Приложение В (справочное). Типовые модели и методы прогнозирования рисков. Национальный стандарт РФ ГОСТ Р 59993-2022 "Системная инженерия. Системный анализ процесса управления инфраструктурой системы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 17.08.2022 N 773-ст)

Приложение В
(справочное)

Типовые модели и методы прогнозирования рисков

В.1 Основные положения

В.1.1 Для прогнозирования рисков в процессе управления инфраструктурой системы применяют любые возможные методы, обеспечивающие приемлемое достижение поставленных целей. С учетом набираемой статистики приводимые типовые модели и методы обеспечивают согласно 6.3:

- прогнозирование риска нарушения надежности реализации процесса управления инфраструктурой системы - см. В.1.2-В.1.9, В.2;

- прогнозирование обобщенного риска нарушения реализации процесса управления инфраструктурой системы с учетом дополнительных специфических системных требований - см. В.3;

В.1.2 Для расчета типовых показателей рисков исследуемые сущности рассматривают в виде моделируемой системы простой или сложной структуры. Под моделируемой системой понимают систему, для которой решение задач системного анализа осуществляется с использованием формализованной модели системы, включающей при необходимости формализованные модели учитываемых сущностей в условиях их применения. Модели и методы прогнозирования рисков в таких системах используют данные, получаемые по факту наступления событий, по выявленным предпосылкам к наступлению событий, и данные собираемой и накапливаемой статистики по системным процессам и возможным условиям их реализации, а также возможные гипотетичные данные.

Моделируемая система простой структуры представляет собой систему из единственного элемента или множества элементов, логически объединенных для анализа как один элемент. Анализ системы простой структуры осуществляют по принципу "черного ящика", когда известны входы и выходы, но неизвестны внутренние детали функционирования системы. Моделируемая система сложной структуры представляется как совокупность взаимодействующих элементов, каждый из которых рассматривается как "черный ящик", функционирующий в условиях неопределенности.

В.1.3 При анализе "черного ящика" для вероятностного прогнозирования рисков осуществляют формальное определение пространства элементарных состояний. Это пространство элементарных состояний формируют в результате статистического анализа произошедших событий с их привязкой к временной оси. Предполагается повторяемость событий. Чтобы провести системный анализ для ответа на условный вопрос "Что будет, если...", при формировании сценариев возможных нарушений статистика реальных событий по желанию исследователя процессов может быть дополнена гипотетичными событиями, характеризующими ожидаемые и/или прогнозируемые условия функционирования системы. Применительно к анализируемому сценарию осуществляют расчет вероятности пребывания элементов моделируемой системы в определенном элементарном состоянии в течение задаваемого периода прогноза. Для негативных последствий при оценке рисков этой расчетной вероятности сопоставляют возможный ущерб.

В.1.4 Для математической формализации используют следующие основные положения:

- к началу периода прогноза предполагается, что целостность моделируемой системы обеспечена, включая изначальное выполнение требований к нормальной реализации системных процессов;

- в условиях неопределенностей возникновение и разрастание различных угроз описывают в терминах случайных событий;

- для различных вариантов развития угроз средства, технологии и меры противодействия угрозам с формальной точки зрения представляют собой совокупность мер и/или защитных преград, предназначенных для воспрепятствования реализации угроз.

Обоснованное использование выбранных мер и защитных преград является предупреждающими контрмерами, нацеленными на обеспечение нормальной реализации процесса управления инфраструктурой системы.

В.1.5 Ниже - в В.2.2, В.2.3 - приведены математические модели для прогнозирования рисков в системе, представляемой в виде "черного ящика". Модель В.2.2 для прогнозирования рисков при отсутствии какого-либо контроля (диагностики) целостности системы является частным случаем модели В.2.3 при реализации технологии периодического системного контроля. Модель В.2.2 применима на практике лишь для оценки и сравнения случая полностью бесконтрольного функционирования моделируемой системы, например там, где контроль невозможен или нецелесообразен по функциональным, экономическим или временным соображениям, или когда ответственные лица пренебрегают функциями контроля или не реагируют должным образом на результаты системного анализа.

В.1.6 Для моделируемой системы сложной структуры применимы методы, изложенные в В.2.4, включая методы комбинации и повышения адекватности моделей.

В.1.7 При проведении оценок расчетных показателей на заданный период прогноза предполагают усредненное повторение количественных исходных данных, свойственных прошедшему аналогичному периоду для моделируемой системы. Для исследования запроектных сценариев при моделировании могут быть использованы гипотетичные исходные данные.

В.1.8 Изложение моделей в В.2 дано в контексте нарушения надежности реализации процесса без учета дополнительных специфических системных требований (например, требований по защите информации), в В.3 приведены способы прогнозирования риска нарушения дополнительных специфических системных требований в процессе управления инфраструктурой системы (в том числе с использованием моделей В.2). Методы прогнозирования риска нарушения реализации процесса управления инфраструктурой системы с учетом дополнительных специфических системных требований представлены в В.4. Этот риск характеризуют сочетанием риска нарушения надежности реализации процесса управления инфраструктурой системы (без учета дополнительных специфических системных требований) и риска нарушения риска дополнительных специфических системных требований в этом процессе.

В.1.9 Другие возможные подходы к оценке рисков описаны в ГОСТ IEC 61508-3, ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р 54124, ГОСТ Р 58494, ГОСТ Р 58771, ГОСТ Р 59339, ГОСТ Р 59349, ГОСТ Р МЭК 61069-1 - ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-5 - ГОСТ Р МЭК 61508-7.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

В.1 Математические модели для прогнозирования риска нарушения надежности реализации процесса управления инфраструктурой системы

В.2.1 Общие положения

В.2.1.1 В моделях для анализа надежности реализации процесса под системой понимают отдельное действие или множество действий процесса, получаемый выходной результат или множество выходных результатов (или иные критичные сущности инфраструктуры системы, подлежащие учету в моделируемой системе).

Примечание - Выполнение дополнительных специфических системных требований в В.2 не рассматривается (учет этих требований см. в В.3 и В.4).

В.2.1.2 Для каждого элемента моделируемой системы возможны отсутствие какого-либо контроля либо периодический системный контроль (диагностика) его целостности с необходимым восстановлением по результатам контроля.

В.2.1.3 В терминах системы, состоящей из элементов, отождествляемых с выполняемыми действиями или получаемыми выходными результатами (или иными рассматриваемыми сущностями), под целостностью моделируемой системы понимают такое состояние элементов системы, которое в течение задаваемого периода прогноза отвечает требованию обеспечения надежной реализации процесса управления инфраструктурой системы. С точки зрения вероятностного прогнозирования риска нарушения надежности реализации процесса управления инфраструктурой системы пространство элементарных состояний отдельного элемента моделируемой системы на временной оси образуют следующие состояния:

- "Целостность элемента моделируемой системы сохранена", если в течение всего периода прогноза обеспечена надежная реализация анализируемого действия или получение определенного выходного результата процесса или обеспечено нормальное состояние иной критичной сущности инфраструктуры системы (подлежащее учету и анализу в моделируемой системе как отдельный элемент);

- "Целостность элемента моделируемой системы нарушена" - в противном случае.

В результате моделирования получают расчетные значения вероятностных показателей нахождения элементов моделируемой системы в определенном элементарном состоянии. В сопоставлении с возможным ущербом вероятность нахождения в состоянии "Целостность элемента моделируемой системы нарушена" характеризует риск нарушения надежности выполнения соответствующего действия или получения соответствующего выходного результата реализуемого процесса или функционирования критичной сущности инфраструктуры системы.

В.2.2 Математическая модель "черного ящика" при отсутствии какого-либо контроля

Моделируемая система представлена в виде "черного ящика", функционирование которого не контролируется. Восстановление возможностей по обеспечению выполнения действий процесса осуществляется лишь после обнаружения наступившего нарушения. В результате возникновения угроз и их развития может произойти нарушение надежности реализации процесса. С формальной точки зрения модель позволяет оценить вероятностное значение риска нарушения надежности реализации процесса в течение заданного периода прогноза. С точки зрения системной инженерии этот результат интерпретируют следующим образом: результатом применения модели является расчетная вероятность нарушения надежности реализации процесса управления инфраструктурой системы в течение заданного периода прогноза при отсутствии какого-либо контроля.

Модель представляет собой частный случай модели В.2.3, если период между диагностиками состояния моделируемой системы больше периода прогноза. Учитывая это, используют формулы (В.1)-(В.3).

В.2.3 Математическая модель "черного ящика" при реализации технологии периодического системного контроля

В моделируемой системе, представленной в виде "черного ящика", осуществляется периодический контроль состояния системы с точки зрения надежности реализации процесса управления инфраструктурой.

Из-за случайного характера угроз, различных организационных, программно-технических и технологических причин, различного уровня квалификации специалистов, привлекаемых для контроля, неэффективных мер поддержания или восстановления приемлемых условий, а также в силу иных причин надежность реализации процесса управления инфраструктурой системы может быть нарушена. Такое нарушение способно повлечь за собой негативные последствия.

В рамках модели развитие событий в моделируемой системе считается не нарушающим надежность реализации процесса управления инфраструктурой в течение заданного периода прогноза (см. также В.2.4), если в течение всего периода прогноза источники угроз отсутствуют либо за время между соседними диагностиками возникшие источники угроз не успевают активизироваться. При этом в модели предполагается, что при очередном контроле (диагностике) происходит своевременное определение каждого источника угроз и принятие адекватных защитных мер и действий против активизации выявленных угроз.

Примечание - С точки зрения надежности реализации процесса управления инфраструктурой системы примером источников угроз могут служить природные и техногенные угрозы для конкретного инфраструктурного оборудования, когда значения отслеживаемого параметра функционирования оборудования (например, температуры, давления) выходят за установленные для него допустимые пределы рабочего или нормативного диапазона значений. Активизация такого источника угроз на практике начинается с момента нарушения допустимого диапазона и завершается реальным отказом или сбоем в работе оборудования, способным привести к ущербу, см., например ГОСТ Р 58494, ГОСТ Р 59331.

В целях моделирования предполагают, что существуют не только средства контроля (диагностики) состояния моделируемой системы (позволяющие выявить источники угроз и следы их активизации), но и способы поддержания и/или восстановления нарушаемых возможностей системы. Восстановление осуществляется лишь в период системного контроля (диагностики) или сразу после него при определении источников угроз или следов их активизации. Соответственно, чем чаще осуществляют системный контроль с должной реакцией на выявляемые нарушения или предпосылки к нарушениям, тем выше гарантии обеспечения надежности реализации рассматриваемого процесса в период прогноза (так как в принятой модели за счет предупреждающих действий по результатам диагностики нейтрализуются появившиеся и/или активизируемые угрозы, тем самым отдаляется во времени момент завершения активизации какой-либо угрозы).

В модели рассмотрен последовательный алгоритм возникновения и развития потенциальной угрозы: сначала возникает источник угрозы, после чего он начинает активизироваться. По прошествии времени активизации, свойственного этому источнику угрозы (в общем случае это время активизации представляет собой случайную величину), наступает виртуальный момент нарушения целостности моделируемой системы, интерпретируемый как момент нарушения надежности реализации рассматриваемого процесса с возможными ущербами. Если после виртуального начала активизации угрозы на временной оси наступает очередная диагностика, то дальнейшая активизация угрозы полагается предотвращенной до нанесения недопустимого ущерба, а источник угроз - нейтрализованным (до возможного нового появления какой-либо угрозы после прошедшей диагностики).

Примечание - Если активизация мгновенная, это считают эквивалентным внезапному отказу. Усилия системной инженерии как раз и направлены на использование времени постепенной активизации угроз для своевременного определения, распознавания и противодействия им.

С точки зрения системной инженерии результатом применения модели является расчетная вероятность нарушения надежности реализации процесса управления инфраструктурой системы в течение заданного периода прогноза при реализации технологии периодического системного контроля (диагностики) целостности системы.

Для моделируемой системы, представленной в виде "черного ящика", применительно к выполняемым действиям, выходным результатам и иным критичным сущностям для процесса управления инфраструктурой системы формально определяют следующие исходные данные:

- частота возникновения источников угроз с точки зрения нарушения надежности реализации процесса;

- среднее время развития угроз (активизации источников угроз) с момента их возникновения до нарушения целостности с точки зрения нарушения надежности реализации процесса;

Т _меж - среднее время между окончанием предыдущей и началом очередной диагностики целостности моделируемой системы;

Т _диаг - среднее время системной диагностики целостности моделируемой системы (без использования метода повышения адекватности модели по В.2.4 действует ограничительное предположение, что среднее время восстановления нарушаемой целостности системы, выявляемой при диагностике, включено в среднее время системной диагностики, т.е. средние времена диагностики без и с восстановлением целостности моделируемой системы приблизительно одинаковы, различиями при моделировании можно пренебречь);

Т _восст - среднее время восстановления нарушаемой целостности моделируемой системы (используется в случае применения метода повышения адекватности модели по В.2.4);

Т _зад - задаваемая длительность периода прогноза.

Примечание - Примеры переопределения этих исходных данных (согласно В.2.4), конкретизированные в приложении к дополнительным специфическим требованиям, приведены в В.3.

Вероятность нарушения надежности реализации процесса R _надежн(T _зад) в течение заданного периода прогноза T _зад вычисляют по формуле

,

(В.1)

где Р _возд (, , Т _меж, Т _диаг, Т _зад) - вероятность надежной реализации процесса в течение периода Т _зад.

Возможны два варианта:

- вариант 1 - заданный период прогноза Т _зад меньше периода между окончаниями соседних контролей целостности моделируемой системы (Т _зад < Т _меж + Т _диаг);

- вариант 2 - заданный период прогноза Т _зад больше или равен периоду между окончаниями соседних контролей целостности (Т _зад Т _меж + Т _диаг), т.е. за это время заведомо произойдет один или более контролей целостности моделируемой системы с восстановлением возможностей нарушенного выполнения процесса (если нарушения имели место).

Для варианта 1 при условии независимости исходных характеристик вероятность Р _возд(1) (, , Т _меж, Т _диаг, Т _зад) надежной реализации процесса управления инфраструктурой системы в течение периода прогноза Т _зад вычисляют по формуле

.

(В.2)

Примечание - Формулу (В.2) используют также для оценки вероятности надежной реализации процесса управления инфраструктурой системы при отсутствии какого-либо контроля в предположении, что к началу периода прогноза целостность моделируемой системы обеспечена, т.е. для расчетов по модели В.2.2.

Для варианта 2 при условии независимости исходных характеристик вероятность надежной реализации процесса управления инфраструктурой системы в течение периода прогноза Т _зад вычисляют по формуле

,

(В.3)

где Р _серед - вероятность надежной реализации процесса управления инфраструктурой системы в течение всех периодов между системными контролями, целиком вошедшими в границы времени Т _зад, вычисляемая по формуле

,

(В.4)

где N - число периодов между диагностиками, которые целиком вошли в границы времени Т _зад, с округлением до целого числа, N = [Т _зад/(Т _меж + Т _диаг)] - целая часть;

Р _кон - вероятность надежной реализации процесса управления инфраструктурой системы после последнего системного контроля, вычисляемая по формуле (В.2), т.е.

,

где Т _ост - остаток времени в общем заданном периоде Т _зад по завершении полных периодов, вычисляемый по формуле

.

(В.5)

Формула (В.3) логически интерпретируется так: для обеспечения выполнения требований надежной реализации процесса управления инфраструктурой системы за весь период прогноза требуется обеспечение надежности на каждом из участков - будь то середина или конец задаваемого периода прогноза Т _зад.

Примечание - Для расчетов Р _возд(2) возможны иные вероятностные меры, например, когда N - действительное число, учитывающее не только целую, но и дробную часть.

В итоге вероятность надежной реализации процесса управления инфраструктурой моделируемой системы, представляемой в виде "черного ящика", в течение периода прогноза Т _зад определяется аналитическими выражениями (В.2)-(В.5) в зависимости от варианта соотношений между исходными данными. Это позволяет вычислить по формуле (В.1) вероятность нарушения надежности реализации процесса управления инфраструктурой моделируемой системы R _надежн (, , Т _меж, Т _диаг, Т _зад) в течение заданного периода прогноза T _зад с учетом предпринимаемых технологических мер периодического системного контроля и восстановления возможностей по обеспечению выполнения процесса. С учетом возможного ущерба эта вероятность характеризует прогнозируемый риск нарушения надежности реализации процесса управления инфраструктурой системы в течение заданного периода прогноза при реализации технологии периодического системного контроля.

Примечание - В частном случае, когда период между диагностиками больше периода прогноза Т _меж > Т _зад, модель В.2.3 превращается в модель В.2.2 для прогноза риска нарушения надежности реализации процесса управления инфраструктурой системы при отсутствии какого-либо контроля.

В.2.4 Расчет риска для моделируемой системы сложной структуры, комбинация и повышение адекватности

Описанные в В.2.2 и В.2.3 модели применимы для проведения оценок, когда система представлена в виде "черного ящика" и когда значения времен системной диагностики и восстановления нарушенной целостности системы совпадают. В развитие моделей В.2.2 и В.2.3 в настоящем подразделе приведены способы, позволяющие с использованием В.2.2 и В.2.3 создание моделей для моделируемой систем сложной структуры и более общего случая, когда значения времен системной диагностики и восстановления нарушенных возможностей системы различны.

Расчет основан на применении следующих инженерных способов.

1-й способ позволяет использовать одни и те же модели для расчетов различных показателей по области их приложения. Поскольку модели математические, то путем смыслового переопределения исходных данных возможно использование одних и тех же моделей для оценки показателей, различающихся по смыслу, но идентичных по методу их расчета. Применение этого способа позволяет соизмерять прогнозируемые риски для разнородных угроз по единой вероятностной шкале от 0 до 1.

2-й способ позволяет переходить от оценок моделируемой системы или отдельных элементов, представляемых в виде "черного ящика", к оценкам моделируемой системы сложной структуры с параллельно-последовательным логическим соединением составных элементов. В формируемой структуре, исходя из реализуемых технологий для системы, состоящей из двух элементов, взаимовлияющих на выполнение процесса, указывается характер их логического соединения. Если два элемента соединяются последовательно, что означает логическое соединение "И", то в контексте надежности реализации процесса это интерпретируется так: "в системе обеспечена надежность реализации процесса в течение времени t, если 1-й элемент "И" 2-й элемент сохраняют свои возможности по надежной реализации процесса в течение этого времени". Если два элемента соединяются параллельно, что означает логическое соединение "ИЛИ", это интерпретируется так: "система сохраняет возможности по надежной реализации процесса в течение времени t, если 1-й элемент "ИЛИ" 2-й элемент сохраняют свои возможности по надежной реализации процесса в течение этого времени".

Для комплексной оценки в приложении к сложной моделируемой системе используются рассчитанные на моделях вероятности нарушения надежности реализации процесса для каждого из составных элементов за заданное время t. Тогда для простейшей структуры из двух независимых элементов вероятность нарушения надежности реализации процесса за время t определяют по формулам:

- для системы из двух последовательно соединенных элементов

;

(В.6)

- для системы из двух параллельно соединенных элементов

,

(В.7)

где P ₁(t) и P ₂(t) - вероятности нарушения надежности реализации процесса соответственно для 1-го и 2-го элементов за заданное время t.

Рекурсивное применение соотношений (В.6), (В.7) снизу-вверх предоставляет возможности получения соответствующих вероятностных оценок для сложной логической структуры с параллельно-последовательным логическим соединением элементов.

Примечание - Способ рекурсивного применения процессов рекомендован ГОСТ Р 57102. Рекурсивное применение снизу-вверх означает первичное применение моделей В.2.2 или В.2.3 сначала для отдельных системных элементов, представляемых в виде "черного ящика" в принятой сложной логической структуре системы, затем, учитывая характер логического объединения ("И" или "ИЛИ") в принятой структуре, по формулам (В.6) или (В.7) проводят расчет вероятности нарушения надежности реализации процесса за время t для объединяемых элементов (в принятых условиях независимости распределений их временных характеристик). И так - до объединения элементов на уровне системы в целом. При этом сохраняется возможность аналитического прослеживания зависимости результатов расчетов по формулам (В.6) или (В.7) от исходных параметров моделей В.2.1 и В.2.2.

3-й способ в развитие 2-го способа позволяет использовать результаты моделирования для формирования заранее неизвестных (или сложно измеряемых) исходных данных в интересах последующего моделирования. На выходе моделирования по моделям В.2.2 и В.2.3 и применения 2-го способа получается вероятность нарушения надежности функционирования моделируемой системы в течение заданного периода времени t. Если для каждого элемента просчитать эту вероятность для всех точек t от нуля до бесконечности, получится траектория функции распределения времени нарушения надежности функционирования моделируемой системы вплоть до каждого из элементов в зависимости от реализуемых мер контроля и восстановления целостности, т.е. то, что используется в формулах (В.6) и (В.7). Полученный вид этой функции распределения, построенной по точкам (например, с использованием программных комплексов), позволяет традиционными методами математической статистики определить такой показатель, как среднее время до нарушения надежности функционирования каждого из элементов и моделируемой системы в целом. С точки зрения системной инженерии в приложении к рассматриваемому процессу, представляемому в виде моделируемой системы простой или сложной структуры, это среднее время может быть интерпретировано как виртуальная средняя наработка на нарушение надежности реализации процесса при прогнозировании риска по моделям В.2.2 и В.2.3. Обратная величина этого среднего времени является частотой нарушений надежности реализации процесса в условиях разнородных угроз и применяемых методов контроля и восстановления возможностей по обеспечению выполнения процесса для составных элементов. Именно это - необходимые исходные данные для последующего применения моделей "черного ящика" В.2.2 и В.2.3. Этот способ используют, когда изначальная статистика для определения частотных характеристик отсутствует или ее недостаточно.

4-й способ в дополнение к возможностям 2-го и 3-го способов позволяет повысить адекватность моделирования за счет развития моделей В.2.2 и В.2.3 в части отдельного учета времени на контроль (диагностику) состояния и восстановление после нарушения целостности моделируемой системы. В моделях В.2.2 и В.2.3 время системного контроля по составному элементу одинаково и равно в среднем Т _диаг. Вместе с тем, если по результатам контроля для восстановления нарушенных возможностей по выполнению процесса на практике требуется дополнительное время (Т _восст), то для моделирования, учитывающего лишь один параметр (Т _диаг), это дополнительное время должно быть также учтено. При этом усредненное время диагностики с учетом дополнительного времени на восстановление вычисляют итеративно с заданной точностью:

- 1-я итерация определяет  = T _диаг, задаваемое на входе модели. Для 1-й итерации при обнаружении нарушений полагается мгновенное восстановление нарушаемых возможностей по обеспечению выполнения процесса;

- 2-я итерация осуществляется после расчета риска R ⁽¹⁾ по исходным данным после 1-й итерации

,

(В.8)

где R ⁽¹⁾ - риск нарушения надежности реализации процесса с исходным значением , вычисляемый с использованием модели В.2.3. Здесь, поскольку на 1-й итерации не учитывает времени восстановления, риск R ⁽¹⁾, рассчитываемый с использованием модели В.2.3, ожидается оптимистичным, т.е. меньше реального;

- r-я итерация осуществляется после расчета риска R ^{(r - 1)} по исходным данным после (r - 1)-й итерации

,

(В.9)

где R ^{(r - 1)} вычисляют по моделям В.2.2, В.2.3, но в качестве исходного уже выступает , рассчитанное на предыдущем шаге итерации. Здесь в большей степени учитывается время восстановления с частотой, стремящейся к реальной. Соответственно риск R ^{(r - 1)} также приближается к реальному, r 2.

С увеличением r указанная последовательность сходится, и для дальнейших расчетов используют значение, отличающееся от точного предела на величину, пренебрежимо малую по сравнению с задаваемой изначально точностью итерации :

.

Таким образом, 4-й способ позволяет вместо одного исходного данного (среднего времени системной диагностики, включая восстановление нарушенной целостности моделируемой системы) учитывать два, которые могут быть различны по своему значению:

- Т _диаг - среднее время системной диагностики целостности моделируемой системы;

- Т _восст - среднее время восстановления нарушенной целостности моделируемой системы.

При этом для расчетов применяется одна и те же модель В.2.3.

Примечание - Способ итеративного применения процессов рекомендован ГОСТ Р 57102, ГОСТ Р 58494, ГОСТ Р 59331.

Применение инженерных способов 1-4 обеспечивает более точный прогноз для системы сложной структуры с учетом различий во временах диагностики и восстановления целостности моделируемой системы.

В.3 Математические модели для прогнозирования риска нарушения дополнительных специфических системных требований

В.3.1 Общие положения

Прогнозирование рисков нарушения дополнительных специфических системных требований осуществляют на основе применения специальных математических моделей, учитывающих специфику самих требований, а также технологий, мер и способов их выполнения. Примером могут служить модели и методы прогнозирования риска нарушения требований по защите информации - см. ГОСТ Р 59341-2021 (В.2 приложения В).

Примечание - Модели, приведенные в ГОСТ Р 59341 для процесса управления информацией, в полной мере применимы для прогнозирования риска нарушения некоторых из дополнительных специфических системных требований в процессе управления инфраструктурой системы (в частности, дополнительные специфические требования к своевременности представления информации, к контролю безошибочности и обеспечению достоверности циркулирующей информации о состоянии инфраструктуры системы, требования по защите циркулирующей и хранимой информации).

В моделях простой структуры под анализируемой системой понимают определенный выходной результат или действие или совокупность задействованных активов (или иные критичные сущности инфраструктуры системы, подлежащие учету в моделируемой системе при анализе выполнения дополнительных специфических системных требований). В моделях сложной структуры под анализируемой системой понимают определенную упорядоченную совокупность составных элементов, каждый из которых логически представляет собой выходной результат или действие, или совокупность задействованных активов (или иные критичные сущности инфраструктуры системы, подлежащие учету в моделируемой системе сложной структуры при анализе выполнения дополнительных специфических системных требований). В общем случае для системы сложной структуры для различных элементов могут быть применены различные модели угроз или различные технологии системного контроля выполнения дополнительных специфических системных требований и восстановления элементов системы. Отдельный элемент рассматривают как "черный ящик".

Под целостностью моделируемой системы согласно определению 3.1.18 понимают такое ее состояние, которое в течение задаваемого периода прогноза отвечает целевому назначению системы (см. также В.2.1.3). При моделировании, направленном на прогнозирование риска нарушения дополнительных специфических системных требований, целевое назначение моделируемой системы проявляется в выполнении дополнительных специфических системных требований. В этом случае для каждого из элементов и моделируемой системы в целом пространство элементарных состояний на временной оси образуют два основных состояния:

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо слов "3.1.18" следует читать "3.1.17"

- "Выполнение дополнительных специфических системных требований в моделируемой системе обеспечено", если в течение всего периода прогноза обеспечено выполнение дополнительных специфических системных требований;

- "Выполнение дополнительных специфических системных требований в моделируемой системе нарушено" - в противном случае.

В результате математического моделирования рассчитывают вероятность приемлемого выполнения дополнительных специфических системных требований (т.е. пребывания в состоянии "Выполнение дополнительных специфических системных требований в моделируемой системе обеспечено") в течение всего периода прогноза и ее дополнение до единицы, представляющее собой вероятность нарушения дополнительных специфических системных требований (т.е. пребывания в состоянии "Выполнение дополнительных специфических системных требований в моделируемой системе нарушено"). В свою очередь вероятность нарушения дополнительных специфических системных требований в течение всего периода прогноза в сопоставлении с возможным ущербом определяет риск нарушения дополнительных специфических системных требований.

Аналогично В.2 применяют математическую модель "черного ящика" при отсутствии какого-либо контроля или математическую модель "черного ящика" при реализации технологии периодического системного контроля, каждая из которых адаптирована к контексту выполнения дополнительных специфических системных требований. С формальной точки зрения при сопоставлении с возможным ущербом модель позволяет оценить вероятностное значение риска нарушения дополнительных специфических системных требований в моделируемой системе в течение заданного периода прогноза. С точки зрения системной инженерии этот результат интерпретируют следующим образом: результатом применения модели является расчетная вероятность нарушения дополнительных специфических системных требований в процессе управления инфраструктурой системы в течение заданного периода прогноза при реализации технологии периодического системного контроля (диагностики). При этом учитывают предпринимаемые меры периодической диагностики и восстановления возможностей по обеспечению выполнения дополнительных специфических системных требований.

В.3.2 Исходные данные и расчетные показатели

Для расчета вероятностных показателей применительно к моделируемой системе, где анализируемые сущности могут быть представлены в виде "черного ящика", используют исходные данные, формально определяемые в общем случае следующим образом:

- частота возникновения источников угроз нарушения дополнительных специфических системных требований в рассматриваемом процессе;

- среднее время развития угроз с момента возникновения источников угроз до нарушения нормальных условий (например, до нарушения установленных дополнительных специфических системных требований в системе или до инцидента);

Т _меж - среднее время между окончанием предыдущей и началом очередной диагностики возможностей по обеспечению выполнения дополнительных специфических системных требований в системе;

Т _диаг - среднее время системной диагностики возможностей по обеспечению выполнения дополнительных специфических системных требований;

Т _восст - среднее время восстановления нарушенных возможностей по обеспечению выполнения дополнительных специфических системных требований в моделируемой системе;

Т _зад - задаваемая длительность периода прогноза.

Расчетные показатели:

Р _возд (, , Т _меж, Т _диаг, Т _восст, Т _зад) - вероятность отсутствия нарушений дополнительных специфических системных требований в моделируемой системе в течение периода прогноза T _зад;

R _наруш (, , Т _меж, Т _диаг, Т _восст, Т _зад) - вероятность нарушения дополнительных специфических системных требовании в моделируемой системе в течение периода прогноза T _зад.

Расчет показателей применительно к процессу управления инфраструктурой системы для моделируемой системы простой и сложной структуры осуществляют по тем же формулам (В.1)-(В.9), в частности для дополнительных специфических системных требований по защите информации - по ГОСТ Р 59341-2021 (В.2 приложение В).

Расчет вероятности нарушения дополнительных специфических системных требований для процесса управления инфраструктурой системы в течение периода прогноза R _наруш (T _зад) = R _наруш (, , Т _меж, Т _диаг, Т _восст, Т _зад) осуществляют как дополнение до единицы значения Р _возд (, , Т _меж, Т _диаг, Т _восст, Т _зад).

В.4 Прогнозирование риска нарушения реализации процесса с учетом дополнительных специфических системных требований

В сопоставлении с возможным ущербом обобщенный риск нарушения реализации процесса управления инфраструктурой системы с учетом дополнительных специфических системных требований R _обобщ (Т _зад) для периода прогноза Т _зад определяют по формуле

,

(В.10)

ГАРАНТ:

Текст документа приводится в соответствии с источником

где R _надежн (Т _зад) - вероятность нарушения надежности реализации процесса управления инфраструктурой системы в течение периода прогноза Т _зад без учета дополнительных специфических системных требований, рассчитывают по моделям и рекомендациям В.2;

R _надежн (Т _зад) - вероятность нарушения дополнительных специфических системных требований в системе для процесса управления инфраструктурой системы в течение периода прогноза Т _зад, рассчитывают по моделям и рекомендациям В.3.