Точный
Статус документа
Статус документа

ГОСТ Р 59341-2021 Системная инженерия. Защита информации в процессе управления информацией системы

     6 Специальные требования к количественным показателям

6.1 Общие положения

6.1.1 В приложении к активам, действиям и выходным результатам процесса управления информацией системы, к которым предъявлены определенные требования по защите информации, выполняют оценку эффективности защиты информации на основе прогнозирования рисков в условиях возможных угроз.

6.1.2 В общем случае основными выходными результатами процесса управления информацией системы являются:

- состав информации, подлежащей управлению;

- формы предоставления информации;

- результаты сбора, контроля, обработки, хранения, предоставления информации, подлежащей использованию;

- результаты целенаправленного уничтожения ненужной или недостоверной информации;

- данные о состоянии обеспечения безопасности информации.

6.1.3 Для получения выходных результатов процесса управления информацией системы в общем случае выполняют следующие основные действия:

- определение стратегии управления информацией системы;

- определение информационных объектов, которые подлежат управлению;

- определение полномочий и ответственности при управлении информацией системы;

- определение содержания, форматов и структур информационных объектов;

- определение действий по сопровождению информации (включая анализ статуса хранящейся информации для обеспечения ее полноты, достоверности, безопасности и пригодности);

- сбор, контроль, обработка, хранение и предоставление информации, подлежащей использованию;

- сопровождение информационных объектов и записей об их хранении с регистрацией статуса используемой информации и сохранением возможностей по ее восстановлению;

- обеспечение требуемого уровня безопасности информации для определенных пользователей;

- архивирование информации (при необходимости);

- уничтожение ненужной, недостоверной или недействительной информации.

6.1.4 Текущие данные, накапливаемая и собираемая статистика, связанные с нарушениями требований по защите информации и нарушениями надежности реализации процесса, являются основой для принятия решений по факту наступления событий и источником исходных данных для прогнозирования рисков на задаваемый период прогноза. Риски оценивают вероятностными показателями с учетом возможных ущербов (см. приложения В, Г).

6.2 Требования к составу показателей

Выбираемые показатели должны обеспечивать проведение оценки эффективности защиты информации и прогнозирования интегрального риска нарушения реализации процесса управления информацией системы с учетом требований по защите информации.

Эффективность защиты информации оценивают с помощью количественных показателей, которые позволяют сформировать представление о текущих и потенциальных проблемах или о возможных причинах недопустимого снижения эффективности на ранних этапах проявления явных и скрытых угроз безопасности информации, когда можно принять предупреждающие корректирующие меры. Дополнительно могут быть использованы вспомогательные статистические показатели, характеризующие события, которые уже произошли, и их влияние на эффективность защиты информации при реализации процесса. Вспомогательные показатели позволяют исследовать произошедшие события и их последствия и сравнивать эффективность применяемых и/или возможных мер в действующей системе защиты информации.

6.3 Требования к количественным показателям прогнозируемых рисков

6.3.1 Для прогнозирования рисков в процессе управления информацией используют следующие количественные показатели:

- риск нарушения надежности реализации процесса управления информацией системы без учета требований по защите информации;

- риск нарушения требований по защите информации в процессе управления информацией системы;

- интегральный риск нарушения реализации процесса управления информацией системы с учетом требований по защите информации.