Точный
Статус документа
Статус документа

ГОСТ Р 59338-2021 Системная инженерия. Защита информации в процессе управления решениями

     6 Специальные требования к количественным показателям

6.1 Общие положения

6.1.1 Применительно к защищаемым активам, действиям и выходным результатам процесса управления решениями, к которым предъявлены определенные требования по защите информации, выполняют оценку эффективности защиты информации на основе прогнозирования рисков в условиях возможных угроз.

6.1.2 В общем случае основными выходными результатами процесса управления решениями являются:

- варианты решений, требующих альтернативного системного анализа;

- альтернативные направления действий;

- предпочтительные решения и направления действий;

- задокументированные обоснования решений и принятые при обоснованиях предположения и допущения.

6.1.3 Для получения выходных результатов процесса управления решениями в общем случае выполняют следующие основные действия:

- планирование управления решениями, включая:

- разработку стратегии управления решением, в т.ч. определение ролей, обязанностей, подотчетности и полномочий, установление приоритетов, формирование принципов формализации, математического моделирования и отношения к результатам аналитических решений,

- определение обстоятельств и потребностей в решении, включая формулирование проблем, неблагоприятных тенденций и открывающихся возможностей,

- вовлечение соответствующих заинтересованных сторон в процесс принятия решений, использование их опыта и знаний;

- сбор, обработку и анализ информации для принятия решений, включая:

- сбор и обработку необходимых данных, системный анализ их качества с использованием процесса управления информацией (см. 6.4 и ГОСТ Р 59341),

- обоснование и выбор оцениваемых показателей и критериев принятия решений, выбор и/или разработку методик системного анализа для процесса управления решениями (см. 6.2, 6.3 и приложение Е),

- определение области компромиссов и ограничений, обоснование допустимых значений показателей, характеризующих приемлемые решения, формирование альтернативных вариантов решений для системного анализа (см. раздел 7),

- проведение системного анализа альтернативных вариантов решений и возможных направлений действий с использованием процесса системного анализа (см. раздел 7 и ГОСТ Р 59349);

- принятие решений и управление решениями, включая:

- решение формализованных оптимизационных задач для альтернативных вариантов,

- определение предпочтительных альтернатив по результатам системного анализа с использованием установленных критериев, обоснование и принятие приемлемого решения (в том числе в режиме реального времени) и рациональных направлений действий,

- документирование отчетов по решению, отслеживание принятых ранее решений, в том числе оценку эффективности разрешения проблем, исправление неблагоприятных тенденций и обращение возможностей в преимущества.

6.1.4 Текущие данные, накапливаемая и собираемая статистика, связанные с нарушениями требований по защите информации и нарушениями надежности реализации процесса, являются основой для принятия решений по факту наступления событий и источником исходных данных для прогнозирования рисков на задаваемый период прогноза. Риски оценивают вероятностными показателями с учетом возможного ущерба (см. приложения В, Г).

Примечание - Определение активов, действий и выходных результатов процесса управления решениями в системах искусственного интеллекта происходит с учетом требований, указанных в примечании к 5.1.

6.2 Требования к составу показателей

Выбираемые показатели должны обеспечивать проведение оценки эффективности защиты информации и прогнозирования интегрального риска нарушения реализации процесса управления решениями с учетом требований по защите информации.

Эффективность защиты информации оценивают с помощью количественных показателей, которые позволяют сформировать представление о текущих и потенциальных проблемах или о возможных причинах недопустимого снижения эффективности на ранних этапах проявления явных и скрытых угроз безопасности информации, когда можно предпринять предупреждающие корректирующие действия. Дополнительно могут быть использованы вспомогательные статистические данные, характеризующие события, которые произошли, и их потенциальное влияние на эффективность защиты информации при реализации процесса. Эти данные позволяют исследовать произошедшие события и их последствия и сравнить эффективность применяемых и/или возможных мер в действующей системе защиты информации.

6.3 Требования к количественным показателям прогнозируемых рисков

6.3.1 Для прогнозирования рисков используют следующие количественные показатели: