ГОСТ Р 59335-2021 Системная инженерия. Защита информации в процессе управления знаниями о системе
6 Специальные требования к количественным показателям
6.1 Общие положения
6.1.1 В приложении к защищаемым активам, действиям процесса, выходным результатам процесса управления знаниями о системе, к которым предъявлены определенные требования по защите информации, выполняют оценку эффективности защиты информации на основе прогнозирования рисков в условиях возможных угроз.
6.1.2 В общем случае основными выходными результатами процесса управления знаниями о системе являются:
- стратегия управления знаниями организации (техническое задание, планы, программы и методики, инструкции, руководства пользователя);
- таксономия для применения активов знаний;
- организационные знания и активы знаний;
- конкурентные преимущества организации;
- методы и технологии повышения эффективности;
- "ноу-хау" и инновации в отношении процессов жизненного цикла конкретных систем, инфраструктуры, архитектуры, новой продукции и программного обеспечения;
- результаты системного анализа в части обеспечения и повышения качества и/или безопасности, и/или эффективности применения конкретных систем и удовлетворенности заинтересованных сторон.
6.1.3 Для получения выходных результатов процесса управления знаниями о системе в общем случае выполняют следующие основные действия:
- определение потребностей в знаниях;
- определение стратегии управления знаниями (включая составление планов по получению и поддержанию активов знаний, определение механизмов и процедур для генерации новых знаний, защиты, контроля и доступа к информации и знаниям, хранения и поиска знаний, в том числе распространенных вне организации, среди заинтересованных сторон, приобретающих сторон и деловых партнеров);
- определение знаний, которые подлежат управлению;
- определение проектов, для которых может быть извлечена польза от применения знаний;
- создание или приобретение активов знаний;
- сохранение знаний, включая защиту активов знаний и иных активов, связанных со знаниями;
- распространение активов знаний по организации;
- сопровождение активов знаний;
- контроль и документирование использования активов знаний;
- переоценку технологической и рыночной стоимости активов знаний;
- оценку эффективности процесса управления знаниями;
- оценку эффективности функционирования организации с использованием процесса управления знаниями.
6.1.4 Текущие данные, накапливаемая и собираемая статистика, связанные с нарушениями требований по защите информации и нарушениями надежности реализации процесса, являются основой для принятия решений по факту наступления событий и источником исходных данных для прогнозирования рисков на задаваемый период прогноза. Риски оценивают вероятностными показателями с учетом возможных ущербов (см. приложения В, Г).
6.2 Требования к составу показателей
Выбираемые показатели должны обеспечивать проведение оценки эффективности защиты информации и прогнозирования интегрального риска нарушения реализации процесса управления знаниями о системе с учетом требований по защите информации.
Эффективность защиты информации оценивают с использованием количественных показателей, которые позволяют сформировать представление о текущих и потенциальных проблемах или о возможных причинах недопустимого снижения эффективности на ранних этапах проявления явных и скрытых угроз безопасности информации, когда можно принять предупреждающие корректирующие действия. Дополнительно могут быть использованы вспомогательные статистические показатели, характеризующие события, которые уже произошли, и их влияние на эффективность защиты информации при реализации процесса. Вспомогательные показатели позволяют исследовать произошедшие события и их последствия и сравнивать эффективность применяемых и/или возможных мер и действий в используемой системе защиты информации.
6.3 Требования к количественным показателям прогнозируемых рисков