Точный
Статус документа
Статус документа

ГОСТ Р 59343-2021 Системная инженерия. Защита информации в процессе гарантии качества для системы

Приложение Г
(справочное)

Методические указания по прогнозированию рисков

     

Г.1 Общие положения

Настоящие методические указания определяют типовые действия по прогнозированию рисков в процессе гарантии качества для системы. При этом риски характеризуют прогнозными вероятностными значениями в сопоставлении с возможным ущербом.

Расчетные значения рисков на заданный период прогноза используют для решения задач системного анализа при выполнении работ системной инженерии. Синергетические эффекты системной инженерии достигаются за счет количественно обоснованного целенаправленного уменьшения различных рисков или удержания рисков в допустимых пределах при реализации каждого из процессов соглашения, организационного обеспечения проекта, технического управления и технических процессов на всех этапах жизненного цикла систем - см. ГОСТ Р 59329, ГОСТ Р 59330, ГОСТ Р 59331, ГОСТ Р 59332, ГОСТ Р 59333, ГОСТ Р 59334, ГОСТ Р 59335, ГОСТ Р 59336, ГОСТ Р 59337, ГОСТ Р 59338, ГОСТ Р 59339, ГОСТ Р 59340, ГОСТ Р 59341, ГОСТ Р 59342, ГОСТ Р 59344, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59348, ГОСТ Р 59349, ГОСТ Р 59350, ГОСТ Р 59351, ГОСТ Р 59352, ГОСТ Р 59353, ГОСТ Р 59354, ГОСТ Р 59355, ГОСТ Р 59356, ГОСТ Р 59357.

Примечание - Дополнительно могут быть востребованы методики по оценке ущербов, учитывающие специфику системы (см., например, ГОСТ Р 22.10.01, ГОСТ Р 54145).

Г.2 Анализируемые объекты для прогнозирования рисков

Для прогнозирования рисков в процессе гарантии качества для системы определению подлежат:

- состав заинтересованных сторон, имеющих интерес к рассматриваемой системе;

- состав выходных результатов и выполняемых действий и используемых при этом активов;

- перечень потенциальных угроз и возможные сценарии возникновения и развития угроз для выходных результатов и выполняемых действий процесса;

- иные объекты, используемые в прогнозировании рисков при необходимости оценки того, насколько организация процесса гарантии качества для системы способна обеспечить возможности по его выполнению в заданной среде применения системы.

Прогнозирование рисков осуществляют с использованием формализованного представления реальной системы в виде моделируемой системы. Анализируемые объекты включаются в состав моделируемых систем и условий моделирования.

Г.3 Цели прогнозирования рисков

Основной целью прогнозирования рисков является установление степени вероятного нарушения требований по защите информации и/или нарушения надежности реализации анализируемых системных процессов (процессов соглашения, процессов организационного обеспечения проекта, процессов технического управления, технических процессов) с учетом требований по защите информации за заданный период прогноза. Прогнозирование рисков осуществляют в интересах решения определенных задач системного анализа при планировании и реализации системных процессов, обосновании эффективных предупреждающих мер по снижению рисков или их удержанию в допустимых пределах. Конкретные практические цели прогнозирования рисков устанавливают заказчик системного анализа и/или аналитик моделируемой системы при выполнении работ системной инженерии.

Г.4 Используемые методы и модели

Для выполнения необходимых работ системной инженерии, связанных с прогнозированием рисков, используют методы и модели (см. приложение В), устанавливают ограничения на допустимые риски (см. приложение Д), разрабатывают необходимые методики системного анализа (см. приложение Е).

Г.5 Порядок прогнозирования рисков

Г.5.1 Для прогнозирования рисков осуществляют следующие шаги.

Шаг 1. Устанавливают анализируемые объекты и определяют моделируемые системы для прогнозирования рисков. Действия осуществляют согласно Г.2.

Шаг 2. Устанавливают конкретные цели прогнозирования - действия осуществляют согласно Г.3.

Шаг 3. Формируют перечень существенных угроз, критичных с точки зрения недопустимого потенциального ущерба (см. также ГОСТ Р 59346, ГОСТ Р 59349). Принимают решение о представлении моделируемой системы в виде "черного ящика" или в виде сложной структуры, декомпозируемой до составных элементов. Формируют пространство элементарных состояний для каждого элемента и моделируемой системы в целом. Действия осуществляют согласно рекомендациям для моделей из Г.4.

Шаг 4. Выбирают расчетные показатели и подходящие математические модели и методы, рекомендуемые в приложении В. Разрабатывают необходимые методики системного анализа - см. приложение Е. По методикам системного анализа осуществляют расчет выбранных показателей согласно рекомендациям по использованию методов и моделей - см. приложение В, Г.4.

Г.5.2 Получаемые в результате моделирования значения рисков используют для достижения поставленных целей (см. Г.3), обеспечения гарантий качества и решения задач системного анализа (см. ГОСТ Р 59349).

Г.6 Обработка и использование результатов прогнозирования

Результаты прогнозирования рисков должны быть удобны для обработки заказчиком функционирования системы и/или аналитиком моделируемой системы. Результаты представляются в виде гистограмм, графиков, таблиц и/или в ином виде, позволяющем анализировать зависимости рисков от изменения значений исходных данных при решении задач системного анализа (см. раздел 7 и приложение Е). Результаты расчетов подлежат использованию для обеспечения гарантии качества системы при выполнении работ системной инженерии. Возможные способы уменьшения рисков, которые могут быть количественно обоснованы с применением рекомендуемых методов и моделей, представляют собой механизмы непосредственно управления рисками для обеспечения гарантий качества системы при реализации каждого из системных процессов (процессов соглашения, процессов организационного обеспечения проекта, процессов технического управления, технических процессов) - см. таблицу Г.1.

Таблица Г.1 - Возможные способы уменьшения рисков

Системный процесс

Вероятностные показатели рисков

Возможные способы уменьшения рисков, используемые в результате применения методов и моделей по таблице В.1

Процессы приобретения и поставки продукции и услуг для системы

Риск нарушения надежности реализации процесса без учета требований по защите информации

Выполнение необходимых условий с завершением всех предпринимаемых действий процесса приобретения или поставки продукции и услуг для системы;

соблюдение сроков поставки продукции и/или услуг;

соблюдение уровня допустимого брака в поставляемых продукции и/или услугах

Риск нарушения требований по защите информации в процессе

Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе приобретения и поставки продукции и услуг для системы (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе приобретения и поставки продукции и услуг для системы

Интегральный риск нарушения реализации процесса с учетом требований по защите информации

Сбалансированные действия по обеспечению надежности реализации процессов приобретения и поставки продукции и услуг для системы и защите информации в этих процессах, направленные на удержание рисков в допустимых пределах

Процесс управления моделью жизненного цикла системы

Риск нарушения надежности реализации процесса без учета требований по защите информации

Выполнение необходимых условий с завершением всех предпринимаемых действий процесса управления моделью жизненного цикла системы;

соблюдение сроков выполнения необходимых действий процесса

Риск нарушения требований по защите информации в процессе

Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления моделью жизненного цикла системы (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления моделью жизненного цикла системы

Интегральный риск нарушения реализации процесса с учетом требований по защите информации

Сбалансированные действия по обеспечению надежности реализации процесса управления моделью жизненного цикла системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах

Процесс управления инфраструктурой системы

Риск нарушения надежности реализации процесса без учета требований по защите информации

Снижение частоты возникновения источников угроз нарушения надежности реализации процесса управления инфраструктурой системы (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления инфраструктурой системы

Риск нарушения требований по защите информации в процессе

Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления инфраструктурой системы (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления инфраструктурой системы

Интегральный риск нарушения реализации процесса с учетом требований по защите информации

Сбалансированные действия по обеспечению надежности реализации процесса управления инфраструктурой системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах

Процесс управления портфелем проектов

Риск нарушения надежности реализации процесса без учета требований по защите информации

Выполнение необходимых условий с завершением всех предпринимаемых действий процесса управления портфелем проектов;

соблюдение сроков выполнения необходимых действий процесса

Риск нарушения требований по защите информации в процессе

Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления портфелем проектов (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления портфелем проектов

Интегральный риск нарушения реализации процесса с учетом требований по защите информации

Сбалансированные действия по обеспечению надежности реализации процесса управления портфелем проектов и защите информации в процессе, направленные на удержание рисков в допустимых пределах

Процесс управления человеческими ресурсами
системы

Риск нарушения надежности реализации процесса без учета требований по защите информации

Снижение частоты возникновения источников угроз нарушения надежности реализации процесса управления человеческими ресурсами системы (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления человеческими ресурсами системы

Риск нарушения требований по защите информации в процессе

Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления человеческими ресурсами системы (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления человеческими ресурсами системы

Интегральный риск нарушения реализации процесса с учетом требований по защите информации

Сбалансированные действия по обеспечению надежности реализации процесса управления человеческими ресурсами системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах

Процесс управления качеством системы

Риск нарушения надежности реализации процесса без учета требований по защите информации

Выполнение необходимых условий с завершением всех предпринимаемых действий процесса управления качеством системы;

соблюдение сроков поставки продукции и/или услуг;

соблюдение уровня допустимого брака в поставляемых продукции и/или услугах

Риск нарушения требований по защите информации в процессе

Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления качеством системы (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления качеством системы

Интегральный риск нарушения реализации процесса с учетом требований по защите информации

Сбалансированные действия по обеспечению надежности реализации процесса управления качеством системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах

Процесс управления знаниями о системе

Риск нарушения надежности реализации процесса без учета требований по защите информации

Выполнение необходимых условий с завершением всех предпринимаемых действий процесса приобретения знаний;

соблюдение сроков поставки приобретаемых знаний;

соблюдение уровня допустимого брака в приобретаемых знаниях;

выполнение необходимых условий с завершением всех предпринимаемых действий процесса создания полезных знаний;

соблюдение сроков создания полезных знаний;

соблюдение уровня допустимого брака в создаваемых знаниях

Риск нарушения требований по защите информации в процессе

Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления знаниями о системе (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления знаниями о системе

Интегральный риск нарушения реализации процесса с учетом требований по защите информации

Сбалансированные действия по обеспечению надежности реализации процесса управления знаниями о системе и защите информации в процессе, направленные на удержание рисков в допустимых пределах

Процесс планирования проекта

Риск нарушения надежности реализации процесса без учета требований по защите информации

Выполнение необходимых условий с завершением всех предпринимаемых действий процесса планирования проекта;

соблюдение сроков выполнения необходимых действий процесса

Риск нарушения требований по защите информации в процессе

Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе планирования проекта (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе планирования проекта

Интегральный риск нарушения реализации процесса с учетом требований по защите информации

Сбалансированные действия по обеспечению надежности реализации процесса планирования проекта и защите информации в процессе, направленные на удержание рисков в допустимых пределах

Процесс оценки и контроля проекта

Риск нарушения надежности реализации процесса без учета требований по защите информации

Выполнение необходимых условий с завершением всех предпринимаемых действий процесса оценки и контроля проекта;

соблюдение сроков выполнения необходимых действий процесса

Риск нарушения требований по защите информации в процессе

Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе оценки и контроля проекта (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе оценки и контроля проекта

Интегральный риск нарушения реализации процесса с учетом требований по защите информации

Сбалансированные действия по обеспечению надежности реализации процесса оценки и контроля проекта и защите информации в процессе, направленные на удержание рисков в допустимых пределах

Процесс управления решениями

Риск нарушения надежности реализации процесса без учета требований по защите информации

Снижение частоты возникновения источников угроз нарушения надежности реализации процесса управления решениями (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления решениями

Риск нарушения требований по защите информации в процессе

Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления решениями (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления решениями

Интегральный риск нарушения реализации процесса с учетом требований по защите информации

Сбалансированные действия по обеспечению надежности реализации процесса управления решениями и защите информации в процессе, направленные на удержание рисков в допустимых пределах

Процесс управления рисками для системы

По ГОСТ Р 59339-2021, подраздел 6.3

По всем системным процессам - способы уменьшения рисков согласно ГОСТ Р 59339-2021, приложение Г

Процесс управления конфигурацией системы

Риск нарушения надежности реализации процесса без учета требований по защите информации

Выполнение необходимых условий с завершением всех предпринимаемых действий процесса управления конфигурацией системы;

соблюдение сроков выполнения необходимых действий процесса

Риск нарушения требований по защите информации в процессе

Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления конфигурацией системы (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления конфигурацией системы

Интегральный риск нарушения реализации процесса с учетом требований по защите информации

Сбалансированные действия по обеспечению надежности реализации процесса управления конфигурацией системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах

Процесс управления информацией системы

Риск нарушения надежности реализации процесса без учета требований по защите информации

Обеспечение необходимой надежности представления используемой информации;

обеспечение необходимой своевременности представления используемой информации;

обеспечение необходимой полноты оперативного отражения в системе новых объектов и явлений;

обеспечение необходимой актуальности обновляемой информации;

обеспечение необходимой безошибочности информации после контроля;

обеспечение необходимой корректности обработки информации;

обеспечение необходимой безошибочности действий должностных лиц

Риск нарушения требований по защите информации в процессе

Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе управления информацией системы (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе управления информацией системы;

сохранение целостности информации системы в условиях опасных программно-технических воздействий;

обеспечение защищенности активов от несанкционированного доступа;

сохранение конфиденциальности используемой информации

Интегральный риск нарушения реализации процесса с учетом требований по защите информации

Сбалансированные действия по обеспечению надежности реализации процесса управления информацией системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах

Процесс измерений системы

Риск нарушения надежности реализации процесса без учета требований по защите информации

Выполнение необходимых условий с завершением всех предпринимаемых действий процесса измерений системы;

соблюдение сроков выполнения необходимых действий процесса

Риск нарушения требований по защите информации в процессе

Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе измерений системы (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе измерений системы

Интегральный риск нарушения реализации процесса с учетом требований по защите информации

Сбалансированные действия по обеспечению надежности реализации процесса измерений системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах

Процесс гарантии качества для системы

По настоящему стандарту

По всем системным процессам - способы уменьшения рисков согласно приведенным в настоящей таблице

Процесс анализа бизнеса или назначения системы

Риск нарушения надежности реализации процесса без учета требований по защите информации

Выполнение необходимых условий с завершением всех предпринимаемых действий процесса анализа бизнеса или назначения системы;

соблюдение сроков выполнения необходимых действий процесса

Риск нарушения требований по защите информации в процессе

Снижение частоты возникновения источников угроз нарушения требований по защите информации в процессе анализа бизнеса или назначения системы (если это возможно при управлении рисками);

увеличение времени развития угроз до нарушения (если это возможно при управлении рисками);

оптимизация периода времени между системными диагностиками;

снижение длительности системной диагностики;

снижение времени восстановления системы после нарушения;

выбор периода прогноза, когда возможны эффективные предупреждающие управленческие воздействия в процессе анализа бизнеса или назначения системы

Интегральный риск нарушения реализации процесса с учетом требований по защите информации

Сбалансированные действия по обеспечению надежности реализации процесса анализа бизнеса или назначения системы и защите информации в процессе, направленные на удержание рисков в допустимых пределах