Приложение В (справочное). Типовые модели и методы прогнозирования рисков. Национальный стандарт РФ ГОСТ Р 59341-2021 "Системная инженерия. Защита информации в процессе управления информацией системы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18.05.2021 N 370-ст)

Приложение В
(справочное)

Типовые модели и методы прогнозирования рисков

В.1 Общие положения

В.1.1 Для прогнозирования рисков в процессе управления информацией системы могут применяться любые возможные методы, обеспечивающие приемлемое достижение поставленных целей. Типовые методы и модели обеспечивают вероятностное прогнозирование для следующих показателей:

- риска нарушения надежности реализации процесса управления информацией системы без учета требований по защите информации (см. В.1.2-В.1.7, В.3.1-В.3.7);

- риска нарушения требований по защите информации в процессе управления информацией системы (см. В.2);

- интегрального риска нарушения реализации процесса управления информацией системы с учетом требований по защите информации (см. В.3).

В.1.2 Для расчета типовых показателей рисков исследуемые сущности рассматривают в виде моделируемой системы простой или сложной структуры. Модели и методы прогнозирования рисков в таких системах используют данные, получаемые по факту наступления событий, по выявленным предпосылкам к наступлению событий, и данные собираемой и накапливаемой статистики по процессам и возможным условиям их реализации.

Моделируемая система простой структуры представляет собой систему из единственного элемента или множества элементов, логически объединенных для анализа как один элемент. Анализ системы простой структуры осуществляют по принципу "черного ящика", когда известны входы и выходы, но неизвестны внутренние детали функционирования системы. Моделируемая система сложной структуры представляется как совокупность взаимодействующих элементов, каждый из которых представляется в виде "черного ящика", функционирующего в условиях неопределенности.

В.1.3 При анализе "черного ящика" для вероятностного прогнозирования рисков осуществляют формальное определение пространства элементарных событий (состояний). Это пространство элементарных событий формируют в результате статистического анализа произошедших событий с их привязкой к временной оси. Предполагается повторяемость событий. Чтобы провести системный анализ для ответа на условный вопрос "Что будет, если...", при формировании сценариев возможных нарушений статистика реальных событий по желанию исследователя процессов может быть дополнена гипотетичными событиями, характеризующими ожидаемые и/или прогнозируемые условия функционирования моделируемой системы. Применительно к анализируемому сценарию осуществляется расчет вероятности пребывания элементов моделируемой системы в определенном элементарном состоянии в течение задаваемого периода прогноза. Для негативных последствий при оценке рисков этой расчетной вероятности сопоставляют возможный ущерб.

В.1.4 Для математической формализации используют следующие основные положения:

- к началу периода прогноза предполагается, что целостность моделируемой системы обеспечена, включая изначальное выполнение требований по защите информации в системе (в качестве моделируемой системы простой или сложной структуры могут быть рассмотрены выходные результаты с задействованными активами и действия процесса, к которым предъявлены определенные требования по защите информации);

- в условиях неопределенностей возникновение и разрастание различных угроз описывается в терминах случайных событий;

- для различных вариантов развития угроз средства, технологии и меры противодействия угрозам с формальной точки зрения представляют собой совокупность мер и/или защитных преград, предназначенных для воспрепятствования реализации угроз.

Обоснованное использование выбранных мер и защитных преград является предупреждающими контрмерами, нацеленными на обеспечение реализации рассматриваемого процесса.

В.1.5 В общем случае критичность задаваемых условий при проведении системного анализа отслеживается с использованием индикаторных функций, которые позволяют учесть различные ограничения, а также формально пренебречь некоторыми менее существенными факторами (формальное влияние которых на уровне вероятностного значения риска не выходит за допустимые количественные пределы с учетом возможного ущерба).

В.1.6 В В.2 представлены модели в контексте нарушения требований по защите информации в приложении к прогнозированию соответствующего риска нарушения требований по защите информации. Изменение контекста позволяет использовать модели для иных приложений (см. способ 1 из В.2.4, В.3 и приложение Г для адаптации математических моделей к контексту нарушения надежности реализации процесса).

В.1.7 В В.2.2 и В.2.3 приведены математические модели для прогнозирования рисков в моделируемой системе, представляемой в виде "черного ящика". Модель В.2.2 для прогнозирования рисков при отсутствии какого-либо контроля является частным случаем модели В.2.3 при реализации технологии периодического системного контроля. Модель В.2.2 применима на практике лишь для оценки и сравнения случая полностью бесконтрольного функционирования моделируемой системы, например, там, где контроль невозможен или нецелесообразен по функциональным, экономическим или временным соображениям, или когда ответственные лица пренебрегают функциями контроля или не реагируют должным образом на результаты системного анализа. Для моделируемых систем сложной структуры применимы методы, изложенные в В.2.4, включая методы комбинации и повышения адекватности моделей.

В.1.8 При проведении оценок расчетных показателей на заданный период прогноза предполагают усредненное повторение количественных исходных данных, свойственных прошедшему аналогичному периоду для моделируемой системы. Для исследования запроектных сценариев при моделировании могут быть использованы гипотетичные исходные данные.

Примечание - Другие возможные подходы для оценки вероятностных показателей и подходы, подобные изложенным в В.2-В.4, описаны в ГОСТ IEC 61508-3, ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р 54124, ГОСТ Р 58494, ГОСТ Р 58771, ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59356, ГОСТ Р МЭК 61069-1 - ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-5 - ГОСТ Р МЭК 61508-7.

В.2 Математические модели для прогнозирования риска нарушения требований по защите информации

В.2.1 Пространство элементарных событий

В приложении к контексту защиты информации в моделях простой структуры под моделируемой системой понимается определенный выходной результат или совокупность задействованных активов, рассматриваемых как единое целое, или отдельное действие или совокупность действий, рассматриваемых как единое целое, к которым предъявлены требования и применяются идентичные меры защиты информации. Такую систему рассматривают как "черный ящик", для него сделано предположение об использовании одной и той же модели угроз и одной и той же технологии системного контроля выполнения требований по защите информации и восстановлению системы после состоявшихся нарушений (или выявленных предпосылок к нарушениям). В моделях сложной структуры под моделируемой системой понимается определенная упорядоченная совокупность составных элементов, каждый из которых логически представляет собой "черный ящик". В общем случае для системы сложной структуры для различных элементов могут быть применены различные модели угроз или различные технологии системного контроля выполнения требований по защите информации и восстановлению системы.

При моделировании, направленном на прогнозирование риска нарушения требований по защите информации, целевое назначение моделируемой системы проявляется в выполнении требований по защите информации. Такая интерпретация подразумевает выполнение требований по защите информации не только применительно к защищаемым активам и действиям, с использованием которых создают и получают выходные результаты, но и к самим выходным результатам, которые применяют (или планируют к созданию, получению и/или применению). В итоге для каждого из элементов моделируемой системы и системы в целом в приложении к прогнозированию риска нарушения требований по защите информации пространство элементарных событий на временной оси образуют два основных состояния:

- "Выполнение требований по защите информации в системе обеспечено", если в течение всего периода прогноза обеспечено выполнение требований по защите информации;

- "Выполнение требований по защите информации в системе нарушено" - в противном случае.

В результате математического моделирования рассчитывают вероятность приемлемого выполнения требований по защите информации (т.е. пребывания в состоянии "Выполнение требований по защите информации в системе обеспечено") в течение всего периода прогноза и ее дополнение до единицы, представляющее собой вероятность нарушения требований по защите информации (т.е. пребывания в состоянии "Выполнение требований по защите информации в системе нарушено"). В свою очередь вероятность нарушения требований по защите информации в течение всего периода прогноза в сопоставлении с возможным ущербом определяет риск нарушения требований по защите информации.

В.2.2 Математическая модель "черного ящика" при отсутствии какого-либо контроля

Моделируемая система представлена в виде "черного ящика", функционирование которого не контролируется. Восстановление возможностей по выполнению требований по защите информации осуществляется по мере нарушения. При функционировании в результате возникновения угроз и их развития может произойти нарушение возможностей по выполнению требований по защите информации. С формальной точки зрения модель позволяет оценить вероятностное значение риска нарушения требований по защите информации в течение заданного периода прогноза. С точки зрения системной инженерии этот результат интерпретируют следующим образом: результатом применения модели является расчетная вероятность нарушения требований по защите информации в процессе управления информацией системы в течение заданного периода прогноза при отсутствии какого-либо контроля.

Модель представляет собой частный случай модели В.2.3, если период между диагностиками выполнения требований по защите информации больше периода прогноза. Учитывая это, используют формулы (В.1) - (В.5) из В.2.3.

В.2.3 Математическая модель "черного ящика" при реализации технологии периодического системного контроля

В моделируемой системе, представленной в виде "черного ящика", осуществляется периодический контроль (диагностика) состояния системы с точки зрения выполнения требований по защите информации.

Примечание - Моделируемая система в виде "черного ящика" представляет собой единственный элемент.

Из-за случайного характера ряда угроз, различных организационных, программно-технических и технологических причин, различного уровня квалификации специалистов, привлекаемых для контроля, неэффективных мер поддержания или восстановления приемлемых условий функционирования системы и в силу иных причин выполнение требований по защите информации в системе может быть нарушено. Такое нарушение способно повлечь за собой негативные последствия с недопустимым ущербом для системы.

Развитие событий в моделируемой системе считается не нарушающим требований по защите информации в течение заданного периода прогноза, если к началу этого периода выполнение требований по защите информации обеспечено и в течение всего периода либо источники угроз не активизируются, либо после активизации до реализации угроз происходит их своевременное выявление и принятие адекватных мер противодействия угрозам. В целях моделирования предполагают, что существуют не только средства контроля (диагностики) выполнения требований по защите информации, но и способы поддержания и/или восстановления возможностей по обеспечению их выполнения при выявлении источников или следов начала активизации угроз. Восстановление осуществляется лишь в период системного контроля (диагностики). Соответственно, чем чаще осуществляют системный контроль с должной реакцией на выявляемые нарушения или предпосылки к нарушениям, тем выше гарантии ненарушения требований по защите информации из-за возможных угроз в период прогноза (т.к. в принятой модели за счет предупреждающих действий по результатам диагностики устраняются появившиеся и/или активизируемые угрозы, тем самым отдаляется во времени момент нанесения ущерба от реализации какой-либо угрозы).

За основу анализа принят следующий последовательный алгоритм возникновения и развития потенциальной угрозы: сначала возникает источник угрозы, после чего он начинает активизироваться, представляя возможную угрозу для нарушения требований по защите информации. По прошествии периода активизации, свойственного этому источнику угрозы (в общем случае этот период активизации представляет собой случайную величину), наступает виртуальный момент непосредственно реализации угрозы, интерпретируемый как момент нарушения требований по защите информации с возможными негативными последствиями. Если после виртуального начала активизации угрозы на временной оси наступает очередная диагностика целостности моделируемой системы, то дальнейшая активизация угрозы полагается предотвращенной до нанесения недопустимого ущерба, а источник угроз - нейтрализованным (до возможного нового появления какой-либо угрозы после прошедшей диагностики).

Примечание - Если активизация мгновенная, это считают эквивалентным внезапному отказу в приложении к надежности систем. Возможности системы защиты информации как раз и направлены на использование времени постепенной активизации угроз для своевременного выявления, распознавания и противодействия этим угрозам.

Выполнение требований по защите информации в моделируемой системе считается нарушенным лишь после того, как реализация угрозы происходит за период прогноза (т.е. возникает элементарное состояние "Выполнение требований по защите информации в системе нарушено"). При отсутствии нарушений результатом применения очередной системной диагностики является подтверждение возможностей по выполнению требований по защите информации, а при наличии нарушений перед диагностикой результатом применения очередной системной диагностики является полное восстановление до приемлемого уровня нарушенных возможностей по выполнению требований по защите информации.

С формальной точки зрения модель позволяет оценить вероятностное значение риска нарушения требований по защите информации в моделируемой системе в течение заданного периода прогноза. С точки зрения системной инженерии результатом применения модели является расчетная вероятность нарушения требований по защите информации в процессе управления информацией системы в течение заданного периода прогноза при реализации технологии периодического системного контроля (диагностики). При этом учитываются предпринимаемые меры периодической диагностики и восстановления возможностей по выполнению требований по защите информации.

Для моделируемой системы, представленной в виде "черного ящика", применительно к выполняемым действиям, выходным результатам рассматриваемого процесса и защищаемым активам формально определяют следующие исходные данные:

- частота возникновения источников угроз в моделируемой системе с точки зрения нарушения требований по защите информации в процессе управления информацией системы;

- среднее время развития угроз с момента возникновения источников угроз до нарушения установленных требований по защите информации в системе или до инцидента;

Т _меж - среднее время между окончанием предыдущей и началом очередной диагностики возможностей по выполнению требований по защите информации в системе;

Т _диаг - среднее время системной диагностики возможностей по выполнению требований по защите информации (т.е. диагностики целостности моделируемой системы);

Т _восст - среднее время восстановления нарушенных возможностей по выполнению требований по защите информации в системе (учитывают путем использования способа 4 из В.2.4);

Т _зад - задаваемая длительность периода прогноза.

Примечание - Переопределения этих исходных данных, конкретизированные в приложении к выходным результатам и действиям процесса согласно способу 1 из В.2.4, приведены в Г.7.

В общем случае оценку вероятности нарушения требований по защите информации в моделируемой системе R _наруш (, , Т _меж, Т _диаг, Т _восст, Т _зад) в течение периода прогноза Т _зад осуществляют по формуле:

,

(В.1)

где Р _возд (, , Т _меж, Т _диаг, Т _восст, Т _зад) - вероятность отсутствия нарушений по защите информации в моделируемой системе в течение периода Т _зад.

В настоящем подразделе определены расчетные выражения для случая, когда значения средних времен системной диагностики Т _диаг и восстановления нарушенных возможностей по выполнению требований по защите информации Т _восст равны, т.е. для этого случая Р _возд (, , Т _меж, Т _диаг, Т _восст, Т _зад) = Р _возд (, , Т _меж, Т _диаг, Т _восст, Т _зад). Расчет для более общего случая, когда значения Т _диаг и Т _восст различны, осуществляется с использованием 4-го способа повышения адекватности моделей (см. В.2.4).

Возможны два варианта:

- вариант 1 - заданный период прогноза Т _зад меньше периода между окончаниями соседних контролей (Т _зад < Т _меж + Т _диаг);

- вариант 2 - заданный период прогноза Т _зад больше или равен периоду между окончаниями соседних контролей (Т _зад  Т _меж + Т _диаг), т.е. за это время заведомо произойдет один или более контролей системы с восстановлением нарушенного выполнения требований по защите информации (если нарушения имели место к началу контроля).

Для варианта 1 при условии независимости исходных характеристик вероятность P _возд(1) (, , Т _меж, Т _диаг, Т _восст, Т _зад) отсутствия нарушений требований по защите информации в моделируемой системе в течение периода прогноза Т _зад вычисляют по формуле

.

(В.2)

Примечание - Формулу (В.2) используют для оценки риска отсутствия нарушений требований по защите информации в моделируемой системе при отсутствии какого-либо контроля в предположении, что к началу периода прогноза целостность моделируемой системы обеспечена, т.е. для расчетов по математической модели "черного ящика" при отсутствии какого-либо контроля (см. В.2.2).

Для варианта 2 при условии независимости исходных характеристик вероятность отсутствия нарушений требований по защите информации в моделируемой системе в течение прогноза Т _зад вычисляют по формуле:

,

(В.3)

где Р _серед - вероятность отсутствия нарушений требований по защите информации в системе в течение всех периодов между системными контролями, целиком вошедшими в границы времени Т _зад, вычисляемая по формуле

,

(В.4)

где N - число периодов между диагностиками, которые целиком вошли в границы времени Т _зад, сокрушением до целого числа, N = [Т _зад/(Т _меж + Т _диаг)] - целая часть;

Р _кон - вероятность отсутствия нарушений по защите информации после последнего системного контроля в конце периода прогноза до истечения времени Т _зад, вычисляемая по формуле (В.2), т.е.

,

где Т _ост - остаток времени в общем заданном периоде Т _зад по завершении N полных периодов, вычисляемый по формуле

.

(В.5)

Формула (В.3) логически интерпретируется так: для обеспечения выполнения требований по защите информации за весь период прогноза требуется обеспечение выполнения требований по защите информации на каждом из участков - будь то середина или конец задаваемого периода прогноза Т _зад.

Примечание - Для расчетов Р _возд(2) возможны иные вероятностные меры - например, когда N - действительное число, учитывающее не только целую, но и дробную части.

В итоге вероятность отсутствия нарушений требований по защите информации в течение периода прогноза Т _зад определяется аналитическими выражениями (В.2) - (В.5) в зависимости от варианта соотношений между исходными данными. Это позволяет вычислить по формуле (В.1) вероятность нарушения требований по защите информации в системе R _наруш (, , Т _меж, Т _диаг, Т _восст, Т _зад) в течение заданного периода прогноза Т _зад с учетом предпринимаемых технологических мер периодического системного контроля и восстановления возможностей по выполнению требований по защите информации в системе. С учетом возможного ущерба эта вероятность характеризует расчетный риск нарушения требований по защите информации в процессе управления информацией системы в течение заданного периода прогноза при реализации технологии периодического системного контроля.

Примечание - В частном случае, когда период между диагностиками больше периода прогноза Т _зад < Т _меж, модель В.2.3 превращается в модель В.2.2 для прогноза риска нарушения требований по защите информации в моделируемой системе при отсутствии какого-либо контроля.

В.2.4 Расчет риска для систем сложной структуры, комбинация и повышение адекватности моделей

Описанные в В.2.2 и В.2.3 модели применимы для проведения оценок, когда моделируемая система представляется в виде "черного ящика" и значения времен системной диагностики и восстановления нарушенной целостности моделируемой системы совпадают. В развитие моделей В.2.2 и В.2.3 в настоящем подразделе приведены инженерные способы, позволяющие создание моделей для систем сложной структуры и более общего случая, когда значения времен системной диагностики и восстановления нарушенных возможностей системы различны.

Расчет основан на применении следующих инженерных способов.

1-й способ позволяет использовать одни и те же модели для расчетов различных показателей по области их приложения. Поскольку модели математические, то путем смыслового переопределения исходных данных возможно использование одних и тех же моделей для оценки показателей, различающихся по смыслу, но идентичных по методу их расчета.

2-й способ позволяет переходить от оценок моделируемых систем или отдельных элементов, представляемых в виде "черного ящика", к оценкам систем сложной параллельно-последовательной логической структуры. В формируемой структуре, исходя из реализуемых технологий для моделируемой системы, состоящей из двух элементов, взаимовлияющих на сохранение выполнения требований по защите информации в системе, указывается характер их логического соединения. Если два элемента соединяются последовательно, что означает логическое соединение "И" (см. рисунок В.1), то в контексте защиты информации это интерпретируется так: "система обеспечивает выполнение требований по защите информации в течение времени t, если 1-й элемент "И" 2-й элемент сохраняют свои возможности по выполнению требований по защите информации в течение этого времени". Если два элемента соединяются параллельно, что означает логическое соединение "ИЛИ" (см. рисунок В.2), это интерпретируется так: "система сохраняет возможности по выполнению требований по защите информации в течение времени t, если 1-й элемент "ИЛИ" 2-й элемент сохраняют свои возможности по выполнению требований по защите информации в течение этого времени".

Рисунок В.1 - Система из последовательно соединенных элементов ("И")	Рисунок В.2 - Система из параллельно соединенных элементов ("ИЛИ")

Для комплексной оценки в приложении к сложным системам используются рассчитанные на моделях вероятности нарушения требований по защите информации каждого из составных элементов за заданное время t. Тогда для простейшей структуры из двух независимых элементов вероятность нарушения требований по защите информации за время t определяют по формулам:

- для моделируемой системы из двух последовательно соединенных элементов

;

(В.6)

- для моделируемой системы из двух параллельно соединенных элементов

,

(В.7)

где Р _m(t) - вероятность нарушения требований по защите информации m-го элемента за заданное время t, m = 1, 2.

Примечание - Если для достижения своих целей нарушитель вынужден преодолевать несколько преград, защита моделируется с использованием параллельно соединяемых элементов. С точки зрения защиты логическое соединение "ИЛИ" для двух преград интерпретируется так (см. рисунок В.3): система защиты из двух преград сохраняет свои возможности по выполнению требований по защите информации в течение времени t, если 1-я преграда "ИЛИ" 2-я преграда сохраняют свои возможности по выполнению требований по защите информации в течение этого времени, не позволяя нарушителю достичь своей цели путем преодоления всех преград.

Рекурсивное применение соотношений (В.6), (В.7) "снизу-вверх" обеспечивает получение соответствующих вероятностных оценок для сколь угодно сложной логической структуры с параллельно-последовательным логическим соединением элементов.

Примечание - Способ рекурсивного применения процессов рекомендован ГОСТ Р 57102. Рекурсивное применение "снизу-вверх" означает первичное применение моделей В.2.2 или В.2.3 сначала для отдельных системных элементов, представляемых в виде "черного ящика" в принятой сложной логической структуре моделируемой системы, затем, учитывая характер логического объединения ("И" или "ИЛИ") в принятой структуре, по формулам (В.6) или (В.7) проводится расчет вероятности нарушения требований по защите информации за время t для объединяемых элементов. И так - до объединения на уровне системы в целом. При этом сохраняется возможность аналитического прослеживания зависимости результатов расчетов по формулам (В.6) или (В.7) от исходных параметров моделей В.2.2 и В.2.3.

3-й способ в развитие 2-го способа позволяет использовать результаты моделирования для формирования заранее неизвестных (или сложно измеряемых) исходных данных в интересах последующего моделирования. На выходе моделирования по моделям В.2.2 и В.2.3 и применения 2-го способа получается вероятность нарушения требований по защите информации в течение заданного периода времени t. Если для каждого элемента просчитать эту вероятность для всех точек t от нуля до бесконечности, получится траектория функции распределения времени нарушения требований по защите информации по каждому из элементов в зависимости от реализуемых мер контроля и восстановления нарушенных возможностей системы, т.е. то, что используется в формулах (В.6) и (В.7). Полученный численный вид этой функции распределения, построенной по точкам (например, с использованием расчетных программных комплексов), позволяет традиционными методами математической статистики определить такой показатель, как среднее время до нарушения требований по защите информации каждого из элементов и моделируемой системы в целом. С точки зрения системной инженерии это среднее время для системы простой и сложной структуры интерпретируют как виртуальную среднюю наработку на нарушение требований по защите информации в процессе управления информацией при прогнозировании риска по моделям В.2.2 и В.2.3. Обратная величина этого среднего времени представляет собой частоту нарушений требований по защите информации в условиях определенных угроз и применяемых методов контроля и восстановления возможностей по выполнению требований по защите информации для составных элементов. Именно это - необходимые исходные данные для последующего применения моделей В.2.2 и В.2.3 или аналогичных для расчетов по моделям "черного ящика". Этот инженерный способ используют, когда изначальная статистика для определения частоты отсутствует или ее недостаточно.

4-й способ в дополнение к возможностям 2-го и 3-го способов повышает адекватность моделирования за счет развития моделей В.2.2 и В.2.3 в части учета времени на восстановление после нарушения требований по защите информации. В моделях В.2.2 и В.2.3 время системного контроля (диагностики) по составному элементу одинаково и равно в среднем Т _диаг. Вместе с тем, если по результатам контроля требуются дополнительные меры для восстановления нарушенных возможностей по выполнению требований по защите информации в течение времени Т _восст, то для расчетов усредненное время контроля Т _диаг должно быть увеличено (если Т _диаг < Т _восст) или уменьшено (если Т _диаг > Т _восст) с учетом частоты восстановлений. При этом усредненное время контроля вычисляют итеративно с заданной точностью:

- 1-я итерация определяет  = Т _диаг, задаваемое на входе модели. Для 1-й итерации при обнаружении нарушений полагается мгновенное восстановление нарушаемых возможностей по выполнению процесса (т.е. в рамках времени диагностики);

- 2-я итерация осуществляется после расчета риска R ⁽¹⁾ по исходным данным после 1-й итерации

,

(В.8)

где R ⁽¹⁾ - риск нарушения целостности моделируемой системы с исходным значением , вычисляемый с использованием моделей В.2.2, В.2.3. Здесь, поскольку на 1-й итерации не учитывает времени восстановления, риск R ⁽¹⁾, рассчитываемый с использованием модели В.2.3, начинает приближаться к реальному;

- ... r-я итерация осуществляется после расчета риска R ^(r-1) по исходным данным после (r - 1)-й итерации

,

(В.9)

где R ^(r-1) вычисляют по моделям В.2.2, В.2.3, но в качестве исходного уже выступает , рассчитанное на предыдущем шаге итерации. Здесь в большей степени учитывается время восстановления с частотой, стремящейся к реальной. Соответственно риск R ^(r-1) также приближается к реальному.

С увеличением r указанная последовательность сходится, и для дальнейших расчетов используют значение, отличающееся от точного предела на величину, пренебрежимо малую по сравнению с задаваемой изначально точностью расчетов при итерации:

.

Таким образом, 4-й способ позволяет вместо одного исходного данного (среднего времени системной диагностики, включая восстановление нарушенной целостности моделируемой системы) учитывать два, которые могут быть различны по своему значению:

Т _диаг - среднее время системной диагностики возможностей по выполнению требований по защите информации в моделируемой системе;

Т _восст - среднее время восстановления нарушенных возможностей по выполнению требований по защите информации в моделируемой системе.

При этом для расчетов применяются одни и те же модели В.2.2 и В.2.3. В результате обеспечена возможность расчета показателей Р _возд(, , Т _меж, Т _диаг, Т _восст, Т _зад) и R _наруш(, , Т _меж, Т _диаг, Т _восст, Т _зад) по формулам (В.1)-(В.7).

Примечание - Способ итеративного применения процессов рекомендован ГОСТ Р 57102, адаптированный вариант этого способа приведен в ГОСТ Р 58494.

Применение инженерных способов 1-4 обеспечивает более точный прогноз вероятности нарушения требований по защите информации для системы сложной структуры с учетом различий во временах диагностики и восстановления целостности моделируемой системы. Этой расчетной вероятности нарушения требований по защите информации в системе при оценке рисков сопоставляют возможный ущерб.

В.3 Прогнозирование рисков нарушения надежности реализации процесса без учета и с учетом требований по защите информации

В.3.1 Общие положения

В.3.1.1 Модели В.3 позволяют оценить свойство процесса управления информацией системы сохранять во времени в установленных пределах значения показателей, характеризующих способность выполнить процесс в заданных условиях реализации с обеспечением надежности и своевременности предоставления, полноты, достоверности и безопасности используемой информации. Достоверность выходной информации определяется истинностью исходных данных, безошибочностью входной информации, корректностью обработки, безошибочностью при хранении и передаче информации и сохранением ее актуальности на момент использования. Осуществляют учет "человеческого фактора" на уровне безошибочности действий пользователей и персонала системы. В свою очередь безопасность информации характеризуется таким состоянием ее защищенности, при котором обеспечены конфиденциальность, доступность и целостность информации.

Оценки осуществляют с использованием вероятностных показателей нахождения моделируемой системы в определенном элементарном состоянии. В сопоставлении с возможным ущербом эти вероятностные оценки характеризуют соответствующие риски. Для прогнозирования рисков нарушения надежности реализации процесса управления информацией в моделируемой системе без учета требований по защите информации востребованы и подлежат использованию модели (см. В.3.2 - В.3.8), предназначенные для оценки:

- надежности предоставления используемой информации;

- своевременности предоставления используемой информации;

- полноты оперативного отражения в системе новых объектов и явлений;

- актуальности обновляемой информации;

- безошибочности информации после контроля;

- корректности обработки информации;

- оценки безошибочности действий пользователей и персонала системы.

Примечание - Определение ошибки и влияние человеческого фактора на надежность - по ГОСТ Р МЭК 62508.

В.3.1.2 С учетом необходимости детализации модели угроз безопасности информации на практике может быть востребована аналитическая адаптация моделей В.2 с тем, чтобы обеспечить детализацию в прогнозировании риска нарушения требований по защите информации (см. В.3.9). К таким адаптируемым моделям относятся математические модели для оценки:

- сохранения целостности моделируемой системы в условиях опасных программно-технических воздействий;

- защищенности активов от несанкционированного доступа;

- сохранения конфиденциальности используемой информации.

В.3.1.3 Прогнозирование интегрального риска нарушения реализации процесса управления информацией системы с учетом требований по защите информации должно учитывать результаты моделирования по моделям В.2 с учетом положений В.3.1.1, В.3.1.2.

В.3.1.4 В терминах моделируемой системы, отождествляемой с выполняемыми действиями, под целостностью моделируемой системы понимается такое состояние характеристик реализуемых действий, которое в течение задаваемого периода прогноза отвечает требованиям обеспечения надежности и своевременности предоставления запрашиваемой или выдаваемой принудительно информации, полноты, достоверности и безопасности используемой информации. С точки зрения системного анализа пространство элементарных событий отдельного действия (как элемента моделируемой системы) на временной оси образуют следующие основные состояния:

- "Целостность элемента моделируемой системы сохранена", если в течение всего периода прогноза обеспечена надежная реализация анализируемого действия процесса;

- "Целостность элемента моделируемой системы нарушена" - в противном случае.

При этом под целостностью элемента моделируемой системы понимается такое состояние этого элемента, которое в течение задаваемого периода прогноза отвечает целевому назначению системы. С учетом логических условий "И" и "ИЛИ" устанавливают элементарные состояния для каждого элемента и моделируемой системы в целом.

В.3.2 Модели для оценки надежности предоставления информации

Модели позволяют оценить вероятность надежного предоставления запрашиваемой или выдаваемой принудительно информации в системе в течение заданного периода прогноза Р _{над предст} (Т _зад).

В моделях для оценки надежности предоставления информации под системой понимается отдельное действие или множество действий процесса управления информацией системы, выполняемых с использованием определенных защищаемых активов. Для каждого из анализируемых действий возможно либо отсутствие какого-либо контроля, либо периодический системный контроль хода выполнения этого действия. Модели представлены в В.3.2.1, В.3.2.2.

В.3.2.1 Математическая модель для оценки надежности при отсутствии какого-либо контроля

Моделируемая система представлена в виде "черного ящика" с полным повторением формализации по модели В.2.2. Специфика состоит в логическом переопределении исходных данных для моделирования (см. также приложение Г). Это означает применение способа 1 из В.2.4. Формально модель позволяет оценить вероятностное значение риска нарушения целостности моделируемой системы в течение заданного периода прогноза. С точки зрения системной инженерии результатом применения модели с учетом возможного ущерба является расчетный риск нарушения надежности предоставления запрашиваемой или выдаваемой принудительно информации в системе в течение заданного периода прогноза при отсутствии какого-либо контроля. Применимы методы повышения адекватности из В.2.4.

Модель применяют для случая, когда в системе отсутствует какой-либо контроль (диагностика) целостности реализуемых действий процесса. Модель представляет собой частный случай моделей В.2.3 и В.3.2.2, если период между диагностиками целостности моделируемой системы больше периода прогноза.

В.3.2.2 Математическая модель для оценки надежности при реализации технологии периодического системного контроля

Моделируемая система представлена в виде "черного ящика" с полным повторением математической формализации по модели В.2.3. Специфика состоит в логическом переопределении исходных данных для моделирования (см. также приложение Г). С формальной точки зрения модель позволяет оценить вероятностное значение риска нарушения целостности в моделируемой системе в течение заданного периода прогноза. С точки зрения системной инженерии результатом применения модели с учетом возможного ущерба является расчетный риск нарушения надежности предоставления запрашиваемой или выдаваемой принудительно информации в системе в течение заданного периода прогноза при реализации технологии периодического системного контроля. Применимы методы повышения адекватности по В.2.4.

Для расчета риска нарушения надежности предоставления запрашиваемой или выдаваемой принудительно информации в моделируемой системе исходные данные формально переопределяют применительно к выполняемым действиям и защищаемым активам:

- частота возникновения источников угроз с точки зрения нарушения надежности предоставления информации;

- среднее время развития угроз (активизации источников угроз) с момента их возникновения до нарушения целостности моделируемой системы (выполняемых действий процесса или защищаемых активов, используемых при выполнении действий) с точки зрения нарушения надежности предоставления информации;

Т _меж - среднее время между окончанием предыдущей и началом очередной диагностики целостности моделируемой системы;

Т _диаг - среднее время системной диагностики целостности моделируемой системы;

Т _восст - среднее время восстановления нарушаемой целостности моделируемой системы;

Т _зад - задаваемая длительность периода прогноза.

Примечание - Несмотря на фактическую повторяемость некоторых названий исходных данных, их значения при моделировании с использованием модели В.3.2 будут отличны от значений при использовании модели В.2.3, поскольку различны их природа, причины формирования значений, интерпретация и области приложений. Соответственно разными будут и расчетные риски.

В итоге расчетная вероятность надежного предоставления информации характеризуется вероятностью отсутствия нарушений целостности моделируемой системы в течение периода прогноза Т _зад и определяется теми же аналитическими выражениями (В.1) - (В.9), что и в моделях В.2.2, В.2.3, В.2.4, в зависимости от варианта соотношений между исходными данными.

Сопоставление с возможным ущербом позволяет рассматривать расчетную вероятность по формуле (В.1) как риск нарушения надежности предоставления запрашиваемой или выдаваемой принудительно информации в системе в течение заданного периода прогноза с учетом предпринимаемых технологических мер периодического системного контроля и восстановления целостности моделируемой системы. Вероятностное значение этого риска представляет собой дополнение до единицы вероятности надежного предоставления запрашиваемой или выдаваемой принудительно информации в течение заданного периода прогноза.

В частном случае, когда период между диагностиками больше периода прогноза Т _зад < Т _меж, модель В.3.2.2 превращается в модель В.3.2.1 для прогноза риска при отсутствии какого-либо контроля.

Таким образом, модели В.3.2 позволяют оценивать надежность предоставления запрашиваемой или выдаваемой принудительно информации, подлежащей использованию в системе.

Для системного анализа результатов моделирования в оценках интегрального риска нарушения реализации процесса управления информацией системы с учетом требований по защите информации (см. В.3.10) задают допустимый уровень Р _{доп над}(Т _зад) и условие . Условие касается надежности предоставления запрашиваемой или выдаваемой принудительно информации и формулируется в виде ограничений: Р _{над предст}(T _зад)  Р _{доп над}(Т _зад) и возможный ущерб от нарушения не превышает допустимого (это - формулировка условия ). Учет результатов моделирования в оценках интегрального риска осуществляют с использованием индикаторного коэффициента надежности предоставления информации Z _{над предст}(Т _зад)

.

(В.10)

Сопоставление с возможным ущербом позволяет рассматривать дополнение до единицы этого коэффициента [1 - Z _{над предст}(Т _зад)] в качестве вероятностного выражения риска нарушения надежности предоставления запрашиваемой или выдаваемой принудительно информации в системе.

Выполнение требований по своевременности предоставления информации, полноты, достоверности и безопасности используемой информации с соблюдением требований по защите информации учтено в В.3.3 - В.3.9.

В.3.3 Модель для оценки своевременности предоставления информации

Модель позволяет оценить вероятностно-временные показатели обработки в системе информации различных типов и интегрирующие показатели: относительную долю своевременно обработанных запросов С _своевр, и коэффициент своевременности обработки запросов Z _своевр.

Для каждого из значимых типов информации (с привязкой к выполняемым функциональным задачам, источникам и получателям информации) требования к своевременности обработки запросов в системе (касающиеся как запрашиваемой, так и выдаваемой принудительно информации) формулируют с применением одного из двух критериев:

- критерия своевременности по среднему времени реакции: среднее время обработки запросов i-го типа Т _i должно быть не более задаваемого Т _зад i (далее условие этого критерия упоминается как условие своевременности );

- вероятностного критерия: вероятность своевременной обработки запросов i-го типа в системе Р _св i(Т _зад i) = Р _св i(  Т _зад i) за данное время Т _зад i (должна быть не ниже задаваемой Р _{св зад i} (далее условие этого критерия упоминается как условие своевременности ), где - случайная величина, означающая время реакции системы при обработке запросов i-го типа.

Среднее время реакции моделируемой системы и среднеквадратичное отклонение времени реакции при обработке запросов определяют с использованием натурных экспериментов или с использованием моделей теории массового обслуживания. Вероятность своевременной обработки запросов определяют с использованием табулируемой неполной гамма-функции:

,

(В.11)

где - гамма-функция, , ;

, - рассчитываемые параметры неполной гамма-функции;

T _i и ( - Т _i2) ^0,5 - соответственно среднее время и среднеквадратичное отклонение времени реакции системы при обработке запросов i-го типа (т.е. полного времени пребывания на обработке с учетом ожидания в очередях), T _i2 - второй момент времени реакции. Чаще в качестве исходных данных формируют целиком именно среднеквадратичное отклонение, не опускаясь до отдельных измерений второго момента.

Примечание - Для инженерных расчетов вероятности своевременной обработки запросов учитывают, что экспоненциальная аппроксимация распределения времени реакции позволяет получать пессимистические оценки (т.е. оценки сверху), при этом среднее время реакции и среднеквадратичное отклонение времени реакции совпадают.

Для оценок эффективности по всему множеству запросов различных типов, сравнения различных вариантов последовательности обработки запросов и настройки параметров используют следующие показатели относительной доли своевременно обработанных в системе запросов и коэффициентом своевременности обработки запросов.

Относительная доля своевременно обработанных в системе запросов С _своевр охватывает лишь те типы запросов, для которых выполнены требования заказчика, этот показатель вычисляют по формуле

,

(В.12)

где - частота поступления на обработку запросов i-го типа.

Критерии своевременности обработки каждого типа запросов устанавливают с использованием индикаторной функции Ind ():

.

При этом для i-го типа запросов условие своевременности с учетом возможных ущербов определяют одним из условий или :

- - условие, когда для i-го типа запросов задан критерий своевременности по среднему времени реакции и T _i  Т _зад i;

- - условие, когда для i-го типа запросов задан вероятностный критерий своевременности и Р _св i (  Т _зад i)  Р _{св зад i}.

Для оценки интегрального риска условие своевременности предоставления информации формулируют в виде условий или с добавлением, что в случае их нарушения возможный ущерб не превышает допустимого (это - формулировка условия по всем типам запросов). Учет результатов моделирования осуществляют с использованием индикаторного коэффициента своевременности обработки запросов Z _своевр

.

(В.13)

Необходимые для моделирования границы исходных значений , Т _зад i, Р _{св зад i} задают в ТЗ или в постановках функциональных задач для рассматриваемой системы, а значения среднего времени и среднеквадратичного отклонения времени реакции моделируемой системы при обработке запросов i-го типа устанавливают в результате натурных испытаний, экспериментов, дополнительного моделирования или сравнения с аналогами.

Сопоставление с возможным ущербом позволяет рассматривать дополнение до единицы этого коэффициента (1 - Z _своевр) в качестве вероятностного выражения риска нарушения своевременности предоставления запрашиваемой или выдаваемой принудительно информации в системе.

В.3.4 Модель для оценки полноты оперативного отражения в системе новых объектов и явлений

Модель позволяет оценить вероятность того, что в системе полностью отражены состояния всех реально существующих критичных объектов и явлений Р _полн.

До момента, пока новые объекты и явления, ранее не учтенные и появившиеся в динамике функционирования системы, не охвачены ею, для пользователей формально отсутствует полнота оперативного отражения требуемых объектов учета. Требуемая полнота обеспечивается на основе реализации в системе рациональных технологий выявления и сбора первоначальных данных, подлежащих в последующем обновлению.

В предположении пуассоновского потока новых объектов и явлений вероятность обеспечения полноты оперативного отражения в БД системы Р _полн новых реально существующих объектов и явлений вычисляют по формуле

,

(В.14)

где - частота появления новых объектов и явлений в процессе функционирования системы;

Т _{база данных} - среднее время подготовки, передачи и ввода новых объектов учета в БД системы.

Необходимые для моделирования границы исходных значений задают в постановках функциональных задач, а значения Т _{база данных} устанавливают в результате натурных испытаний, экспериментов, дополнительного моделирования или сравнения с аналогами.

Для системного анализа результатов моделирования в оценках интегрального риска нарушения реализации процесса управления информацией системы с учетом требований по защите информации (см. В.3.10) задают допустимый уровень Р _{доп полн} и условие . Условие касается полноты оперативного отражения в системе новых объектов и явлений и формулируется в виде ограничений: Р _полн  Р _{доп полн} и возможный ущерб от нарушения не превышает допустимого (это формулировка условия ). Учет результатов моделирования в оценках интегрального риска осуществляют с использованием вероятностного коэффициента полноты оперативного отражения в системе новых объектов и явлений Z _полн

.

(В.15)

Сопоставление с возможным ущербом позволяет рассматривать дополнение до единицы этого коэффициента (1 - Z _полн) в качестве вероятностного выражения риска нарушения полноты оперативного отражения в системе новых объектов и явлений.

В.3.5 Модель для оценки актуальности обновляемой информации

Модель позволяет оценить вероятность сохранения актуальности информации в системе на момент ее использования Р _акт.

После первоначального отражения в системе данных о реально существующих объектах и явлениях эти данные естественным образом устаревают со временем, т.е. теряют свою актуальность для выполнения системой своих функций. Требуемая актуальность обновляемых данных обеспечивается на основе своевременного выявления значимых изменений, реализации эффективных технологий обновления данных в системе, а также за счет достаточно частого обновления применяемых данных в БД.

При экспоненциальной аппроксимации распределений исходных характеристик и их независимости вероятность сохранения актуальности информации в системе Р _акт на момент ее использования вычисляют по формулам:

- для дисциплины выдачи данных от источника сразу по происшествии значимого изменения состояния объектов учета и явлений

;

(В.16)

- для дисциплины обновления информации в системе вне зависимости от наличия или отсутствия изменения текущего состояния объектов учета и явлений

.

(В.17)

В случае, когда обновление информации в системе осуществляется строго через постоянный интервал времени q, используют формулу

,

(В.18)

где - среднее время между значимыми изменениями реальной информации относительно информации, хранимой в системе (т.е. - частота значимого изменения);

Т _{база данных} - среднее время подготовки, передачи и ввода в БД данных от источников информации;

q - среднее время между соседними обновлениями данных (т.е. q ^-1 - частота обновления данных) в системе.

Необходимые для моделирования границы исходных значений , задают в постановках функциональных задач, значения Т _{база данных} устанавливают в результате натурных испытаний, экспериментов, дополнительного моделирования или сравнения с аналогами, дисциплину обновления данных в системе и значения q указывают в эксплуатационной документации (в части регламента обновления данных).

Для системного анализа результатов моделирования в оценках интегрального риска нарушения реализации процесса управления информацией системы с учетом требований по защите информации (см. В.3.10) задают допустимый уровень Р _{доп акт} и условие . Условие касается сохранения актуальности информации в системе на момент ее использования и формулируется в виде ограничений: Р _акт  Р _{доп акт} и возможный ущерб от нарушения не превышает допустимого (это - формулировка условия ). Учет результатов моделирования в оценках интегрального риска осуществляют с использованием индикаторного коэффициента актуальности информации в системе Z _акт

.

(В.19)

Сопоставление с возможным ущербом позволяет рассматривать дополнение до единицы этого коэффициента (1 - Z _акт) в качестве вероятностного выражения риска нарушения актуальности информации в системе на момент ее использования.

В.3.6 Модель для оценки безошибочности информации после контроля

Модель позволяет оценить вероятность отсутствия ошибок в информации после ее контроля Р _безош, а также вероятность отсутствия ошибок в информации без ее контроля и ожидаемую долю ошибок после контроля.

Информация считается безошибочной в результате контроля, если в процессе контроля до истечения заданного срока контроля все наличествующие ошибки выявлены (и, соответственно, исправлены) и новые ошибки не внесены. Требуемая безошибочность информации в системе после контроля обеспечивается на основе использования эффективных средств и способов выявления и исправления ошибок и рациональной регламентации работы контролера (в качестве контролера могут выступать программно-технические средства системы, человек-контролер или их комбинация).

Для описания процессов контроля безошибочности информации приняты следующие обозначения:

V - объем контролируемой информации;

- доля первоначальных ошибок в контролируемой информации в объеме V (до контроля), т.е. произведение принимает безразмерное значение от 0 до 1;

v - средняя скорость контроля информации;

n - частота ошибок контроля 1-го рода (когда реальное отсутствие ошибки истолковывается как наличие ошибки);

Т _нар - среднее время наработки контролера на ошибку 2-го рода, после истечения которого первая же реальная ошибка в контролируемом объеме информации оказывается пропущенной (для программно-технических средств - это время наработки на отказ);

Т _непр - период непрерывной работы контролера;

Т _зад - задаваемое время на контроль информации.

Возможны 4 варианта соотношений между временем реального контроля Т _реальн всего объема документа (Т _реальн = V/v), задаваемым допустимым временем контроля Т _зад и непрерывным временем работы контролера Т _непр.

Вариант 1. Задаваемое допустимое время контроля не меньше, чем время реального контроля (т.е. Т _реальн  Т _зад), а объем контролируемой информации относительно мал, что позволяет проверить его за один период непрерывной работы контролера (Т _реальн  Т _непр).

Для экспоненциальной аппроксимации распределений интервалов между ошибками в контролируемой информации, времени до свершения ошибки 1-го рода и времени наработки контролера на ошибку, а также при условии независимости исходных характеристик вероятность Р _{после(1)} (V, , v, n, Т _нар, Т _непр, Т _зад) отсутствия ошибок в информации после контроля для варианта 1 вычисляют по формуле

.

(В.20)

Вариант 2. Задаваемое допустимое время контроля не меньше, чем время реального контроля (т.е. Т _реальн Т _зад), но объем контролируемой информации относительно большой (Т _реальн > Т _непр). Это требует нескольких (N) периодов непрерывной работы контролера, в общем случае N = V/(v Т _непр). Внутри каждого периода проверяют часть всего объема, равную в среднем V _{части(2)} = V/N, а допустимое время контроля информации для этой части принимают равным Т _{зад части (2)} = T _зад/N. Тем самым для каждой контролируемой части выполняются условия варианта 1. Вероятность Р _{после(2)} = Р _{после(2)} (V, , v, n, Т _нар, Т _непр, Т _зад) отсутствия ошибок в информации всего объема после контроля для варианта 2 вычисляют по формуле

.

(В.21)

Вариант 3. Задаваемое допустимое время контроля меньше, чем время реального контроля (Т _реальн > Т _зад) при задаваемой средней скорости контроля v, т.е. объективно может быть проверена лишь часть от всего объема информации, равная V _{части(3)} = vT _зад. В свою очередь, сам объем контролируемой информации относительно мал и может быть проверен за один период непрерывной работы контролера, т.е. Т _реальн  Т _непр и для проверяемого объема \/ _{части(3)} выполняются условия варианта 1. Вероятность Р _{после(3)} = Р _{после(3)} (V, , v, n, Т _нар, Т _непр, Т _зад) отсутствия ошибок в информации всего объема после контроля для варианта 3 вычисляют по формуле

,

(В.22)

где вероятность отсутствия ошибок в непроверенной части информации V - V _{части(3)} равна , а вероятность отсутствия ошибок в объеме проверенной информации равна Р _{после(1)} (V _{части(3),}, v, n, Т _нар, Т _непр, Т _зад).

Вариант 4. Задаваемое допустимое время контроля меньше, чем время реального контроля (Т _реальн > Т _зад), но объем контролируемой информации относительно большой (Т _реальн > Т _непр). Аналогично варианту 3 реально может быть проверена лишь часть от всего объема, равная V _{части(4)} = vT _зад. Относительно этой части возможны два подварианта:

- подвариант 4.1: Т _зад  Т _непр, т.е. проверка будет завершена за один период непрерывной работы контролера;

- подвариант 4.2: Т _зад > Т _непр, т.е. потребуется несколько (N) периодов непрерывной работы контролера N = V _{части(4)}/(v Т _непр).

Для подварианта 4.1 вероятность Р _{после(4.1)} = Р _{после(4.1)} (V, , v, n, Т _нар, Т _непр, Т _зад) отсутствия ошибок в информации после контроля вычисляют по формуле

.

(В.23)

Для подварианта 4.2 внутри каждого периода проверяют новую часть, равную в среднем V _{части(4.2)} =V _{части(4)}/N и допустимое время контроля для этой новой части принимают равным Т _{зад части(4.2)} = Т _зад/N.

Вероятность Р _{после(4.2)} = Р _{после(4.2)} (V, , v, n, Т _нар, Т _непр, Т _зад) отсутствия ошибок в информации после контроля вычисляют по формуле

.

(В.24)

В итоге вероятность отсутствия ошибок в информации после ее контроля Р _безош = Р _после определяется аналитическими выражениями для Р _{после(1)}, Р _{после(2)}, Р _{после(3)}, Р _{после(4.1)}, Р _{после(4.2)}, в зависимости от варианта соотношений между исходными данными.

Для всех четырех вариантов доля ошибок после контроля .

Понятие ошибки должно быть определено. Необходимые для моделирования границы исходных значений V, Т _зад задают в ТЗ или постановках функциональных задач, диапазон возможных значений , v, n, Т _нар устанавливают в результате натурных экспериментов или дополнительного моделирования, значение Т _непр указывают в эксплуатационной документации (в части регламента работы контролера). При отсутствии данных в документации системы используют статистические данные, включая данные для систем-аналогов, а также обоснованные гипотетические данные.

Для системного анализа результатов моделирования в оценках интегрального риска нарушения реализации процесса управления информацией системы с учетом требований по защите информации (см. В.3.10) задают допустимый уровень Р _{доп безош} и условие . Условие касается обеспечения безошибочности информации после контроля и формулируется в виде ограничений: Р _безош  Р _{доп безош} и возможный ущерб от нарушения не превышает допустимого (это - формулировка условия ). Учет результатов моделирования в оценках интегрального риска осуществляют с использованием индикаторного коэффициента безошибочности информации в системе Z _безош

.

(В.25)

Сопоставление с возможным ущербом позволяет рассматривать дополнение до единицы этого коэффициента (1 - Z _безош) в качестве вероятностного выражения риска нарушения безошибочности информации в системе после ее контроля.

В.3.7 Модель для оценки корректности обработки информации

Модель позволяет оценить вероятность получения корректных результатов обработки информации Р _корр.

Информация считается корректно обработанной, если в процессе ее анализа до истечения заданного срока обработки все принципиальные моменты учтены и алгоритмические ошибки не допущены. Требуемая корректность обработки информации программно-аналитическими средствами в системе и выходной информации от системы пользователями обеспечивается на основе применения эффективных способов анализа информации (как с использованием, так и без использования прикладного программного обеспечения), позволяющих учесть важную для принятия решения информацию и не допустить алгоритмических ошибок при анализе всего объема информации. Корректность в обработке информации является следствием приемлемого соотношения между объемом анализируемой информации, частью важной для принятия решения информации, подлежащей учету, скоростью анализа информации, частотой ошибок аналитика, длительностью его непрерывной работы и ограничениями на допустимое время обработки.

Формализация процессов обработки информации в системе полностью аналогична формализации для модели В.3.6 с точностью до переопределений исходных данных (см. способ 1 из В.2.4):

V - объем информации, подлежащий обработке (анализу);

- часть важной для принятия решения информации, которая должна быть объективно использована при обработке (анализе) информации объема V, т.е. произведение принимает безразмерное значение от 0 до 1;

v - скорость обработки (анализа);

n - частота ошибок обработки (анализа) 1-го рода (когда несущественная для принятия решения информация ошибочно воспринимается в качестве важной);

Т _нар - среднее время наработки на алгоритмическую ошибку (когда объективно важная для принятия решения информация игнорируется, это - аналог ошибки контроля 2-го рода);

Т _непр - период непрерывной работы аналитика (в качестве аналитика могут выступать программно-аналитические средства или пользователь системы);

Т _зад - задаваемое время на обработку (анализ) информации. Вероятность Р _корр (V, , v, n, Т _нар, Т _непр, Т _зад) получения корректных результатов обработки (анализа) информации равна

,

где Р _{после(1)}, Р _{после(2)}, Р _{после(3)}, Р _{после(4.1)}, Р _{после(4.2)} вычисляют по формулам (В.20) - (В.24).

Необходимые для моделирования границы исходных значений V, Т _зад задают в ТЗ или в постановках функциональных задач, диапазон возможных значений , v, n, Т _нар устанавливают в результате натурных экспериментов или дополнительного моделирования, значение Т _непр указывают в эксплуатационной документации. При отсутствии данных в документации системы используют статистические данные, включая данные для систем-аналогов, а также обоснованные гипотетические данные.

Для системного анализа результатов моделирования в оценках интегрального риска нарушения реализации процесса управления информацией системы с учетом требований по защите информации (см. В.3.10) задают допустимый уровень Р _{доп корр} и условие . Условие касается обеспечения корректности обработки информации и формулируется в виде ограничений: Р _корр  Р _{доп корр} и возможный ущерб от нарушения не превышает допустимого (это формулировка условия ). Учет результатов моделирования в оценках интегрального риска осуществляют с использованием индикаторного коэффициента корректности обработки информации в системе Z _корр

.

(В.26)

Сопоставление с возможным ущербом позволяет рассматривать дополнение до единицы этого коэффициента (1 - Z _корр) в качестве вероятностного выражения риска нарушения корректности обработки информации в системе.

В.3.8 Модели для оценки безошибочности действий пользователей и персонала системы

Модель позволяет оценить воздействие "человеческого фактора" на уровне вероятности безошибочных действий пользователей и персонала системы в течение заданного периода прогноза Р _чел(Т _зад).

Требуемая безошибочность действий пользователей и персонала системы в течение заданного времени обеспечивается на основе профессионального отбора, специальной подготовки пользователей и обслуживающего персонала системы, реализации и использования эффективных средств программной поддержки. Безошибочность является следствием приемлемого соотношения между частотой возможных ошибок, временем их обнаружения и исправления.

С точностью до переопределений исходных данных для расчета вероятности безошибочных действий пользователей и персонала системы в течение заданного периода прогноза используют математические модели В.2, В.3.2, В.3.6, В.3.7 или аналогичные им с учетом специфики действий - см. способ 1 из В.2.4, а также ГОСТ Р 59333.

Для системного анализа результатов моделирования в оценках интегрального риска нарушения реализации процесса управления информацией системы с учетом требований по защите информации (см. В.3.10) задают допустимый уровень Р _{доп чел}(Т _зад) и условие . Условие касается безошибочности действий пользователей и персонала системы и формулируется в виде ограничений: Р _чел(Т _зад)  Р _{доп чел}(Т _зад) и возможный ущерб от нарушения не превышает допустимого (это формулировка условия ). Учет результатов моделирования в оценках интегрального риска осуществляют с использованием индикаторного коэффициента безошибочных действий пользователей и персонала системы Z _чел(T _зад)

.

(В.27)

Сопоставление с возможным ущербом позволяет рассматривать дополнение до единицы этого коэффициента [1 - Z _чел(T _зад)] в качестве вероятностного выражения риска нарушения безошибочности действий пользователей и персонала системы.

В.3.9 Адаптация моделей В.2 к модели угроз

В.3.9.1 Общие положения

В общем случае для прогнозирования рисков нарушения требований по защите информации используют модели В.2. Вместе с тем при необходимости детализации влияния угроз на сохранение целостности, доступности и/или конфиденциальности информации с учетом описательного характера модели угроз безопасности информации возможна адаптация математических моделей В.2.

Приводимые в В.3.9.2 - В.3.9.4 модели представляют собой примеры типовой адаптации для оценки:

- сохранения целостности моделируемой системы в условиях опасных программно-технических воздействий;

- защищенности активов от несанкционированного доступа;

- сохранения конфиденциальности используемой информации.

В.3.9.2 Модель для оценки сохранения целостности моделируемой системы в условиях опасных программно-технических воздействий

Модель позволяет оценить вероятность отсутствия опасного программно-технического воздействия на систему в течение заданного периода прогноза Р _возд(Т _зад).

Под моделируемой системой понимается отдельное действие или множество действий процесса, выполняемых с использованием определенных защищаемых активов, в условиях опасных программно-технических воздействий. Для каждого из анализируемых действий возможно либо отсутствие какого-либо контроля, либо периодический системный контроль хода выполнения этого действия. В результате математического моделирования рассчитывают вероятность отсутствия опасного программно-технического воздействия на систему в течение заданного периода прогноза в течение всего периода прогноза. Ее дополнение до единицы представляет собой вероятность нарушения целостности моделируемой системы (в частности, защищаемых активов) в условиях опасных программно-технических воздействий. В свою очередь эта последняя вероятность в сопоставлении с возможным ущербом определяет риск нарушения целостности моделируемой системы (в частности, защищаемых активов) в течение заданного периода прогноза.

В.3.9.2.1 Математическая модель для прогнозирования риска при отсутствии какого-либо контроля

Моделируемая система представлена в виде "черного ящика" с полным повторением формализации по модели В.2.2. Специфика состоит в логическом переопределении исходных данных для моделирования (см. В.3.9.2.2 и приложение Г). Это означает применение способа 1 из В.2.4. С формальной точки зрения модель позволяет оценить вероятностное значение риска нарушения целостности моделируемой системы в течение заданного периода прогноза. С точки зрения системной инженерии результатом применения модели является расчетный риск нарушения целостности выполняемых действий процесса управления информацией системы в условиях опасных программно-технических воздействий в течение заданного периода прогноза при отсутствии какого-либо контроля. Применимы методы повышения адекватности по В.2.4.

Модель применяют для случая, когда в системе отсутствует какой-либо контроль (диагностика) целостности реализуемых действий процесса. Модель представляет собой частный случай моделей В.2.3 и В.3.9.2.2, если период между диагностиками целостности моделируемой системы больше периода прогноза.

В.3.9.2.2 Математическая модель для прогнозирования риска при реализации технологии периодического системного контроля

Моделируемая система представлена в виде "черного ящика" с полным повторением математической формализации по модели В.2.3. Специфика состоит в логическом переопределении исходных данных для моделирования - см. способ 1 из В.2.4, а также приложение Г. С формальной точки зрения модель позволяет оценить вероятностное значение риска нарушения целостности моделируемой системы в течение заданного периода прогноза. С точки зрения системной инженерии результатом применения модели является расчетный риск нарушения выполняемых действий процесса управления информацией системы в условиях опасных программно-технических воздействий в течение заданного периода прогноза при реализации технологии периодического системного контроля. Применимы методы повышения адекватности по В.2.4.

Для расчета риска нарушения реализации процесса управления информацией системы в условиях опасных программно-технических воздействий выполняют адаптацию исходных данных применительно к выполняемым действиям процесса и защищаемым активам:

- частота возникновения источников угроз в виде источников опасных программно-технических воздействий на моделируемую систему;

- среднее время развития угроз (активизации источников угроз) с момента их возникновения до нарушения целостности моделируемой системы (выполняемых действий процесса или защищаемых активов, используемых при выполнении действия) в результате опасных программно-технических воздействий;

Т _меж - среднее время между окончанием предыдущей и началом очередной диагностики целостности моделируемой системы;

Т _диаг - среднее время системной диагностики целостности моделируемой системы;

Т _восст - среднее время восстановления нарушаемой целостности моделируемой системы;

Т _зад - задаваемая длительность периода прогноза.

Примечание - Несмотря на фактическую повторяемость названий исходных данных, их значения при моделировании по модели В.3.9.2.2 будут отличны от значений при моделировании по модели В.2, поскольку различны их природа, исходные данные, интерпретация и области приложений. Соответственно разными будут и расчетные риски по этим моделям.

В итоге вероятность Р _возд (, , Т _меж, Т _диаг, Т _восст, Т _зад) отсутствия нарушений целостности моделируемой системы в течение периода прогноза Т _зад определяется теми же аналитическими выражениями (В.2) - (В.9), что и в моделях В.2.3, В.2.4, в зависимости от варианта соотношений между исходными данными.

Сопоставление с возможным ущербом позволяет также рассматривать рассчитываемую по формуле (В.1) вероятность нарушения требований по защите информации в моделируемой системе R _наруш (, , Т _меж, Т _диаг, Т _восст, Т _зад) в качестве риска нарушения выполняемых действий процесса управления информацией в системе в условиях опасных программно-технических воздействий в течение заданного периода прогноза Т _зад с учетом предпринимаемых технологических мер периодического системного контроля и восстановления целостности моделируемой системы.

В частном случае, когда период между диагностиками больше периода прогноза Т _зад < Т _меж, модель В.3.9.2.2 превращается в модель В.3.9.2.1 для прогнозирования риска при отсутствии какого-либо контроля.

Необходимые границы исходных значений программно-технических угроз для моделируемой системы задаются в ТЗ или в постановках функциональных задач системы при указании сценариев возможного опасного воздействия, длительность диагностики устанавливают в результате натурных экспериментов, а значение периода между контролями (диагностиками) указывают в эксплуатационной документации. При отсутствии данных в документации системы используют статистические данные, включая данные для систем-аналогов, а также обоснованные гипотетические данные.

В.3.9.3 Модель для оценки защищенности активов от несанкционированного доступа

Модель позволяет оценить вероятность обеспечения защищенности активов системы от НСД в течение заданного периода прогноза Р _НСД(Т _зад) или без привязки к этому периоду Р _НСД.

Примечания

1 Под нарушителем безопасности информации может выступать, например, программная закладка или субъект, совершивший действие (случайно или преднамеренно), следствием которого является возникновение и/или реализация угроз нарушения безопасности информации в системе.

2 Под нарушителем правил разграничения доступа понимается субъект доступа, осуществляющий несанкционированный доступ к информации, например, преступные группы и сообщества, иные нарушители, в т.ч. из состава пользователей и персонала системы. Они имеют мотивацию, достаточные компетенции для НСД и обладают необходимой технической оснащенностью. Это позволяет им изменять значения критически важных параметров процессов функционирования системы (включая серверы, рабочие места операторов, контроллеры управления).

Требуемую защищенность активов системы от НСД обеспечивают на основе реализации достаточного количества защитных преград потенциальным угрозам и различным нарушителям, выбора относительно стойких к вскрытию средств и алгоритмов защиты и рациональной смены параметров защиты. Предполагают, что НСД к ресурсам состоялся, когда все преграды преодолены. Преграду считают преодоленной, если время, затраченное на ее преодоление, оказывается меньше времени между соседними изменениями защитных параметров преграды.

В общем случае в предположении независимости преодолеваемых преград вероятность сохранения защищенности активов системы от НСД вычисляют по формуле

,

(В.28)

где М - количество преград, которое необходимо преодолеть нарушителю, чтобы получить доступ к ресурсам системы;

Р _{преод m} - вероятность преодоления нарушителем m-й преграды.

Для экспоненциальной аппроксимации распределений исходных характеристик при их независимости вероятность преодоления нарушителем m-й преграды Р _{преод m} без привязки к периоду прогноза вычисляют по формуле

,

(В.29)

где f _m - среднее время между соседними изменениями параметров защиты m-й преграды;

u _m - среднее время преодоления (вскрытия значений параметров защиты) m-й преграды.

С учетом специфики расчет Р _{преод m} для отдельной m-й преграды или для всех М преград может быть осуществлен с использованием модели В.2 (m - 1, ..., М). В этом случае будет иметь место зависимость рассчитываемого показателя от задаваемого периода прогноза Т _зад m, т.е. Р _{преод m}(Т _зад m) = 1 - Р _возд m(Т _зад m), где вероятность отсутствия опасного воздействия в результате НСД Р _возд m(Т _зад m) вычисляют по формулам (В.2) - (В.9), т.е. Р _возд m(Т _зад m) = Р _возд (, , Т _меж, Т _диаг, Т _восст, Т _зад m). В такой адаптации возможна комбинация вышеуказанных моделей. Тогда в выражении (В.28) в соответствующих сомножителях Р _{преод m}(Т _зад m) может быть привязка к задаваемому периоду прогноза Т _зад m, и тогда рассчитываемая вероятность обеспечения защищенности активов системы от НСД Р _НСД(Т _зад) также будет зависеть от задаваемых периодов прогноза Т _зад m (для тех преград, для которых осуществляется расчет по моделям В.2). Причем задаваемые в расчетах периоды прогноза Т _зад m для m-й преграды выбирают таким образом, чтобы их сумма для всех М преград не превышала общей длительности задаваемого периода прогноза для системы Т _зад.

Необходимые для моделирования исходные данные по количеству преград М и границам значений u _m определяют в результате дополнительного моделирования, натурных экспериментов, учитывающих специфику системы защиты и возможные сценарии действий нарушителей, или сравнения с аналогами. Их указывают в конструкторской документации в приложении к возможным сценариям НСД, конкретизирующим требования ТЗ в части обеспечения информационной безопасности, а значения f _m - в эксплуатационной документации. При отсутствии данных в документации системы используют статистические данные, включая данные для систем-аналогов, а также обоснованные гипотетические данные, включая данные для моделей В.2.

В.3.9.4 Модель для оценки сохранения конфиденциальности используемой информации

Модель позволяет оценить вероятность Р _конф(Т _конф) сохранения конфиденциальности используемой информации в течение периода объективной конфиденциальности Т _конф.

Под конфиденциальностью информации в моделируемой системе понимается свойство используемой информации быть сохраненной в течение заданного объективного периода конфиденциальности Т _конф от ознакомления лицами, к ней не допущенными, и/или от несанкционированного считывания техническими или программными средствами.

Примечание - Сохраняют силу определения, принятые в рамках модели В.3.9.3.

Требуемая конфиденциальность информации в системе обеспечивается на основе реализации мероприятий, гарантирующих защищенность активов от НСД (см. модель В.3.9.3) до истечения периода объективной конфиденциальности данной информации для ее использования.

Вероятность сохранения конфиденциальности используемой информации вычисляют по формуле (В.28) с тем отличием, что М - это количество преград, которое необходимо преодолеть нарушителю, чтобы получить доступ к информации, а Р _{преод m} - вероятность преодоления нарушителем m-й преграды до истечения периода объективной конфиденциальности используемой информации Т _конф. Для экспоненциальной аппроксимации распределений исходных характеристик при их независимости Р _{преод m} в этом случае вычисляют по формуле

,

(В.30)

где f _m, u _m определены в модели В.3.9.3.

Примечание - Конфиденциальность информации может быть нарушена, например, в результате противоправных действий допущенных к ней лиц в форме разглашения защищаемой информации, когда ни одну преграду преодолевать не приходится. В этом случае в качестве виртуальной сдерживающей преграды (возможно, нескольких преград) могут быть рассмотрены принятые обязательства о неразглашении защищаемой информации и установленная персональная ответственность в виде возможного наказания.

Необходимые для моделирования исходные значения М, где f _m, u _m устанавливают так же, как и для модели В.3.9.3, диапазон возможных значений Т _конф указывают в ТЗ или в постановках функциональных задач. При отсутствии данных в документации системы используют статистические данные, включая данные для систем-аналогов, а также обоснованные гипотетические данные, включая данные для моделей В.2.

При больших значениях Т _конфформула (В.30) вырождается в формулу (В.29).

Примечание - При проведении системного анализа период объективной конфиденциальности используемой информации Т _конф может играть роль задаваемого периода прогноза Т _зад, и наоборот - задаваемый период прогноза Т _зад может играть роль периода объективной конфиденциальности Т _конф. В такой адаптации возможна комбинация вышеуказанных моделей. С учетом специфики расчет для некоторых из преград (в частности для m-й преграды - это показатель Р _{преод m}(Т _зад m) - вероятность преодоления нарушителем m-й преграды до истечения задаваемого периода прогноза Т _зад m) может быть осуществлен с использованием моделей В.2. В этом случае Р _{преод m}(Т _зад m) = 1 - Р _возд (, , Т _меж, Т _диаг, Т _восст, Т _зад m) где вероятность отсутствия опасного воздействия в результате НСД Р _возд (, , Т _меж, Т _диаг, Т _восст, Т _зад m) вычисляют по формулам (В.2) - (В.9).

В.3.10 Алгоритм расчета интегрального риска нарушения реализации процесса с учетом требований по защите информации

Показатель интегрального риска позволяет оценить свойства процесса управления информацией в системе сохранять во времени в установленных пределах значения показателей, характеризующих способность выполнить процесс в заданных условиях реализации с обеспечением надежности и своевременности предоставления, полноты, достоверности и безопасности используемой информации и соблюдением требований по защите информации. Интегральный риск используют для сравнения весомости прогнозируемых частных рисков, выявления явных и скрытых угроз и поддержки принятия решений для задач системного анализа.

В сопоставлении с возможным ущербом интегральный риск нарушения реализации процесса управления информацией системы с учетом требований по защите информации R _интегр(Т _зад) для прогнозного периода Т _зад определяют по формуле

,

(В.31)

где R _надежн(Т _зад) - вероятность нарушения надежности реализации процесса управления информацией системы в течение периода прогноза Т _зад без учета требований по защите информации, рассчитывается по моделям и рекомендациям В.3.2-В.3.8;

R _наруш(Т _зад) - вероятность нарушения требований по защите информации в системе для процесса управления информацией в течение периода прогноза Т _зад, рассчитывается по моделям и рекомендациям В.2.

Вероятность нарушения надежности реализации процесса управления информацией системы в течение периода прогноза без учета требований по защите информации R _надежн(Т _зад) определяют как дополнение до единицы вероятности того, что процесс управления информацией системы обеспечивает надежность и своевременность предоставления запрашиваемой или выдаваемой принудительно информации, полноту, достоверность используемой информации и безошибочность действий пользователей и персонала (учитывая возможные ограничения на расчетные вероятностные показатели), т.е.

,

(В.32)

где Z _{над предст}(Т _зад) - вероятностный коэффициент надежности предоставления информации, учитывающий вероятность надежного предоставления информации в системе в течение заданного периода прогноза Т _зад и соответствующие условия , определяется по модели В.3.2;

Z _своевр - вероятностный коэффициент своевременности обработки запросов, учитывающий относительную долю своевременно обработанных в системе запросов и соответствующие условия , определяется по модели В.3.3;

Z _полн - вероятностный коэффициент полноты оперативного отражения в системе новых объектов и явлений, учитывающий вероятность того, что в системе полностью отражены состояния всех реально существующих критичных объектов и явлений, и соответствующие условия , определяется по модели В.3.4;

Z _акт - вероятностный коэффициент актуальности информации в системе, учитывающий вероятность сохранения актуальности информации на момент ее использования и соответствующие условия , определяется по модели В.3.5;

Z _безош - вероятностный коэффициент безошибочности информации в системе, учитывающий вероятность отсутствия ошибок в информации после ее контроля и соответствующие условия , определяется по модели В.3.6;

Z _корр - вероятностный коэффициент корректности обработки информации в системе, учитывающий вероятность получения корректных результатов обработки информации и соответствующие условия , определяется по модели В.3.7;

Z _чел (Т _зад) - вероятностный коэффициент безошибочных действий пользователей и персонала системы, учитывающий вероятность безошибочных действий пользователей и персонала в течение заданного периода прогноза и соответствующие условия , определяется по модели В.3.8.

В общем случае вероятность нарушения требований по защите информации в системе для процесса управления информацией в течение периода прогноза R _наруш(Т _зад) определяют по моделям В.2. В конкретных случаях при необходимости детализации модели угроз безопасности информации для учета защищенности от опасных программно-технических воздействий, от НСД, сохранения конфиденциальности информации применяют аналитическую адаптацию моделей. При этом вероятность R _наруш(Т _зад) определяют по формуле

,

(В.33)

где Р _возд(Т _зад) - вероятность отсутствия опасного программно-технического воздействия на систему в течение заданного периода прогноза Т _зад, определяемая по рекомендациям В.3.9.2 как Р _возд (, , Т _меж, Т _диаг, Т _восст, Т _зад);

Р _НСД(Т _зад) - вероятность обеспечения защищенности активов системы от НСД в течение заданного периода прогноза Т _зад (или без привязки к этому периоду - Р _НСД), определяемая по рекомендациям В.3.9.3;

Р _конф(Т _конф) - вероятность сохранения конфиденциальности используемой информации в течение периода объективной конфиденциальности Т _конф, определяемая по рекомендациям В.3.9.4 (период Т _конф может играть роль периода прогноза Т _зад - см. последнее примечание в 3.9.4).