Точный
Статус документа
Статус документа

ГОСТ Р 59338-2021 Системная инженерия. Защита информации в процессе управления решениями

Приложение Г
(справочное)

Методические указания по прогнозированию рисков для процесса управления решениями

     

Г.1 Анализируемые объекты

Настоящие методические указания определяют типовые действия при расчетах основных количественных показателей рисков в процессе управления решениями:

- риска нарушения надежности реализации процесса управления решениями без учета требований по защите информации;

- риска нарушения требований по защите информации в процессе управления решениями;

- интегрального риска нарушения реализации процесса управления решениями с учетом требований по защите информации.

При этом риски характеризуют прогнозными вероятностными значениями в сопоставлении с возможным ущербом.

Прогнозирование рисков осуществляют с использованием формализованного представления реальной системы в виде моделируемой системы.

Применительно к конкретной системе в целях прогнозирования рисков нарушения требований по защите информации для процесса управления решениями согласно 5.3, 6.1 определению подлежат:

- состав выходных результатов и выполняемых действий процесса управления решениями и используемых при этом активов;

- перечень потенциальных угроз и возможных сценариев возникновения и развития угроз для выходных результатов и выполняемых действий процесса управления решениями;

- иные сущности, используемые в прогнозировании рисков, при необходимости оценки того, насколько организация способна обеспечить возможности по выполнению процесса управления решениями в заданных условиях.

Примечание - Для понимания деталей специфики прогнозирования рисков см., например, ГОСТ Р 58494, где в приложении к системе дистанционного контроля в опасном производстве указаны примеры объектов, выходных результатов, выполняемых действий, множества потенциальных угроз.

Г.2 Цель прогнозирования рисков

Основной целью прогнозирования рисков является установление степени вероятного нарушения требований по защите информации и/или нарушения надежности реализации исследуемого процесса управления решениями с учетом требований по защите информации за заданный период прогноза. Прогнозирование рисков осуществляют в интересах решения определенных задач системного анализа (см. раздел 7). Конкретные практические цели прогнозирования рисков устанавливают заказчик системного анализа и/или аналитик моделируемой системы при выполнении работ системной инженерии.

Г.3 Положения по формализации

Для решения задач системного анализа в качестве моделируемой системы могут выступать: множество выходных результатов, множество действий процесса управления решениями или иные сущности, объединенные целевым назначением при моделировании.

Для каждого из элементов моделируемой системы в зависимости от поставленных целей могут решаться свои задачи (см. раздел 7). В общем случае моделируемую систему представляют либо в виде "черного ящика" (см. В.2.2 и В.2.3), либо в виде сложной структуры, элементы которой соединяются последовательно или параллельно (см. В.2.4).

Для получения более точных результатов прогнозирования рисков осуществляют декомпозицию сложной моделируемой системы до уровня составных системных элементов, характеризуемых их параметрами и условиями эксплуатации и объединяемых для описания целостности моделируемой системы логическими условиями "И" и "ИЛИ". При этом целостность моделируемой системы (системного элемента) в течение задаваемого периода прогноза означает такое состояние этой системы (системного элемента), которое в течение периода прогноза обеспечивает ее целевое назначение.

Примечания

1 Логическое условие "И" для двух связанных этим условием элементов интерпретируется так: моделируемая система из двух последовательно соединяемых элементов находится в состоянии целостности, когда первый элемент, "И" второй элемент находятся в состоянии целостности.

2 Логическое условие "ИЛИ" для двух связанных этим условием элементов интерпретируется так: система из двух параллельно соединяемых элементов находится в состоянии целостности, когда первый элемент, второй элемент "ИЛИ" находятся в состоянии целостности (в частности, когда для повышения надежности дублируется выполнение отдельных действий).

Для каждого из элементов и для моделируемой системы в целом вводится пространство элементарных состояний (с учетом логических взаимосвязей элементов условиями "И", "ИЛИ").

Например, в приложении к прогнозированию риска нарушения требований по защите информации пространство элементарных состояний на временной оси может быть формально определено двумя основными состояниями:

- "Выполнение требований по защите информации в процессе управления решениями обеспечено", если в течение всего периода прогноза обеспечено выполнение требований по защите информации, т.е. с точки зрения системной инженерии их невыполнение может привести к недопустимому ущербу;

- "Выполнение требований по защите информации в процессе управления решениями нарушено" - в противном случае.

В приложении к прогнозированию интегрального риска нарушения реализации процесса относительно выполняемых действий с учетом требований по защите информации пространство элементарных состояний на временной оси может быть формально определено другими двумя основными состояниями: