Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 59343-2021 "Системная инженерия. Защита информации в процессе гарантии качества для системы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18 мая 2021 г. N 371-ст)
- Приложение Г (справочное). Методические указания по прогнозированию рисков
Приложение Г (справочное). Методические указания по прогнозированию рисков
Приложение Г
(справочное)
Методические указания
по прогнозированию рисков
Г.1 Общие положения
Настоящие методические указания определяют типовые действия по прогнозированию рисков в процессе гарантии качества для системы. При этом риски характеризуют прогнозными вероятностными значениями в сопоставлении с возможным ущербом.
Расчетные значения рисков на заданный период прогноза используют для решения задач системного анализа при выполнении работ системной инженерии. Синергетические эффекты системной инженерии достигаются за счет количественно обоснованного целенаправленного уменьшения различных рисков или удержания рисков в допустимых пределах при реализации каждого из процессов соглашения, организационного обеспечения проекта, технического управления и технических процессов на всех этапах жизненного цикла систем - см. ГОСТ Р 59329, ГОСТ Р 59330, ГОСТ Р 59331, ГОСТ Р 59332, ГОСТ Р 59333, ГОСТ Р 59334, ГОСТ Р 59335, ГОСТ Р 59336, ГОСТ Р 59337, ГОСТ Р 59338, ГОСТ Р 59339, ГОСТ Р 59340, ГОСТ Р 59341, ГОСТ Р 59342, ГОСТ Р 59344, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59348, ГОСТ Р 59349, ГОСТ Р 59350, ГОСТ Р 59351, ГОСТ Р 59352, ГОСТ Р 59353, ГОСТ Р 59354, ГОСТ Р 59355, ГОСТ Р 59356, ГОСТ Р 59357.
Примечание - Дополнительно могут быть востребованы методики по оценке ущербов, учитывающие специфику системы (см., например, ГОСТ Р 22.10.01, ГОСТ Р 54145).
Г.2 Анализируемые объекты для прогнозирования рисков
Для прогнозирования рисков в процессе гарантии качества для системы определению подлежат:
- состав заинтересованных сторон, имеющих интерес к рассматриваемой системе;
- состав выходных результатов и выполняемых действий и используемых при этом активов;
- перечень потенциальных угроз и возможные сценарии возникновения и развития угроз для выходных результатов и выполняемых действий процесса;
- иные объекты, используемые в прогнозировании рисков при необходимости оценки того, насколько организация процесса гарантии качества для системы способна обеспечить возможности по его выполнению в заданной среде применения системы.
Прогнозирование рисков осуществляют с использованием формализованного представления реальной системы в виде моделируемой системы. Анализируемые объекты включаются в состав моделируемых систем и условий моделирования.
Г.3 Цели прогнозирования рисков
Основной целью прогнозирования рисков является установление степени вероятного нарушения требований по защите информации и/или нарушения надежности реализации анализируемых системных процессов (процессов соглашения, процессов организационного обеспечения проекта, процессов технического управления, технических процессов) с учетом требований по защите информации за заданный период прогноза. Прогнозирование рисков осуществляют в интересах решения определенных задач системного анализа при планировании и реализации системных процессов, обосновании эффективных предупреждающих мер по снижению рисков или их удержанию в допустимых пределах. Конкретные практические цели прогнозирования рисков устанавливают заказчик системного анализа и/или аналитик моделируемой системы при выполнении работ системной инженерии.
Г.4 Используемые методы и модели
Для выполнения необходимых работ системной инженерии, связанных с прогнозированием рисков, используют методы и модели (см. приложение В), устанавливают ограничения на допустимые риски (см. приложение Д), разрабатывают необходимые методики системного анализа (см. приложение Е).
Г.5 Порядок прогнозирования рисков
Г.5.1 Для прогнозирования рисков осуществляют следующие шаги.
Шаг 1. Устанавливают анализируемые объекты и определяют моделируемые системы для прогнозирования рисков. Действия осуществляют согласно Г.2.
Шаг 2. Устанавливают конкретные цели прогнозирования - действия осуществляют согласно Г.3.
Шаг 3. Формируют перечень существенных угроз, критичных с точки зрения недопустимого потенциального ущерба (см. также ГОСТ Р 59346, ГОСТ Р 59349). Принимают решение о представлении моделируемой системы в виде "черного ящика" или в виде сложной структуры, декомпозируемой до составных элементов. Формируют пространство элементарных состояний для каждого элемента и моделируемой системы в целом. Действия осуществляют согласно рекомендациям для моделей из Г.4.
Шаг 4. Выбирают расчетные показатели и подходящие математические модели и методы, рекомендуемые в приложении В. Разрабатывают необходимые методики системного анализа - см. приложение Е. По методикам системного анализа осуществляют расчет выбранных показателей согласно рекомендациям по использованию методов и моделей - см. приложение В, Г.4.
Г.5.2 Получаемые в результате моделирования значения рисков используют для достижения поставленных целей (см. Г.3), обеспечения гарантий качества и решения задач системного анализа (см. ГОСТ Р 59349).
Г.6 Обработка и использование результатов прогнозирования
Результаты прогнозирования рисков должны быть удобны для обработки заказчиком функционирования системы и/или аналитиком моделируемой системы. Результаты представляются в виде гистограмм, графиков, таблиц и/или в ином виде, позволяющем анализировать зависимости рисков от изменения значений исходных данных при решении задач системного анализа (см. раздел 7 и приложение Е). Результаты расчетов подлежат использованию для обеспечения гарантии качества системы при выполнении работ системной инженерии. Возможные способы уменьшения рисков, которые могут быть количественно обоснованы с применением рекомендуемых методов и моделей, представляют собой механизмы непосредственно управления рисками для обеспечения гарантий качества системы при реализации каждого из системных процессов (процессов соглашения, процессов организационного обеспечения проекта, процессов технического управления, технических процессов) - см. таблицу Г.1.
Таблица Г.1 - Возможные способы уменьшения рисков
|
Системный процесс |
Вероятностные показатели рисков |
Возможные способы уменьшения рисков, используемые в результате применения методов и моделей по таблице В.1 |
|
Процессы приобретения и поставки продукции и услуг для системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса приобретения или поставки продукции и услуг для системы; соблюдение сроков поставки продукции и/или услуг; соблюдение уровня допустимого брака в поставляемых продукции и/или услугах |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе приобретения и поставки продукции и услуг для системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе приобретения и поставки продукции и услуг для системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процессов приобретения и поставки продукции и услуг для системы и защите информации в этих процессах, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления моделью жизненного цикла системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса управления моделью жизненного цикла системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления моделью жизненного цикла системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления моделью жизненного цикла системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления моделью жизненного цикла системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления инфраструктурой системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Снижение частоты возникновения источников угроз нарушения надежности реализации процесса управления инфраструктурой системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления инфраструктурой системы |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления инфраструктурой системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления инфраструктурой системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления инфраструктурой системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления портфелем проектов |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса управления портфелем проектов; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления портфелем проектов (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления портфелем проектов |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления портфелем проектов и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления человеческими ресурсами системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Снижение частоты возникновения источников угроз нарушения надежности реализации процесса управления человеческими ресурсами системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления человеческими ресурсами системы |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления человеческими ресурсами системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления человеческими ресурсами системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления человеческими ресурсами системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления качеством системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса управления качеством системы; соблюдение сроков поставки продукции и/или услуг; соблюдение уровня допустимого брака в поставляемых продукции и/или услугах |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления качеством системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления качеством системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления качеством системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления знаниями о системе |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса приобретения знаний; соблюдение сроков поставки приобретаемых знаний; соблюдение уровня допустимого брака в приобретаемых знаниях; выполнение необходимых условий с завершением всех предпринимаемых действий процесса создания полезных знаний; соблюдение сроков создания полезных знаний; соблюдение уровня допустимого брака в создаваемых знаниях |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления знаниями о системе (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; |
|
|
Риск нарушения требований по защите информации в процессе |
выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления знаниями о системе |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления знаниями о системе и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс планирования проекта |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса планирования проекта; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе планирования проекта (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе планирования проекта |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса планирования проекта и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс оценки и контроля проекта |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса оценки и контроля проекта; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе оценки и контроля проекта (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе оценки и контроля проекта |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса оценки и контроля проекта и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления решениями |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Снижение частоты возникновения источников угроз нарушения надежности реализации процесса управления решениями (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления решениями |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления решениями (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления решениями |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления решениями и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления рисками для системы |
По ГОСТ Р 59339-2021, подраздел 6.3 |
По всем системным процессам - способы уменьшения рисков согласно ГОСТ Р 59339-2021, приложение Г |
|
Процесс управления конфигурацией системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса управления конфигурацией системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления конфигурацией системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления конфигурацией системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления конфигурацией системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс управления информацией системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Обеспечение необходимой надежности представления используемой информации; обеспечение необходимой своевременности представления используемой информации; обеспечение необходимой полноты оперативного отражения в системе новых объектов и явлений; обеспечение необходимой актуальности обновляемой информации; обеспечение необходимой безошибочности информации после контроля; обеспечение необходимой корректности обработки информации; обеспечение необходимой безошибочности действий должностных лиц |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления информацией системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления информацией системы; сохранение целостности информации системы в условиях опасных программно-технических воздействий; обеспечение защищенности активов от несанкционированного доступа; сохранение конфиденциальности используемой информации |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса управления информацией системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс измерений системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса измерений системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе измерений системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе измерений системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса измерений системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс гарантии качества для системы |
По настоящему стандарту |
По всем системным процессам - способы уменьшения рисков согласно приведенным в настоящей таблице |
|
Процесс анализа бизнеса или назначения системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса анализа бизнеса или назначения системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе анализа бизнеса или назначения системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе анализа бизнеса или назначения системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса анализа бизнеса или назначения системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс определения потребностей и требований заинтересованной стороны для системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса анализа бизнеса или назначения системы; повышение готовности системы к выполнению требований заинтересованных сторон по качеству, срокам и затратам |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе определения потребностей и требований заинтересованной стороны для системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе определения потребностей и требований заинтересованной стороны для системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса определения потребностей и требований заинтересованной стороны для системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс определения системных требований |
Частные показатели риска реализации угроз безопасности информации, направленных на нарушение функционирования системы, в условиях отсутствия мер защиты, предлагаемых к применению в ходе формирования системных требований, и в условиях их применения (показатели остаточного риска нарушения функционирования системы) |
Защита системы от вредоносного программного обеспечения; межсетевое экранирование; использование системы обнаружения вторжений и пресечения попыток проникновения в операционную среду; применение мер разграничения доступа на территорию, к оборудованию и к информации в системе, в том числе мер идентификации и аутентификации пользователей и процессов; применение средств и комплексов доверенной загрузки; применение мер контроля и анализа защищенности программных и программно-аппаратных модулей системы от угроз изменения настроек и нарушения функционирования; мониторинг, регистрация и учет действий пользователей и выполнения процессов в системе; пресечение и блокирование неправомерных действий пользователей, в том числе направленных на несанкционированную инсталляцию программного обеспечения; применение мер резервирования и восстановления программного и аппаратного обеспечения системы |
|
Частные показатели риска реализации угроз утечки конфиденциальной информации в условиях отсутствия мер защиты, предлагаемых к применению в ходе формирования системных требований, и в условиях их применения (показатели остаточного риска нарушения требований по защите конфиденциальной информации в системе или о системе) |
Защита системы от вредоносного программного обеспечения; межсетевое экранирование; использование системы обнаружения вторжений и пресечения попыток проникновения в операционную среду; применение мер разграничения доступа на территорию, к оборудованию и к информации в системе, в том числе мер идентификации и аутентификации пользователей и процессов; применение средств и комплексов доверенной загрузки; применение мер контроля и анализа защищенности программных и программно-аппаратных модулей системы от угроз возможной утечки информации; мониторинг, регистрация и учет действий пользователей и выполнения процессов в системе; пресечение и блокирование неправомерных действий пользователей, направленных на копирование информации и/или несанкционированную ее передачу во внешние сети; учет, регистрация и применение технических мер защиты отчуждаемых носителей информации; применение криптографической защиты трафика как внутри системы, так и при взаимодействии ее с другими системами |
|
|
Интегральные показатели риска реализации угроз, направленных на нарушение функционирования системы в течение ее жизненного цикла, в условиях отсутствия и применения мер защиты, предлагаемых в ходе формирования системных требований |
Все способы уменьшения рисков реализации угроз безопасности информации, оцениваемых по частным показателям для данного процесса, а также: мониторинг публикаций по возможным угрозам и инцидентам безопасности информации, новым уязвимостями системного и прикладного программного обеспечения и средствам их эксплуатации в интересах учета при формировании системных требований в части защиты информации на всех стадиях жизненного цикла системы; согласование подлежащих применению на разных стадиях жизненного цикла системы мер защиты от угроз нарушения функционирования системы или утечки конфиденциальной информации; обеспечение возможности корректировки состава и характеристик мер защиты от угроз нарушения функционирования системы или ее элементов и угроз утечки информации на каждой стадии жизненного цикла системы в зависимости от фактов нарушения безопасности информации, выявленных на предыдущих стадиях |
|
|
Процесс определения архитектуры системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Снижение частоты возникновения источников угроз надежности реализации процесса определения архитектуры системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; |
|
Риск нарушения надежности реализации процесса без учета требований по защите информации |
выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе определения архитектуры системы |
|
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе определения архитектуры системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе определения архитектуры системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса определения архитектуры системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс определения проекта |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса определения проекта; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе определения проекта (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе определения проекта |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса определения проекта и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс системного анализа |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение для каждого из системных процессов необходимых условий с завершением всех предпринимаемых действий, связанных с прогнозированием рисков, обоснованием допустимых рисков, выявлением явных и скрытых угроз, поддержкой принятия решений в жизненном цикле системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе системного анализа (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе системного анализа |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса системного анализа и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс реализации системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса реализации системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе реализации системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе реализации системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности выполнения процесса реализации системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс комплексирования системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса комплексирования системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе комплексирования системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе комплексирования системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса комплексирования системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс верификации системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса верификации системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе верификации системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе верификации системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса верификации системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс передачи системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса передачи системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе передачи системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе передачи системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса передачи системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс аттестации системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса аттестации системы; обеспечение готовности системы к выполнению требований заинтересованных сторон по качеству, срокам и затратам |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе аттестации системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе аттестации системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса аттестации системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс функционирования системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Снижение частоты возникновения источников угроз нарушения надежности реализации процесса функционирования системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе функционирования системы; обеспечение необходимой надежности представления используемой информации; обеспечение необходимой своевременности представления используемой информации; обеспечение необходимой полноты оперативного отражения в системе новых объектов и явлений; обеспечение необходимой актуальности обновляемой информации; обеспечение необходимой безошибочности информации после контроля; обеспечение необходимой корректности обработки информации; обеспечение необходимой безошибочности действий должностных лиц |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе функционирования системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе функционирования системы; сохранение целостности информации системы в условиях опасных программно-технических воздействий; обеспечение защищенности активов от несанкционированного доступа; сохранение конфиденциальности используемой информации |
|
|
Процесс функционирования системы |
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса функционирования системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
Процесс сопровождения системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Снижение частоты возникновения источников угроз нарушения надежности реализации процесса сопровождения системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе сопровождения системы |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе сопровождения системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе сопровождения системы |
|
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса сопровождения системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
|
|
Процесс изъятия и списания системы |
Риск нарушения надежности реализации процесса без учета требований по защите информации |
Выполнение необходимых условий с завершением всех предпринимаемых действий процесса изъятия и списания системы; соблюдение сроков выполнения необходимых действий процесса |
|
Риск нарушения требований по защите информации в процессе |
Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе изъятия и списания системы (если это возможно при управлении рисками); увеличение времени развития угроз до нарушения (если это возможно при управлении рисками); оптимизация периода времени между системными диагностиками; снижение длительности системной диагностики; |
|
|
Процесс изъятия и списания системы |
Риск нарушения требований по защите информации в процессе |
снижение времени восстановления системы после нарушения; выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе изъятия и списания системы |
|
Интегральный риск нарушения реализации процесса с учетом требований по защите информации |
Сбалансированные действия по обеспечению надежности реализации процесса изъятия и списания системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах |
Г.7 Материально-техническое обеспечение
В состав материально-технического обеспечения прогнозирования рисков входят (в части, свойственной процессу гарантии качества для системы):
- результаты обследования, концепция создания, технический облик и/или ТЗ на разработку для создаваемой системы, конструкторская и эксплуатационная документация для существующей системы (используют для формирования исходных данных при моделировании);
- модель угроз безопасности информации (используют для формирования необходимых исходных данных при моделировании и обоснования усовершенствований в результате решения задач системного анализа);
- записи из системного журнала учета предпосылок, инцидентов и аварий при функционировании системы, связанных с нарушением требований по защите информации (используют для формирования исходных данных при моделировании);
- планы ликвидации нарушений, инцидентов и аварий, связанных с нарушением требований по защите информации, и восстановления целостности системы (используют для формирования исходных данных при моделировании и обоснования усовершенствований в результате решения задач системного анализа);
- обязанности должностных лиц и инструкции по защите информации при выполнении процесса (используют для формирования исходных данных при моделировании и обоснования усовершенствований в результате решения задач системного анализа);
- программные комплексы, поддерживающие применение математических моделей и методов по настоящим методическим указаниям (используют для проведения расчетов и поддержки процедур системного анализа и принимаемых решений).
Г.8 Отчетность
По результатам прогнозирования рисков составляется протокол или отчет по ГОСТ 7.32 или по форме, устанавливаемой в организации.
Примечание - Примером практического применения методических указаний может служить ГОСТ Р 58494, в котором положения системной инженерии адаптированы к системам дистанционного контроля промышленной безопасности в опасном производстве. Примеры прогнозирования рисков и решения задач системного анализа приведены в ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59341, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59356.