ГОСТ Р ИСО/МЭК 15026-2002 Информационная технология (ИТ). Уровни целостности систем и программных средств
6.1 Анализ риска
Анализ риска должен быть выполнен для ответа на три основных вопроса:
- что может привести к неисправности? (путем определения угрозы);
- какова вероятность того, что это случится? (путем анализа частоты инициирующих событий);
- каковы последовательности этого? (путем анализа последовательности инициирующих событий).
В результате этого анализа должен быть подсчитан каждый риск. Выходными результатами анализа конкретного риска являются:
a) описание риска в соответствующих терминах;
b) угрозы, связанные с данным риском;
c) конкретные инициирующие события, связанные с каждой угрозой;
d) предполагаемая частота возникновения инициирующего события.
Описание риска, полученное в результате анализа, используется процессом оценки риска для установления его допустимости. Все выходные результаты анализа риска используются процессами установления уровней целостности системы и программного средства для определения требуемого уровня целостности компонентов программных средств в системе.
Соответствующим руководством при анализе риска является МЭК 300-3-9. Специфичные термины в части безопасности, использованные в МЭК 300-3-9, а именно "опасность (hazard)" и "ущерб (harm)" должны быть истолкованы соответственно как "угроза (threat)" и "вредное воздействие (adverse effect)".
Анализ риска может охватывать множество размеров риска, например по безопасности, экономике и защите. Конкретные размеры определенного риска должны быть установлены ответственным проектантом и ответственным за сохранение целостности.
6.1.1 Определение угрозы
Угрозы, связанные с системой, должны быть определены вместе с инициирующими событиями, могущими привести к этим угрозам. Угрозы связаны с системой, если отказ системы может привести к конкретной угрозе, эксплуатация системы в установленном режиме может привести к конкретной угрозе или выполнение системой функции амортизации связано с инициирующим событием в среде эксплуатации, которое может привести к угрозе. Угрозы не могут быть указаны заранее, для этого должны быть использованы и документально оформлены методы их определения, охватывающие конкретную ситуацию (см. МЭК 300-3-9). При наличии архитектуры системы эта ситуация должна быть учтена при определении угрозы с целью установить виды отказов, связанных с конкретными технологиями, использованными в системе.
6.1.2 Анализ частоты
Анализ частоты используют для оценки вероятности каждого инициирующего события, выявленного при определении угрозы. Когда инициирующим событием является отказ системы, анализом не оценивается вероятность отказа, но устанавливается ограничение частоты отказа, которое должно находиться в границах допустимого риска и достижимо практически.
Каждая частота должна быть оценена с использованием статистических опытных данных, обобщенных на основе соответствующих методов, например анализа дерева отказов или дерева событий (см. МЭК 300-3-9), или оценена на основе экспертных заключений.
При анализе частоты, проводимом в процессе установления уровня целостности системы, систему следует трактовать как "черный ящик", а архитектуру системы при этом не учитывают. Архитектура системы должна быть учтена при установлении уровня целостности программного средства. Частота конкретного инициирующего события, определенная в данном анализе, может быть выражена в количественных или в качественных терминах, указывающих диапазоны частот, таких как обычная, возможная, случайная, маловероятная, невероятная или неправдоподобная.
Анализ частоты должен учитывать, что некоторые инициирующие события приведут к угрозе только в сочетании с другими событиями или как часть последовательности этих событий.
6.1.3 Анализ последовательности
Анализ последовательности используют для оценки опасности угрозы, вызванной инициирующим(и) событием(ями). При этом должны быть определены любые меры, могущие амортизировать последовательность инициирующих событий. Каждая угроза должна быть связана с категорией последовательности из набора категорий, описывающего различные степени опасности данной последовательности, например, катастрофическая, главная, опасная или незначительная.
6.1.4 Расчет риска
Риск, связанный с каждой угрозой, рассчитывают с использованием матрицы риска, связывающей частоту появления инициирующих событий с опасностью их последовательности. Матрица риска устанавливает классы риска, такие как высокий, средний, низкий или обычный, для каждой комбинации частоты и опасности. В таблице 2 приведен пример матрицы риска, взятый из МЭК 300-3-9.
Таблица 2 - Пример матрицы риска
Частота появления | Характерная частота (в год) | Опасность последовательности | |||
Катастрофическая | Главная | Опасная | Незначительная | ||
Обычная | > 1 | Высокий | Высокий | Высокий | Средний |
Вероятная | 1-10 | Высокий | Высокий | Средний | Низкий |
Случайная | 10 | Высокий | Высокий | Низкий | Низкий |
Маловероятная | 10 | Высокий | Высокий | Низкий | Низкий |
Невероятная | 10 | Высокий | Средний | Низкий | Обычный |
Неправдоподобная | < 10 | Средний | Средний | Обычный | Обычный |
Ответственный проектант и ответственный за обеспечение целостности должны согласовать любую матрицу, используемую при расчете риска. Для согласования матрицы риска необходимы соглашения по соответствующим диапазонам частот инициирующих событий, конкретным категориям их последовательностей и определений и классам риска, связанным с каждой парой диапазона частоты и категории последовательности.