возможностей по обеспечению выполнения действий процесса осуществляется по мере нарушения. В результате возникновения угроз и их развития может произойти нарушение надежности реализации процесса. С формальной точки зрения модель позволяет оценить вероятностное значение риска нарушения надежности реализации процесса в течение заданного периода прогноза. С точки зрения системной инженерии результатом применения модели является расчетная вероятность нарушения надежности реализации процесса системного анализа в течение заданного периода прогноза при отсутствии какого-либо контроля.
Модель представляет собой частный случай модели В.4.3, если период между контролями состояния системы больше периода прогноза. Учитывая это, используют формулы (В.1) - (В.5) из В.4.3.
В.4.3 Математическая модель "черного ящика" при использовании технологии периодического контроля
В моделируемой системе, представленной в виде "черного ящика", осуществляется периодический контроль ее состояния с точки зрения надежности реализации процесса системного анализа.
Из-за случайного характера угроз, различных организационных, программно-технических и технологических причин, различного уровня квалификации специалистов, привлекаемых для контроля целостности системы, неэффективных мер поддержания или восстановления приемлемых условий и в силу иных причин надежность реализации процесса системного анализа может быть нарушена. Такое нарушение способно повлечь за собой ущерб системе или иные негативные последствия.
В рамках модели развитие событий в системе считается не нарушающим надежность реализации процесса системного анализа в течение заданного периода прогноза, если к началу этого периода требуемые условия для реализации процесса обеспечены и в течение всего периода либо источники угроз не активизируются, либо после активизации происходит их своевременное выявление и принятие адекватных мер противодействия угрозам. В целях моделирования предполагают, что существуют не только средства контроля (диагностики) состояния реализуемого процесса системного анализа, но и способы поддержания и/или восстановления возможностей по выполнению процесса при выявлении источников или следов активизации угроз. Восстановление осуществляется лишь в период контроля (диагностики). Соответственно, чем чаще осуществляют контроль хода реализации процесса системного анализа с должной реакцией на выявляемые нарушения или предпосылки к нарушениям, тем выше гарантии ненарушения надежности его реализации из-за возможных угроз (т.к. нарушения устраняют за счет предупреждающих действий по результатам системной диагностики состояния моделируемой системы и выявления при диагностике предпосылок к нарушениям, отдаляя тем самым непосредственно момент нарушения).
За основу анализа принят следующий последовательный алгоритм возникновения потенциально существенной угрозы: сначала возникает источник угрозы, после чего он начинает активизироваться, представляя угрозу для нарушения надежности реализации процесса системного анализа. По прошествии периода активизации, свойственного этой угрозе (в общем случае этот период активизации представляет собой случайную величину), наступает виртуальный момент нарушения, интерпретируемый как момент реализации угрозы, т.е. нарушения надежности реализации процесса системного анализа с возможными негативными последствиями.
Примечание - Если активизация источника угрозы мгновенная, это считают эквивалентным внезапному отказу. Усилия системной инженерии как раз и направлены на использование времени постепенной активизации угроз для своевременного выявления, распознавания и противодействия им.
Надежность реализации процесса системного анализа считается нарушенной лишь после того, как активизация источника угрозы происходит за период прогноза (т.е. возникает элементарное состояние "Целостность элемента моделируемой системы нарушена"). При отсутствии нарушений результатом применения очередной системной диагностики является подтверждение возможностей по реализации процесса, а при наличии нарушений перед диагностикой результатом применения очередной системной диагностики является полное восстановление нарушенных возможностей реализации процесса (до приемлемого уровня).
С формальной точки зрения модель позволяет оценить вероятностное значение риска нарушения надежности реализации процесса системного анализа в моделируемой системе в течение заданного периода прогноза. С точки зрения системной инженерии этот результат интерпретируют следующим образом: результатом применения модели является расчетная вероятность нарушения надежности реализации процесса системного анализа в течение заданного периода прогноза при использовании технологии периодического контроля (диагностики). При этом учитываются предпринимаемые меры и действия периодической диагностики и восстановления возможностей по реализации процесса.
Для расчета риска нарушения надежности реализации процесса системного анализа применительно к анализируемой системе исходные данные формально определяют по отношению к выполняемым действиям процесса и защищаемым активам (при необходимости исходные данные переопределяют или детализируют):
- частота возникновения источников угроз с точки зрения нарушения надежности реализации процесса системного анализа;
- среднее время развития угроз (активизации источников угроз) с момента их возникновения до нарушения целостности (выполняемых действий процесса или защищаемых активов, используемых при выполнении действия) с точки зрения нарушения надежности реализации процесса системного анализа;
Т меж - среднее время между окончанием предыдущей и началом очередной диагностики целостности моделируемой системы;
Т диаг - среднее время системной диагностики целостности моделируемой системы;
Т восст - среднее время восстановления нарушаемой целостности моделируемой системы;
Т зад - задаваемая длительность периода прогноза.
Примечание - Возможные переопределения этих исходных данных (согласно инженерному способу 1 из В.4.4), конкретизированные в приложении к выходным результатам и действиям процесса, приведены в приложении Г.
Оценку вероятности нарушения надежности реализации процесса R надежн(Т зад) в течение периода прогноза Т зад осуществляют по формуле
,
(В.1)
где Р возд(,
, Т меж, Т диаг, Т зад) - вероятность отсутствия нарушений надежности реализации процесса в системе в течение периода Т зад.
Возможны два варианта:
- вариант 1 - заданный оцениваемый период прогноза Т зад меньше периода между окончаниями соседних контролей (диагностик) целостности (Т зад < Т меж + Т диаг);
- вариант 2 - заданный оцениваемый период прогноза Т зад больше или равен периоду между окончаниями соседних контролей (диагностик) целостности (Т зад Т меж + Т диаг) т.е. за это время заведомо произойдет одна или более диагностик целостности моделируемой системы с восстановлением нарушенного выполнения процесса (если нарушения имели место к началу контроля).
Для варианта 1 при условии независимости исходных характеристик вероятность Р возд(1) (,
, Т меж, Т диаг, Т зад) отсутствия нарушений надежности реализации процесса системного анализа в течение периода прогноза Т зад вычисляют по формуле
.
(В.2)
Примечание - Эту же формулу используют для оценки риска отсутствия нарушений надежности реализации процесса системного анализа при отсутствии какого-либо контроля в предположении, что к началу периода прогноза целостность моделируемой системы обеспечена, т.е. для расчетов по "Математической модели "черного ящика" при отсутствии какого-либо контроля".
Для варианта 2 при условии независимости исходных характеристик вероятность отсутствия нарушений требований по защите информации в моделируемой системе в течение прогноза Т зад вычисляют по формуле
,
(В.3)
где Р серед - вероятность отсутствия нарушений требований по защите информации в системе в течение всех периодов между системными контролями, целиком вошедшими в границы времени Т зад, вычисляемая по формуле
,
(В.4)
где N - число периодов между диагностиками, которые целиком вошли в границы времени Т зад, с округлением до целого числа, N = [Т зад/(Т меж + Т диаг)] - целая часть;
Р кон - вероятность отсутствия нарушений по защите информации после последнего системного контроля в конце периода прогноза до истечения времени Т зад, вычисляемая по формуле (В.2), т.е.
,
где Т ост - остаток времени в общем заданном периоде Т зад по завершении N полных периодов, вычисляемый по формуле
.
(В.5)
Формула (В.3) логически интерпретируется так: для обеспечения выполнения требований по защите информации за весь период прогноза требуется обеспечение выполнения требований по защите информации на каждом из участков - будь то середина или конец задаваемого периода прогноза Т зад.
Примечание - Для расчетов Р возд(2) возможны иные вероятностные меры, например, когда N - действительное число, учитывающее не только целую, но и дробную части.
В итоге вероятность отсутствия нарушений надежности реализации процесса системного анализа в течение периода прогноза Т зад определяется аналитическими выражениями (В.2) - (В.5) в зависимости от варианта соотношений между исходными данными. Это позволяет вычислить по формуле (В.1) вероятность нарушения надежности реализации процесса системного анализа R надежн (,
, Т меж, Т диаг, Т зад) в течение заданного периода прогноза Т зад с учетом предпринимаемых технологических мер периодического контроля и восстановления возможностей по выполнению процесса. С учетом возможного ущерба эта вероятность характеризует расчетный риск нарушения надежности реализации процесса системного анализа в течение заданного периода прогноза при использовании технологии периодического контроля.
Примечание - В частном случае, когда период между диагностиками больше периода прогноза Т зад < Т меж, модель В.4.3 превращается в модель В.4.2 для прогноза риска нарушения надежности реализации процесса системного анализа при отсутствии какого-либо контроля.
В.4.4 Расчет риска для систем сложной структуры, комбинация и повышение адекватности моделей
Описанные в В.4.2 и В.4.3 модели применимы для проведения оценок, когда система представляется в виде "черного ящика" и значения времен системной диагностики и восстановления нарушенной целостности совпадают. В развитие моделей В.4.2 и В.4.3 в настоящем подразделе приведены способы, позволяющие создание моделей для систем сложной структуры и более общего случая - когда значения времен системной диагностики и восстановления нарушенных возможностей системы различны.
Расчет основан на применении следующих инженерных способов.
1-й способ позволяет использовать одни и те же модели для расчетов различных показателей по области их приложения. Поскольку модели математические, то путем смыслового переопределения исходных данных возможно использование одних и тех же моделей для оценки показателей, различающихся по смыслу, но идентичных по методу их расчета.
2-й способ позволяет переходить от оценок систем или отдельных элементов, представляемых в виде "черного ящика", к оценкам систем сколь угодно сложной параллельно-последовательной логической структуры. В формируемой структуре, исходя из реализуемых технологий для системы, состоящей из двух элементов, взаимовлияющих на выполнение процесса, указывается характер их логического соединения. Если два элемента соединяются последовательно, что означает логическое соединение "И" (см. рисунок В.1), то в контексте надежности реализации процесса это интерпретируется так: "в системе обеспечена надежность реализации процесса в течение времени t, если "И" 1-й элемент, "И" 2-й элемент сохраняют свои возможности по надежной реализации процесса в течение этого времени". Если два элемента соединяются параллельно, что означает логическое соединение "ИЛИ" (см. рисунок В.2), это интерпретируется так: "система сохраняет возможности по надежной реализации процесса в течение времени t, если "ИЛИ" 1-й элемент, "ИЛИ" 2-й элемент сохраняют свои возможности по надежной реализации процесса в течение этого времени".
|
|
|
|
Рисунок В.1 - Система из последовательно соединенных элементов ("И") |
Рисунок В.2 - Система из параллельно соединенных элементов ("ИЛИ") |
Для комплексной оценки в приложении к сложным системам используются рассчитанные на моделях вероятности нарушения надежности реализации процесса каждого из составных элементов за заданное время t. Тогда для простейшей структуры из двух независимых элементов вероятность нарушения надежности реализации процесса за время t определяют по формулам:
а) для системы из двух последовательно соединенных элементов
;
(В.6)
б) для системы из двух параллельно соединенных элементов
,
(В.7)
где Р m(t) - вероятность нарушения надежности реализации процесса для m-го элемента за заданное время t, m = 1,2.
Рекурсивное применение соотношений (В.6), (В.7) снизу вверх дает соответствующие вероятностные оценки для сколь угодно сложной логической структуры с параллельно-последовательным логическим соединением элементов.
Примечание - Способ рекурсивного применения процессов рекомендован ГОСТ Р 57102. Рекурсивное применение снизу вверх означает первичное применение моделей В.4.2 или В.4.3 сначала для отдельных системных элементов, представляемых в виде "черного ящика" в принятой сложной логической структуре системы, затем, учитывая характер логического объединения ("И" или "ИЛИ") в принятой структуре, по формулам (В.6) или (В.7) проводится расчет вероятности нарушения надежности реализации процесса за время t для объединяемых подсистем. И так - до объединения на уровне системы в целом. При этом сохраняется возможность аналитического прослеживания зависимости результатов расчетов по формулам (В.6) или (В.7) от исходных параметров моделей В.4.2 и В.4.3.
3-й способ в развитие 2-го способа позволяет использовать результаты моделирования для формирования заранее неизвестных (или сложно измеряемых) исходных данных в интересах последующего моделирования. На выходе моделирования по моделям В.4.2 и В.4.3 и применения 2-го способа получается вероятность нарушения надежности реализации процесса в течение заданного периода времени t. Если для каждого элемента просчитать эту вероятность для всех точек t от нуля до бесконечности, получится траектория функции распределения времени нарушения надежности реализации процесса по каждому из элементов в зависимости от реализуемых мер контроля и восстановления целостности, т.е. то, что используется в формулах (В.6) и (В.7). Полученный вид этой функции распределения, построенной по точкам (например, с использованием программных комплексов), позволяет традиционными методами математической статистики определить такой показатель, как среднее время до нарушения надежности реализации процесса каждого из элементов и моделируемой системы в целом. С точки зрения системной инженерии это среднее время интерпретируют как виртуальную среднюю наработку на нарушение надежности реализации процесса системного анализа при прогнозировании риска по моделям В.4.2 и В.4.3 для системы простой и сложной структуры. Обратная величина этого среднего времени является частотой нарушений надежности реализации процесса системного анализа в условиях определенных угроз и применяемых методов контроля и восстановления возможностей по обеспечению выполнения процесса для составных элементов. Именно это - необходимые исходные данные для последующего применения моделей В.4.2 и В.4.3 или аналогичных им для расчетов по моделям "черного ящика". Этот способ используют, когда изначальной статистики для определения частоты нет или ее недостаточно.
4-й способ в дополнение к возможностям 2-го и 3-го способов повышает адекватность моделирования за счет развития моделей В.4.2 и В.4.3 в части учета времени на восстановление после нарушения надежности реализации процесса. В моделях В.4.2 и В.4.3 время системного контроля по составному элементу одинаково и равно в среднем Т диаг. Вместе с тем если по результатам контроля требуются дополнительные меры для восстановления нарушенных возможностей по выполнению процесса в течение времени Т восст, то для расчетов усредненное время контроля Т диаг должно быть увеличено (если Т диаг < Т восст) или уменьшено (если Т диаг > Т восст) с учетом частоты восстановлений. При этом усредненное время контроля вычисляют итеративно с заданной точностью:
- 1-я итерация определяет время = Т диаг, задаваемое на входе модели. Для 1-й итерации при обнаружении нарушений полагается мгновенное восстановление нарушаемых возможностей по выполнению процесса (т.е. в рамках времени диагностики);
- 2-я итерация осуществляется после расчета риска R (1) по исходным данным после 1-й итерации
,
(В.8)
где R (1) - риск нарушения целостности моделируемой системы с исходным значением вычисляемый с использованием моделей В.2.2, В.2.3. Поскольку на 1-й итерации время
не учитывает времени восстановления, риск R (1), рассчитываемый с использованием модели В.2.3, начинает приближаться к реальному;
- ... r-я итерация осуществляется после расчета риска R (r-1) по исходным данным после (r-1)-й итерации
,
(В.9)
где R (r-1) вычисляют по моделям В.2.2, В.2.3, но в качестве исходного уже выступает , рассчитанное на предыдущем шаге итерации. Здесь в большей степени учитывается время восстановления с частотой, стремящейся к реальной. Соответственно риск R (r-1) также приближается к реальному.
С увеличением r указанная последовательность сходится, и для дальнейших расчетов используют значение, отличающееся от точного предела
на величину, пренебрежимо малую по сравнению с задаваемой изначально точностью
расчетов при итерации:
.
Таким образом, 4-й способ позволяет вместо одного исходного данного (среднего времени системной диагностики, включая восстановление нарушенной целостности моделируемой системы) учитывать два, которые могут быть различны по своему значению:
Т диаг - среднее время системной диагностики целостности моделируемой системы;
Т восст - среднее время восстановления нарушаемой целостности моделируемой системы.
При этом для расчетов применяются одни и те же модели подразделов В.4.2 и В.4.3.
Примечание - Способ итеративного применения процессов рекомендован ГОСТ Р 57102.
Применение инженерных способов 1-4 обеспечивает более точный прогноз для системы сложной структуры.
В.4.5 Учет качества используемой информации
В случае критичности качества используемой информации для принятия решений в приложении к моделируемой системе действие сбора и анализа качества информации рассматривают отдельно. При этом дополнительно применяют модели и методы оценки качества выходной информации по ГОСТ Р 59341. Итоговую вероятность нарушения надежности реализации процесса системного анализа R надежн(Т зад) в течение периода прогноза Т зад, без учета требований по защите информации вычисляют по формуле
,
(В.10)
где R надежн В.4.2-В.4.3 (Т зад) - вероятность нарушения надежности реализации процесса системного анализа в течение периода прогноза Т зад без учета качества используемой информации и требований по защите информации, вычисляемая по моделям и рекомендациям В.4.2, В.4.3;
R наруш.УИ(Т зад) - вероятность нарушения надежности реализации процесса управления информацией в течение периода прогноза Т зад без учета требований по защите информации, вычисляемая с использованием моделей и рекомендаций ГОСТ Р 59341-2021 (В.3.2 - В.3.8, В.3.10 приложения В).
В.5 Математические модели для прогнозирования риска нарушения требований по защите информации
В.5.1 Общие положения
В.5.1.1 Прогнозирование риска нарушения требований по защите информации осуществляют на основе применения математических моделей для прогнозирования риска нарушения требований по защите информации из ГОСТ Р 59341-2021 (В.2 приложения В). Все положения по моделированию, изложенные в ГОСТ Р 59341 применительно к процессу управления информацией, в полной мере применимы к процессу системного анализа (в части, свойственной прогнозированию риска нарушения требований по защите информации). Для расчета типовых показателей рисков анализируемые сущности рассматривают в виде моделируемой системы простой или сложной структуры. В моделях и методах системного анализа применительно к таким моделируемым системам используют данные, получаемые по факту наступления событий, по выявленным предпосылкам к наступлению событий, и данные собираемой и накапливаемой статистики по процессу и возможным условиям его реализации.
Примечание - Поскольку для прогнозирования риска нарушения требований по защите информации в процессе системного анализа могут быть использованы те же модели из В.4.2 - В.4.4 (изложенные в контексте анализа надежности), в В.5.1.2 - В.5.1.6 продемонстрировано применение инженерного способа 1 из В.4.4, позволяющее проводить расчеты в контексте развития и реализации угроз безопасности информации.
В.5.1.2 В моделях простой структуры под анализируемой системой понимают определенный выходной результат или действие, а также совокупность задействованных активов, к которым предъявлены требования и выполняют меры защиты информации. Система простой структуры представляет собой систему из единственного элемента или множества элементов, логически объединенных для анализа как один элемент. Анализ системы простой структуры осуществляют по принципу "черного ящика", когда известны входы и выходы, но неизвестны внутренние детали функционирования системы. Система сложной структуры представляется как совокупность взаимодействующих элементов, каждый из которых представляется в виде "черного ящика", функционирующего в условиях неопределенности.
В.5.1.3 При анализе "черного ящика" для вероятностного прогнозирования рисков осуществляют формальное определение пространства элементарных состояний. Это пространство элементарных состояний формируют в результате статистического анализа произошедших событий с их привязкой к временной оси. Предполагается повторяемость событий. Чтобы провести системный анализ для ответа на условный вопрос "Что будет, если...", при формировании сценариев возможных нарушений статистика реальных событий по желанию исследователя может быть дополнена гипотетичными событиями, характеризующими ожидаемые и/или прогнозируемые условия функционирования системы. Применительно к анализируемому сценарию осуществляют расчет вероятности пребывания элементов моделируемой системы в определенном элементарном состоянии в течение задаваемого периода прогноза. Для негативных последствий при оценке рисков этой расчетной вероятности сопоставляют возможный ущерб.
В.5.1.4 Для математической формализации используют следующие основные положения:
- к началу периода прогноза предполагается целостность моделируемой системы, включая изначальное выполнение требований по защите информации в системе (в качестве моделируемой системы простой или сложной структуры могут быть рассмотрены, например, выходные результаты с задействованными активами или действия процесса, к которым предъявлены определенные требования по защите информации);
- в условиях неопределенностей возникновение и разрастание различных угроз безопасности информации описывается в терминах случайных событий;
- для различных вариантов развития угроз безопасности информации средства, технологии и методы противодействия угрозам с формальной точки зрения представляют собой совокупность действий и/или защитных преград, предназначенных для воспрепятствования реализации угроз.
Под целостностью моделируемой системы понимается такое ее состояние, которое в течение задаваемого периода прогноза отвечает целевому назначению модели системы. В данном случае непосредственно процесс системного анализа может быть рассмотрен в качестве моделируемой системы. При моделировании, направленном на прогнозирование риска нарушения требований по защите информации, целевое назначение моделируемой системы проявляется в выполнении требований по защите информации. Такая интерпретация подразумевает выполнение требований по защите информации не только применительно к защищаемым активам и действиям, с использованием которых создают и получают выходные результаты, но и к самим выходным результатам, которые применяют (или планируют к созданию, получению и/или применению). В итоге для каждого из элементов и моделируемой системы в целом в приложении к прогнозированию риска нарушения требований по защите информации пространство элементарных состояний на временной оси образуют два основных состояния:
- "Выполнение требований по защите информации в системе обеспечено", если в течение всего периода прогноза обеспечено выполнение требований по защите информации;
- "Выполнение требований по защите информации в системе нарушено" - в противном случае.
Обоснованное использование выбранных мер и защитных преград является предупреждающими контрмерами, нацеленными на обеспечение успешной реализации процесса системного анализа.
В.5.1.5 В моделях простой структуры систему рассматривают как "черный ящик", если для него сделано предположение об использовании одной и той же модели угроз безопасности информации и одной и той же технологии системного контроля выполнения требований по защите информации и восстановления системы после состоявшихся нарушений или выявленных предпосылок к нарушениям. В моделях сложной структуры под моделируемой системой понимается определенная упорядоченная совокупность составных элементов, каждый из которых логически представляет собой определенное действие или выходной результат и совокупность задействованных активов, к которым предъявлены требования и применяют меры защиты информации. При этом выходной результат сам может стать активом в итоге выполняемых действий.
В общем случае для различных элементов системы сложной структуры могут быть применены различные модели угроз безопасности информации или различные технологии системного контроля выполнения требований по защите информации и восстановлению необходимой целостности этих элементов.
В.5.1.6 При расчетах с использованием математических моделей для прогнозирования риска нарушения требований по защите информации и рекомендаций ГОСТ Р 59341-2021 (В.2, В.3 приложения В) осуществляют учет предпринимаемых мер периодической диагностики и восстановления возможностей по обеспечению выполнения требований по защите информации. В результате математического моделирования рассчитывают вероятность приемлемого выполнения требований по защите информации (т.е. пребывания в состоянии "Выполнение требований по защите информации в системе обеспечено") в течение всего периода прогноза и ее дополнение до единицы, представляющее собой вероятность нарушения требований по защите информации (т.е. пребывания в состоянии "Выполнение требований по защите информации в системе нарушено"). В свою очередь вероятность нарушения требований по защите информации в течение всего периода прогноза в сопоставлении с возможным ущербом определяет риск нарушения требований по защите информации в процессе системного анализа.
В.5.2 Исходные данные и расчетные показатели
Для расчета вероятностных показателей применительно к моделируемой системе используют исходные данные, формально определяемые в общем случае следующим образом:
- частота возникновения источников угроз безопасности информации в процессе системного анализа;
- среднее время развития угроз с момента возникновения источников угроз до нарушения нормальных условий (например, до нарушения установленных требований по защите информации в системе или до инцидента);
Т меж - среднее время между окончанием предыдущей и началом очередной диагностики возможностей по обеспечению выполнения требований по защите информации в системе;
Т диаг - среднее время системной диагностики возможностей по обеспечению выполнения требований по защите информации (т.е. диагностики целостности моделируемой системы);
Т восст - среднее время восстановления нарушенных возможностей по обеспечению выполнения требований по защите информации в моделируемой системе;
Т зад - задаваемая длительность периода прогноза.
Расчетные показатели:
Р возд(,
, Т меж, Т диаг, Т восст, Т зад) - вероятность отсутствия нарушений требований по защите информации в моделируемой системе в течение периода Т зад;
R наруш(,
, Т меж, Т диаг, Т восст, Т зад) - вероятность нарушения требований по защите информации в моделируемой системе в течение периода прогноза Т зад.
Расчет показателей применительно к процессу системного анализа для моделируемой системы простой и сложной структуры осуществляют по формулам ГОСТ Р 59341-2021 (В.2 приложения В). Расчет вероятности нарушения требований по защите информации в системе R наруш(Т зад) = R наруш(,
, Т меж, Т диаг, Т восст, Т зад) для процесса системного анализа в течение периода прогноза осуществляют как дополнение до единицы значения Р возд(
,
, Т меж, Т диаг, Т восст, Т зад).
Примечание - При необходимости могут быть использованы адаптированные модели, позволяющие оценивать защищенность от опасных программно-технических воздействий, от несанкционированного доступа и сохранение конфиденциальности информации в системе (см. ГОСТ Р 59341-2021, В.3, приложение В).
В.6 Прогнозирование интегрального риска нарушения надежности реализации процесса с учетом требований по защите информации
В сопоставлении с возможным ущербом интегральный риск нарушения надежности реализации процесса системного анализа с учетом требований по защите информации R интегр(Т зад) для прогнозного периода Т зад вычисляют по формуле
,
(В.11)
где R надежн(Т зад) - вероятность нарушения надежности реализации процесса системного анализа в течение периода прогноза Т зад без учета требований по защите информации, вычисляемая по моделям и рекомендациям В.3, В.4;
R наруш(Т зад) - вероятность нарушения требований по защите информации в системе для процесса системного анализа в течение периода прогноза Т зад, вычисляемая по моделям и рекомендациям В.5.