Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 59346-2021 "Системная инженерия. Защита информации в процессе определения системных требований" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 30 апреля 2021 г. N 332-ст)
- Приложение Е (справочное). Методы определения допустимых значений рисков
Приложение Е (справочное). Методы определения допустимых значений рисков
Приложение Е
(справочное)
Методы
определения допустимых значений рисков
Е.1 Общие положения
Е.1.1 В процессе определения системных требований предельно допустимые значения рисков устанавливают в качестве условной границы нормы для максимального значения вероятности реализации существенных угроз. Превышение этой границы считают недопустимым. Сами допустимые значения рисков используют при решении задач системного анализа - см. раздел 7 и ГОСТ Р 59349.
Е.1.2 Предельно допустимые значение оценивают и устанавливают:
- для риска нарушения функционирования системы (например, в результате преднамеренного воздействия на общесистемное программное или программно-аппаратное обеспечение и прикладные программы и пользовательскую информацию, в результате которого система переходит в состояние "Отказ в обслуживании");
- для риска утечки пользовательской информации, циркулирующей в системе и не подлежащей распространению в соответствии с установленными требованиями заинтересованных сторон системы;
- для риска нарушения надежности реализации процесса определения системных требований в части ЗИ.
Примечание - Предельно допустимое значение риска нарушения функционирования системы из-за преднамеренного воздействия на общесистемное программное, программно-аппаратное обеспечение или на пользовательскую информацию определяют для стадии эксплуатации системы. При этом по согласованию заинтересованных сторон задается значение допустимой вероятности реализации существенной угрозы при каждой попытке такой реализации. В ходе определения указанных допустимых значений могут учитываться допустимые размеры риска выхода из строя программного и аппаратного обеспечения, обусловленного его ненадежностью и оцениваемого требуемыми значениями вероятности безотказной работы систем, например, в соответствии с ГОСТ Р 27.003 и ГОСТ Р 27.403. Реализация угрозы возможна, если у нарушителя имеются сведения о системе. Это может быть следствием того, что или в системе используется широко известное общесистемное программное и программно-аппаратное обеспечение, или такие сведения добыты нарушителем в результате их утечки на предыдущих стадиях или на текущей стадии жизненного цикла системы.
Е.2 Оценка допустимого риска нарушения функционирования системы
Е.2.1 Предельно допустимое значение риска нарушения функционирования системы для стадии эксплуатации определяют следующим образом.
Если для системы установлены категории значимости (классы, уровни защищенности), то реализуют принцип дифференцированного задания требований. При этом предельно допустимое значение риска нарушения функционирования системы устанавливают применительно к соответствующей категории значимости (классу защищенности), которое устанавливают в ТЗ. Для системы с высшей категорией значимости (классом, уровнем защищенности) тем самым предъявляют формальное требование, согласно которому вероятность нарушения функционирования системы при каждой попытке реализации угрозы не должна превышать согласованного заинтересованными сторонами предельно допустимого количественного значения . Для других категорий значимости (классов, уровней защищенности) по согласованию заинтересованных сторон устанавливают коэффициенты снижения требований
, k = 2, 3, ... K таким образом, что для k-й категории значимости (класса, уровня защищенности)
,
(Е.1)
где K - количество категорий значимости (классов, уровней защищенности).
Если для этапа эксплуатации определенное в модели угроз прогнозное значение интенсивности попыток реализации u-й угрозы безопасности информации, приводящее к нарушению функционирования системы, составляет величину , то предельно допустимое значение вероятности реализации угрозы на стадии эксплуатации системы
(Т экспл) может быть рассчитано по формуле
,
(Е.2)
где Т экспл - длительность стадии эксплуатации системы.
Для системы, категория значимости (или класс, уровень защищенности) которой не установлена, требования предъявляются в соответствии с низшей категорией значимости.
Е.2.2 Пример Е.1. Пусть в соответствии с постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" [9] поставляемая предприятию система отнесена ко второй категории значимости. Продолжительность стадии эксплуатации системы Т экспл составляет ориентировочно 10 лет, т.е. около 87600 ч. Необходимо установить предельно допустимую вероятность нарушения функционирования системы, если сведения о системе не относятся к конфиденциальной информации (т.е. общеизвестны).
Для решения задачи примера Е.1 с использованием прецедентного принципа вводят дополнительные предположения. Например, пусть в соответствии с ТЗ = 10 -6, а интенсивность реализации угроз, приводящих к нарушению функционирования системы,
раз в час (1 раз в месяц). По согласованию заинтересованных сторон установлено, что коэффициент снижения требований для второй категории значимости данной системы
= 5. Тогда по формуле (Е.1)
.
Искомая предельно допустимая вероятность реализации угрозы на стадии эксплуатации (длительностью Т экспл = 87600 часов) в соответствии с формулой (Е.2) не должна превышать величину:
.
Е.2.3 Предельно допустимое значение риска нарушения функционирования системы позволяет определять другие риски, связанные с различными типами нарушения функционирования системы - например, предельно допустимые значения рисков преднамеренного воздействия на системную или пользовательскую информацию, в результате которого система переходит в состояние "Отказ в обслуживании". При этом в модели угроз, формируемой в соответствии с [10], [11], должны быть раздельно определены угрозы, направленные на системную и пользовательскую информацию. Для расчета допустимых значений рисков воздействия на системную и пользовательскую информацию, оцениваемых для стадии эксплуатации системы k-й категории значимости (класса, уровня защищенности) в сравнении с допустимой вероятностью (Т экспл) реализации угроз относительно системной информации и допустимой вероятностью
(Т экспл) реализации угроз относительно пользовательской информации используют соотношение
.
(Е.3)
Отсюда с учетом формулы (Е.2) для системы k-й категории значимости (класса, уровня защищенности) при практически линейной зависимости малых значений расчетных вероятностей от интенсивностей реализации угроз следует:
;
(Е.4)
,
(Е.5)
где - суммарная интенсивность попыток реализации угроз, направленных на нарушение функционирования системы;
- предельно допустимое значение вероятности нарушения функционирования системы k-й категории значимости при каждой попытке реализации угрозы путем воздействия или на системную, или пользовательскую информацию;
и
- интенсивности попыток реализации угроз, направленных на нарушение функционирования системы путем воздействия соответственно на системную и пользовательскую информацию;
и
- предельно допустимые вероятности нарушения функционирования системы при каждой попытке реализации угрозы путем воздействия соответственно на системную и на пользовательскую информацию.
Предельно допустимые значения вероятностей воздействия на системную и пользовательскую информации, характеризующие дифференцированные требования к допустимым рискам, определяют по формулам (Е.6) и (Е.7):
,
(Е.6)
.
(Е.7)
Примечание - За счет умножения интенсивностей попыток реализации угроз и
на вероятности соответственно
и
по аналогии с действиями в Д.2.1 происходит "просеивание" изначальных попыток реализации угроз, тем самым в результате произведения осуществляется учет лишь "успешных" попыток реализации угроз. В итоге интенсивности "успешных" попыток уменьшаются по сравнению с их изначальными уровнями
и
. Именно этот эффект "просеивания" отражен в формулах (Е.4) - (Е.7). Здесь "успешная" реализация угроз по-прежнему рассматривается с точки зрения системного анализа для определения эффективных мер, средств и способов противодействия этой "успешности" - см. примечание в Д.1.3.
Е.2.4 Пример Е.2. Пусть для системы, рассмотренной в примере Е.1, имеющей вторую категорию значимости, определены интенсивности реализации угроз (относительно системной и пользовательской информации), приводящих к нарушению функционирования системы: раз в час и
раз в час соответственно. Кроме того, для пользовательской информации установлено, что предельно допустимое значение вероятности реализации угрозы нарушения функционирования системы в каждой попытке не должно превышать величины
(см. пример Е.1).
Требуется определить предельно допустимые вероятности реализации угроз воздействия на системную и пользовательскую информацию.
Для решения задачи примера Е.2 с учетом результатов предыдущего примера Е.1 по формуле (Е.5) имеют место количественные соотношения:
.
Предельно допустимые вероятности реализации угроз воздействия на системную и пользовательскую информации рассчитывают по формулам (Е.6)-(Е.7) соответственно:
;
.
Эти допустимые значения используют для решения соответствующих задач системного анализа - см. раздел 7.
Е.3 Оценка допустимого риска утечки пользовательской информации
Е.3.1 Предельно допустимое значение риска утечки пользовательской информации, не подлежащей распространению в соответствии с установленными требованиями заинтересованных сторон, определяют с учетом:
- требований заказчика по обеспечению конфиденциальности пользовательской информации на стадии эксплуатации или выведения системы из эксплуатации;
- категории значимости системы, в которой циркулирует конфиденциальная информация, или, если категория значимости не установлена, важности информации для ее обладателей и пользователей.
Примечание - К конфиденциальной информации может относиться информация, содержащая сведения, составляющие тот или иной вид тайны, например, государственной, служебной, коммерческой, профессиональной (банковской или врачебной тайны, тайны связи и др.), а также персональные данные. Вопросы относительно информации, содержащей сведения, составляющие государственную тайну, регулируются специальными документами и в настоящем стандарте не рассматриваются (см. также [9]-[14]).
Е.3.2 Реализация угроз утечки конфиденциальной информации осуществляется или путем непосредственного (физического) несанкционированного доступа к элементам системы (например, к рабочим станциям, серверам, коммуникационным элементам), или путем проведения сетевых атак с других рабочих станций системы или из сети Интернет (для программных систем). Некоторые из способов реализации угроз связаны с нарушением функционирования системы или ее элементов, не обязательно относящихся к подсистеме защиты информации. В связи с этим для определения предельно допустимой вероятности утечки информации сначала определяют допустимые значения вероятностей воздействия на пользовательскую информацию (см. Е.2), которые принимаются за базовые. Полагают, что предельно допустимые значения вероятностей утечки пользовательской информации при каждой попытке реализации угрозы утечки должны быть не выше допустимых значении вероятностей реализации угрозы нарушения функционирования системы в каждой попытке (см. Е.2).
Далее в зависимости от категории значимости (класса, уровня защищенности) системы и от того, к какому виду тайны относятся сведения, раскрываемые в результате утечки информации, с участием заказчика предельно допустимые значения вероятностей могут быть скорректированы в сторону их увеличения. Для этого заинтересованные стороны устанавливают коэффициенты важности информации, составляющей тот или иной вид тайны , v = i, 2,... V,
,
.
После этого для системы с k-й категорией значимости (с k-м классом, уровнем защищенности) предельно допустимое значение вероятности утечки пользовательской информации, содержащей сведения, составляющие v-й вид тайны, при каждой попытке реализации угрозы определяют из соотношения:
.
(E.8)
Предельно допустимое значение вероятности реализации угрозы утечки конфиденциальной информации, содержащей сведения, составляющие v-й вид тайны, за время эксплуатации системы Т экспл при интенсивности , попыток реализации определяют из соотношения:
.
(Е.9)
Тем самым вычисляемые по формулам (E.8), (Е.9) значения определяют формальные требования к допустимому риску утечки пользовательской информации.
Е.3.3 Пример Е.3. В автоматизированной системе коммерческого предприятия к конфиденциальной отнесена информация, содержащая сведения, составляющие коммерческую тайну, и персональные данные. Система отнесена к третьей категории значимости. Необходимо определить предельно допустимые значения показателей риска нарушения утечки указанной информации, циркулирующей в функционирующей системе, если интенсивность попыток копирования пользовательской информации, составляющей коммерческую тайну, равна раз в час, а интенсивность попыток копирования персональных данных равна
раз в час.
Для решения задачи примера Е.3 с использованием прецедентного принципа вводят дополнительные предположения. Пусть предельно допустимое значение риска воздействия на пользовательскую информацию при каждой попытке реализации угрозы задано и составляет величину (см. пример Е.2). Заказчик установил коэффициент важности для информации, составляющей коммерческую тайну, равным
= 5, т.е. предельно допустимое значение вероятности утечки этой информации в соответствии с формулой (Е.8) должно составлять не более
. Для информации, составляющей персональные данные, заказчиком установлен коэффициент, равным
= 3, при этом предельно допустимое значение вероятности утечки персональных данных при каждой попытке реализации угрозы в соответствии с формулой (Е.8) не должно превышать
.
Искомое предельно допустимое значение риска реализации угрозы утечки сведений, составляющих коммерческую тайну, за время эксплуатации системы Т экспл = 87600 ч в соответствии с формулой (Е.9) составит величину
,
а для персональных данных предельно допустимое значение риска составит
.
Эти допустимые значения используют для решения соответствующих задач системного анализа - см. раздел 7.
Е.4 Оценка допустимого риска нарушения надежности реализации процесса определения системных требований в части защиты информации
Е.4.1 При оценке и формировании требований к предельно допустимому значению риска нарушения надежности реализации процесса определения системных требований в части ЗИ делают предположение, что надежность реализации процесса будет нарушена, если при эксплуатации будет нарушено функционирование системы (из-за реализации угроз безопасности информации) и/или на какой-либо стадии жизненного цикла произойдет утечка пользовательской информации, циркулирующей в системе и не подлежащей распространению в соответствии с установленными требованиями заинтересованных сторон системы.
Е.4.2 Предельно допустимое значение риска нарушения надежности реализации процесса определения системных требований в части ЗИ с учетом соотношения (Д.17) определяют по формуле
,
(Е.10)
где (Т экспл) - предельно допустимое значение условной вероятности нарушения надежности реализации процесса определения системных требований в части ЗИ применительно к стадии эксплуатации продолжительностью Т экспл с учетом возможности утечки информации о системе или внедрения на предыдущих стадиях вредоносной программы, используемой для реализации угроз на стадии эксплуатации.
С учетом соотношения (Д.1):
;
(Е.11)
(Т вых) - предельно допустимое значение вероятности реализации угрозы утечки информации о системе на стадии выведения ее из эксплуатации (s = 6) продолжительностью Т вых.
С учетом соотношения (Д.18):
,
(Е.12)
где - ожидаемая интенсивность попыток реализации угроз утечки информации на стадии выведения системы из эксплуатации (подлежит определению для осуществления моделирования);
- предельно допустимое значение вероятности утечки информации в каждой попытке реализации угрозы на стадии выведения системы из эксплуатации.
Предельно допустимые значения условных вероятностей того, что на стадии эксплуатации (т.е. за период Т экспл) будет реализована хотя бы одна угроза, направленная на нарушение функционирования системы или хищение конфиденциальной информации
, при условии, что на этой же стадии добывается информация, используемая для реализации указанных угроз, определяется из соотношений (Д.7)-(Д.12):
,
(Е.13)
если ;
,
(Е.14)
если ;
,
(Е.15)
если ,
,
(Е.16)
если ,
где и
- предельно допустимые значения вероятностей реализации угроз для стадии эксплуатации системы в каждой из попыток такой реализации, направленных соответственно на нарушение функционирования системы и утечку конфиденциальной информации;
и
- ожидаемые для стадии эксплуатации системы интенсивности попыток реализации угроз, направленных соответственно на нарушение функционирования системы и утечку конфиденциальной информации;
и
- предельно допустимые значения вероятностей того, что в каждой попытке угроза выявления информации о системе, необходимой для последующей реализации угроз соответственно нарушения ее функционирования или хищения конфиденциальной информации, будет реализована на стадии эксплуатации системы;
и
- ожидаемые интенсивности попыток реализации угроз на стадии эксплуатации системы, направленных на добывание информации, используемой соответственно для нарушения функционирования системы и выявления конфиденциальной информации.
Предельно допустимые значения вероятностей того, что на стадии эксплуатации будет реализована хотя бы одна угроза, направленная на нарушение функционирования системы (Т экспл/Т s) или хищения конфиденциальной информации
(Т экспл/Т s), при условии, что информация, используемая для реализации указанных угроз, добывается на предыдущих стадиях, определяют по аналогии с соотношениями (Д.4) и (Д.6):
;
(Е.17)
,
(Е.18)
где (Т экспл) - предельно допустимое значение вероятности того, что угроза нарушения функционирования системы на стадии эксплуатации будет реализована при наличии информации, необходимой и используемой для этой реализации.
С учетом соотношения (Д.18)
,
(Е.19)
(Т s) - предельно допустимое значение вероятности реализации j(u)-й угрозы утечки на s-й стадии жизненного цикла (предшествующей стадии эксплуатации) информации, используемой для реализации u-й угрозы нарушения функционирования системы на стадии эксплуатации, j(u) = 1, 2, ... J фu(s). Рассчитывается по формуле
,
(Е.20)
где - интенсивность реализации j(u)-й угрозы утечки на s-й стадии жизненного цикла (предшествующей стадии эксплуатации с номером i) информации, используемой для реализации u-й угрозы нарушения функционирования системы на стадии эксплуатации;
- предельно допустимое значение вероятности утечки информации на s-й стадии в каждой попытке реализации угрозы в интересах добывания сведений, используемых для реализации u-й угрозы нарушения функционирования системы на стадии эксплуатации;
(Т экспл) - предельно допустимое значение вероятности того, что угроза утечки информации на стадии эксплуатации системы будет реализована при наличии информации, необходимой и используемой этой реализации. Рассчитывается по формуле
;
(Е.21)
(Т s) - предельно допустимое значение вероятности реализации j(u)-й угрозы утечки на s-й стадии жизненного цикла (предшествующей стадии эксплуатации, обозначенной номером i) информации, используемой для реализации u-й угрозы утечки конфиденциальной информации на стадии эксплуатации, j(u) = 1, 2, ... J конф u(s). Рассчитывается по формуле
,
(Е.22)
где - интенсивность реализации j(u)-й угрозы утечки на s-й стадии жизненного цикла (предшествующей стадии эксплуатации с номером i) информации о системе, используемой для реализации u-й угрозы хищения конфиденциальной информации на стадии эксплуатации;
- предельно допустимое значение вероятности утечки информации о системе на s-й стадии при каждой попытке реализации угрозы в интересах добывания сведений, используемых для реализации u-й угрозы хищения конфиденциальной информации на стадии эксплуатации.
Е.4.3 Пример Е.4. Пусть для системы, рассмотренной в примере Е.1 и имеющей вторую категорию значимости, предельно допустимая вероятность реализации угрозы на стадии эксплуатации рассчитана и равна (Т экспл) = 0,006, см. результаты примера Е.1. Предельно допустимая вероятность реализации угрозы утечки информации о системе на стадии вывода ее из эксплуатации определяется интенсивностью
возникновения угроз, равной трем случаям в месяц (т.е.
раза в час). Заинтересованными сторонами установлена предельно допустимая вероятность реализации такой угрозы в каждой попытке на уровне
. Продолжительность периода вывода из эксплуатации Т вых составляет 3 месяца (приблизительно 2160 часов). Необходимо рассчитать предельно допустимую вероятность нарушения реализации процесса определения системных требований к системе для периода вывода системы из эксплуатации с учетом возможной реализации угроз безопасности информации на стадии ее эксплуатации.
Для решения задачи примера Е.4 возможно использование формулы (Е.9) с соответствующей заменой задаваемого периода прогноза:
.
В итоге проведенного в примере системного анализа предельно допустимый риск нарушения надежности реализации процесса определения системных требований обоснован на уровне 0,03 за период вывода из эксплуатации, равный трем месяцам.
Расчетные допустимые значения рисков, связанных с защитой информации, в полной мере могут быть использованы в качестве исходных данных для моделирования различных системных процессов и решения задач системной инженерии - см. примеры для разных областей приложения в ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59339, ГОСТ Р 59341, ГОСТ Р 59345, ГОСТ Р 59347, ГОСТ Р 59349.