Приложение Ж (справочное). Методические указания по прогнозированию рисков и определению перечня существенных угроз безопасности информации. Национальный стандарт РФ ГОСТ Р 59346-2021 "Системная инженерия. Защита информации в процессе определения системных требований" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 30.04.2021 N 332-ст)

Приложение Ж
(справочное)

Методические указания
по прогнозированию рисков и определению перечня существенных угроз безопасности информации

Ж.1 Риск реализации угроз нарушения безопасности информации в системе, рассматриваемый в процессе определения системных требований, оценивают вероятностью реализации угроз в сопоставлении с возможным ущербом за задаваемый период прогноза. В связи с тем, что на практике в ходе обоснования системных требований необходимые исходные данные для оценки размеров возможного ущерба от реализации угроз могут отсутствовать, следует использовать любые возможные подходы. Например, один из возможных подходов сводится к тому, что при расчете рисков учитывают только определенные неприемлемые ущербы. В этом случае оценка риска сводится к расчету только вероятности реализации соответствующих угроз с использованием комплекса аналитических или имитационных моделей (см. Д.3). Другой подход основан на экспертных процедурах оценки возможных ущербов в сочетании с балльными методами оценки реализации угроз безопасности информации в системе (см. Д.4).

Ж.2 Оценка рисков реализации угроз безопасности информации с использованием комплекса аналитических моделей сводится к расчету вероятностей реализации в условиях отсутствия мер защиты информации и прогнозируемого применения выбираемых мер защиты в зависимости от специфики системы и особенностей ее функционирования (см. 5.6, 6.3, 7.5, Д.3). Определенными возможностями для моделирования угроз безопасности информации обладает аппарат сетей Петри-Маркова, отражающих использование составных марковских и полумарковских процессов. Использование этого аппарата целесообразно в том случае, когда имеют место логические условия выполнения моделируемого процесса (см. Д.3).

Ж.3 Для парирования угроз безопасности информации в системе применяют разнообразные меры ЗИ, которые разделяют на:

- организационные, реализуемые без применения программных и программно-аппаратных средств защиты и без проведения соответствующих настроек программно-аппаратной среды системы;

- организационно-технические, реализуемые путем проведения организационных мероприятий, проведением реконфигурации системы, изменением соответствующих настроек операционной системы, а также с применением программных и программно-аппаратных средств защиты;

- технические, реализуемые только проведением реконфигурации системы, изменением соответствующих настроек операционной системы и путем применения программных и программно-аппаратных средств защиты.

Возможный вариант классификации типовых мер защиты от угроз безопасности информации приведен на рисунке Ж.1.

Если мера ЗИ реализуется с применением технических средств, то при обосновании системных требований следует ориентироваться на сертифицированные средства защиты, состав которых указан в Государственном реестре средств ЗИ. Некоторые типовые средства ЗИ с классификацией приведены на рисунке Ж.2.

Ж.4 Результаты оценки рисков реализации угроз в условиях отсутствия мер ЗИ, планируемых при обосновании системных требований, используют при определении перечня существенных угроз безопасности информации на каждой стадии и в течение всего жизненного цикла системы. Порядок определения перечня существенных угроз приведен на рисунке Ж.3 и состоит в следующем:

- сначала определяют перечень потенциальных угроз безопасности информации. Для этого могут быть использованы сведения из национального Банка данных угроз или описания угроз, которые встречались в аналогичных системах и описаны в различных источниках, в т.ч. в сети Интернет;

- далее проводят анализ стадий жизненного цикла системы и выявляют источники, которые могут иметь место для каждой потенциальной угрозы на каждой стадии, а также наличие уязвимостей в процессе разработки, производства, поставки системы и ее эксплуатации. Если источники угроз и указанные уязвимости (которые могут быть использованы для реализации угроз безопасности информации) имеют место, то угрозы относят к потенциальным и формируется перечень потенциальных угроз;

- оценивают возможный ущерб от реализации угрозы (например, с использованием экспертных методов - см. Д.4). Если такой ущерб неприемлем для разработчика или заказчика системы, то угрозу относят к потенциально опасной. Составляют перечень потенциально опасных угроз;

- для перечня потенциально опасных угроз разрабатывают одну или несколько математических моделей их реализации, оценивают риски реализации угроз - см. приложение Д;

- определяют предельно допустимые риски реализации угроз на каждой стадии и в течение всего жизненного цикла системы, с которым сравнивают оцениваемые риски (для каждой угрозы и/или задаваемого перечня угроз в возможных сценариях нарушения безопасности информации).

Рисунок Ж.1 - Примерная классификация типовых мер защиты информации в системе

Рисунок Ж.2 - Типовые средства защиты информации, которые могут применяться в системе

Если вероятности реализации угроз выше предельно допустимых значений, то такие угрозы признают существенными. Составляют перечень существенных угроз и формируют модели угроз для системы - см. приложение Е.

Примечание - Другие модели, методы и примеры прогнозирования рисков и способы решения различных задач системного анализа приведены в ГОСТ Р ИСО 11231, ГОСТ Р 58494, ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59341, ГОСТ Р 59345, ГОСТ Р 59347, ГОСТ Р 59356.

С учетом специфики системы допускается использование любых научно обоснованных методов, моделей, методик, отвечающих целям системного анализа.

Рисунок Ж.3 - Порядок определения перечня существенных угроз безопасности информации