Приложение Г (справочное). Взаимосвязь показателей для оценки эффективности защиты информации. Национальный стандарт РФ ГОСТ Р 59346-2021 "Системная инженерия. Защита информации в процессе определения системных требований" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 30.04.2021 N 332-ст)

Приложение Г
(справочное)

Взаимосвязь показателей для оценки эффективности защиты информации

Г.1 Показатели для оценки рисков применяют в процессе определения системных требований при обосновании необходимости ЗИ в системе на всех стадиях ее жизненного цикла, определении перечня существенных угроз безопасности информации, выборе мер и средств защиты и построении системы защиты информации, а также при обосновании предложений по совершенствованию и развитию системы защиты информации при модернизации и развитии системы.

Г.2 Показатели для оценки рисков включают:

- показатели для оценки рисков нарушения функционирования системы в результате преднамеренного или непреднамеренного воздействия на критичную системную информацию или прикладные программы и пользовательскую информацию, а также рисков, связанных с реализацией техногенных угроз (см. приложение Б);

- показатели для оценки рисков утечки информации о системе или пользовательской информации, распространение которой ограничено в требованиях сторон (заказчика, разработчика, поставщика, пользователей).

Прогнозные показатели для оценки рисков представляют собой вероятности реализации соответствующих угроз за заданное время (период прогноза) в сопоставлении с возможным ущербом. В качестве периода прогноза могут быть выбраны, например, заданный период времени, в течение которого ожидаются несанкционированные информационно-технические воздействия на систему, или продолжительность одной или нескольких стадий жизненного цикла системы. Показатели разделяют на интегральные и частные.

Интегральные показатели рассчитывают при оценке рисков применительно ко всему жизненному циклу системы и всем существенным угрозам без учета мер ЗИ, предлагаемых к использованию в ходе обоснования системных требований, и с учетом применения таких мер. При этом меры ЗИ учитывают в расчетах частных показателей. Номенклатура интегральных показателей риска, рассчитываемых в процессе определения системных требований с учетом необходимости ЗИ в системе, и их взаимосвязь с частными показателями приведена на рисунке Г.1.

Рисунок Г.1 - Взаимосвязь интегральных и частных показателей

Методы и модели для расчета интегральных показателей приведены в приложении Д.

Частные показатели для оценки рисков рассчитывают применительно к одному или нескольким стадиям жизненного цикла системы, к отдельным угрозам или к выбранной их совокупности, а также применительно к одной или нескольким мерам защиты информации и при отсутствии таких мер.

При проведении оценок рисков соответствующим вероятностным показателям сопоставляют возможный ущерб. Номенклатура и взаимосвязь частных показателей риска, рассчитываемых в процессе определения системных требований с учетом необходимости ЗИ в системе, приведена на рисунке Г.2. Вероятностные показатели мер ЗИ позволяют рассчитать возможное увеличение времени реализации угрозы.

Рисунок Г.2 - Взаимосвязь частных показателей

Модели для расчета таких показателей влияния мер защиты разрабатывают одновременно с моделями для оценки риска реализации угроз (см. приложение Д).

Г.3 Показатели эффективности ЗИ определяют степень отклонения защищенности системы или информации в ней от требуемого уровня защищенности в соответствии с установленной нормой (например, отклонение от установленного предельно допустимого риска реализации угроз в системе).

Г.3.1 Показатели эффективности ЗИ рассчитывают на основе показателей риска реализации угроз для условий без применения и при применении мер защиты, предусматриваемых в процессе определения системных требований. Расчет может проводиться:

- применительно к одной угрозе безопасности информации (угрозе нарушения функционирования системы или угрозе утечки информации) и одной или нескольким мерам защиты, предлагаемым к применению в процессе определения системных требований в интересах парирования (нейтрализации) этой угрозы;

- применительно к определенной совокупности или ко всем выявленным угрозам безопасности информации и совокупности мер защиты, предлагаемых к использованию в процессе определения системных требований в интересах парирования этих угроз.

Для оценки эффективности защиты информации в системе используют разностные, относительные и разностно-относительные показатели - см. 6.3.

Г.3.2 Разностные показатели, представляющие собой разность между достигаемым в условиях применения мер защиты значением вероятности реализации угрозы нарушения надежности реализации процесса определения системных требования (), нарушения функционирования системы () или утечки конфиденциальной информации () и требуемыми значениями (не превышающими установленные предельно допустимые значения) этих вероятностей (, и соответственно) используют:

- для оценки обеспечения надежности реализации процесса определения системных требований

;

(Г.1)

- для оценки эффективности защиты от нарушений функционирования системы

;

(Г.2)

- для оценки эффективности защиты от угроз утечки конфиденциальной информации

;

(Г.3)

Максимальная эффективность, оцениваемая по разностному показателю, соответствует его нулевому значению (т.е. вероятность реализации угрозы не превышает предельно допустимого значения). С точки зрения интерпретации разностных показателей это означает, что, если вероятность реализации оцениваемой угрозы ниже требуемой, этой угрозой можно пренебречь. При этом отклонение от требуемого значения вероятности полагают отсутствующим.

Г.3.3 Относительные показатели, представляющие собой отношение предельно допустимых значений вероятности реализации угрозы нарушения надежности реализации процесса определения системных требования (), нарушения функционирования системы () или утечки конфиденциальной информации () к достигаемым в условиях применения мер защиты их значениям (не равным 0), используют соответственно:

- для оценки обеспечения надежности реализации процесса определения системных требований

;

(Г.4)

- для оценки эффективности защиты от нарушений функционирования системы

;

(Г.5)

- для оценки эффективности защиты от угроз утечки конфиденциальной информации

.

(Г.6)

Максимальная эффективность, оцениваемая по относительному показателю, соответствует его единичному значению (вероятность реализации угрозы не превосходит предельно допустимого ее значения).

Г.3.4 Разностно-относительные показатели, представляющие собой отношение разности между достигаемым значением расчетной вероятности реализации угрозы нарушения надежности реализации процесса определения системных требования (), нарушения функционирования системы () или утечки конфиденциальной информации () и предельно допустимым значением этой вероятности к достигаемому значению расчетной вероятности (не равной 0), используют соответственно:

- для оценки обеспечения надежности реализации процесса определения системных требований

;

(Г.7)

- для оценки эффективности защиты от нарушений функционирования системы

;

(Г.8)

- для оценки эффективности защиты от угроз утечки конфиденциальной информации

.

(Г.9)

Эффективность защиты, оцениваемая по разностно-относительному показателю, тем выше, чем меньше отклонение вероятности реализации угрозы в сторону увеличения от требуемого ее значения.

Г.3.5 Кроме того, при сравнении мер защиты между собой могут применяться показатели эффективности, с использованием которых сравнивают риски, определяемые для условий без применения мер защиты и в условиях применения мер защиты информации, предлагаемых в ходе обоснования системных требований. Такие показатели позволяют оценить, какая из выбираемых мер в наибольшей степени способствует снижению риска, т.е. обладает большей эффективностью.

Соотношения для расчета разностных показателей имеют вид:

- для оценки обеспечения надежности реализации процесса определения системных требований

;

(Г.10)

- для оценки эффективности защиты от нарушений функционирования системы

;

(Г.11)

- для оценки эффективности защиты от угроз утечки конфиденциальной информации

;

(Г.12)

где Р _пр, Р _ф и Р _конф - соответствующие показатели риска при отсутствии оцениваемых мер защиты информации;

, и - соответствующие показатели риска в случае применения оцениваемых мер защиты информации.

Соотношения для расчета относительных показателей имеют вид:

- для оценки обеспечения надежности реализации процесса определения системных требований

;

(Г.13)

- для оценки эффективности защиты от нарушений функционирования системы

;

(Г.14)

- для оценки эффективности защиты от угроз утечки конфиденциальной информации

.

(Г.15)

Примечание - При оценках принято предположение, что вводимые меры защиты не повышают вероятность реализации угрозы.

Аналогичные соотношения имеют место для относительно-разностных показателей:

- для оценки обеспечения надежности реализации процесса определения системных требований

;

(Г.16)

- для оценки эффективности защиты от нарушений функционирования системы

;

(Г.17)

- для оценки эффективности защиты от угроз утечки конфиденциальной информации

.

(Г.18)

Г.3.6 Пример Г.1. Пусть системные требования для проектирования некоторой новой государственной информационной системы определяются в соответствии с положениями настоящего стандарта. Согласно условиям федерального закона [2] система будет относиться к значимым объектам критической информационной инфраструктуры. С учетом требований ГОСТ Р 27002 и нормативных правовых актов [7], [10] и [12] требуется оценить риски реализации угроз безопасности информации на стадии эксплуатации системы, выбрать меры ЗИ и оценить их эффективность. Согласно сформированной модели угроз обусловлено, что путем проникновения в операционную среду системы из сети Интернет на стадии эксплуатации возможна реализация угрозы несанкционированного копирования конфиденциальной информации, к которой отнесены сведения служебного характера и персональные данные сотрудников. Продолжительность стадии эксплуатации (Т _экспл) составляет не менее пяти лет (т.е. около 43800 часов). Согласно возможному сценарию проникновение в операционную среду системы может быть обеспечено применением пароля, установленного на вход в систему и перехватываемого предварительно внедренной в систему программной закладкой. При проектировании системы предложено применить дополнительно в качестве меры ЗИ аутентификацию пользователей по паролю при обращении к файлам, содержащим конфиденциальную информацию (в дополнение к паролю для доступа в операционную среду системы). Нарушитель, проникнув в операционную среду, для получения доступа к нужному файлу, вынужден подобрать пароль с целью последующего копирования файла и передачи его копии в сеть Интернет по нужному ему адресу.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо слов "ГОСТ Р 27002" следует читать "ГОСТ Р ИСО/МЭК 27002"

При формировании модели угроз для системы в соответствии с [7], [10] установлено, что среднее время () между попытками доступа в систему нарушителя, копирования и передачи данных составляет 30 суток, т.е. 720 часов. При отсутствии указанной меры ЗИ риск реализации угрозы оценивается вероятностью Р _конф = 1 - ехр(-Т _экспл/), а в случае ее применения - вероятностью

,

где - средняя продолжительность одной попытки подбора пароля длиной восемь символов из букв русского алфавита и цифр, составляющая с применением специальных современных программ подбора пароля путем прямого перебора порядка 4 минут;

Р _пар - вероятность подбора пароля, составляющая для современных средств подбора примерно 10 ^-8.

Примечание - При моделировании использовано предположение об экспоненциальной аппроксимации функции распределения времени реализации угрозы. Другие модели см., например, в ГОСТ Р 59341.

Подставляя в правую часть формул для расчета вероятностей Р _конф и значения параметров Т _экспл, , и Р _пар, получаем Р _конф = 1 - ехр[-43800/720]  1 и

.

Необходимо оценить эффективность предлагаемой меры ЗИ:

- на основе сравнения вероятности реализации угрозы копирования информации в условиях применения меры ЗИ с требуемым ее значением, установленным в рамках примера на уровне  = 10 ^-4;

- на основе сравнения вероятностей реализации угрозы без меры ЗИ и в условиях применения данной меры.

Результаты расчета эффективности ЗИ путем сравнения достигаемой вероятности реализации угрозы в условиях применения меры ЗИ с ее требуемым значением в соответствии с формулами (Г.3, Г.6 и Г.9) имеют вид:

- по разностному показателю: ;

- по относительному показателю: ;

- по разностно-относительному показателю: .

Результаты расчетов эффективности меры ЗИ на основе сравнения вероятности реализации угрозы для условий без применения и с применением мер ЗИ в соответствии с формулами (Г.12, Г.15 и Г.18) имеют вид:

- по разностному показателю: ;

- по относительному показателю: ;

- по разностно-относительному показателю: .

Согласно приведенным результатам расчетов вероятность реализации угрозы в условиях применения мер защиты информации заметно ниже ее требуемого значения, при этом эффективность по разностному и разностно-относительному показателям близка к единице, а по относительному показателю свидетельствует об отсутствии существенных отклонений от требуемого ее предельно допустимого значения.