ГОСТ Р 59349-2021 Системная инженерия. Защита информации в процессе системного анализа
Приложение В
(справочное)
Типовые модели и методы прогнозирования рисков
В.1 Общие положения
Процесс системного анализа применим ко всем системным процессам (к процессам соглашения, процессам организационного обеспечения проекта, процессам технического управления, техническим процессам) по ГОСТ Р 57193, ГОСТ Р 59329, ГОСТ Р 59330, ГОСТ Р 59331, ГОСТ Р 59332, ГОСТ Р 59333, ГОСТ Р 59334, ГОСТ Р 59335, ГОСТ Р 59336, ГОСТ Р 59337, ГОСТ Р 59338, ГОСТ Р 59339, ГОСТ Р 59340, ГОСТ Р 59341, ГОСТ Р 59342, ГОСТ Р 59343, ГОСТ Р 59344, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59348, ГОСТ Р 59350, ГОСТ Р 59351, ГОСТ Р 59352, ГОСТ Р 59353, ГОСТ Р 59354, ГОСТ Р 59355, ГОСТ Р 59356, ГОСТ Р 59357, в том числе непосредственно к себе самому. Для прогнозирования различных рисков применимы любые научно обоснованные модели и методы, обеспечивающие приемлемое достижение поставленных целей.
В настоящем приложении приведены ссылки на стандарты системной инженерии, содержащие рекомендации по типовым моделям, методам и необходимым исходным данным для прогнозирования рисков во всех системных процессах (см. В.2).
Применимые для процесса системного анализа специальные положения по прогнозированию риска нарушения надежности реализации процесса, риска нарушения требований по защите информации и интегрального риска изложены в В.3.
В.2 Ссылки на типовые модели и методы
Ссылки на стандарты системной инженерии, содержащие рекомендации по типовым моделям, методам и необходимым исходным данным для прогнозирования рисков при проведении системного анализа, отражены в таблице В.1.
Таблица В.1 - Ссылки на типовые модели и методы прогнозирования рисков
Системный процесс | Вероятностные показатели риска | Ссылки на типовые модели и методы |
Процессы приобретения и поставки продукции и услуг для системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59329-2021, приложение В |
Процесс управления моделью жизненного цикла системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59330-2021, приложение В |
Процесс управления инфраструктурой системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59331-2021, приложение В |
Процесс управления портфелем проектов | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59332-2021, приложение В |
Процесс управления человеческими ресурсами системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59333-2021, приложение В |
Процесс управления качеством системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59334-2021, приложение В |
Процесс управления знаниями о системе | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59335-2021, приложение В |
Процесс планирования проекта | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59336-2021, приложение В |
Процесс оценки и контроля проекта | По ГОСТ Р 59337-2021, подраздел 6.3 | ГОСТ Р 59337-2021, приложение В |
Процесс управления решениями | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59338-2021, приложение В |
Процесс управления рисками для системы | По ГОСТ Р 59339-2021, подраздел 6.3 | ГОСТ Р 59339-2021, приложение В |
Процесс управления конфигурацией системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59340-2021, приложение В |
Процесс управления информацией системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59341-2021, приложение В |
Процесс измерений системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59342-2021, приложение В |
Процесс гарантии качества для системы | По ГОСТ Р 59343-2021, подраздел 6.3 | ГОСТ Р 59343-2021, приложение В |
Процесс анализа бизнеса или назначения системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59344-2021, приложение В |
Процесс определения потребностей и требований заинтересованной стороны для системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59345-2021, приложение В |
Процесс определения системных требований | Частные показатели риска реализации угроз безопасности информации в условиях отсутствия мер защиты информации, предлагаемых к использованию в процессе; | ГОСТ Р 59346-2021, приложения В, Д |
Процесс определения архитектуры системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59347-2021, приложение В |
Процесс определения проекта | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59348-2021, приложение В |
Процесс системного анализа | По 6.3 | Настоящий стандарт, приложение В |
Процесс реализации системы | Риск нарушения надежности выполнения процесса без учета требований по защите информации; | ГОСТ Р 59350-2021, приложение В |
Процесс комплексирования системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59351-2021, приложение В |
Процесс верификации системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59352-2021, приложение В |
Процесс передачи системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59353-2021, приложение В |
Процесс аттестации системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59354-2021, приложение В |
Процесс функционирования системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59355-2021, приложение В |
Процесс сопровождения системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59356-2021, приложение В |
Процесс изъятия и списания системы | Риск нарушения надежности реализации процесса без учета требований по защите информации; | ГОСТ Р 59357-2021, приложение В |
Примечание - Другие возможные показатели, модели и методы оценки рисков приведены в ГОСТ IEC 61508-3, ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р 54124, ГОСТ Р 58045, ГОСТ Р 58494, ГОСТ Р 58771, ГОСТ Р МЭК 61069-1 - ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-5 - ГОСТ Р МЭК 61508-7.
В.3 Специальные положения по прогнозированию рисков для процесса системного анализа
В.3.1 Типовые модели и методы прогнозирования рисков обеспечивают вероятностную оценку следующих показателей:
- риска нарушения надежности реализации процесса системного анализа без учета требований по защите информации (см. В.3.2-В.3.7, В.4);
- риска нарушения требований по защите информации в процессе системного анализа (см. В.5);
- интегрального риска нарушения надежности реализации процесса системного анализа с учетом требований по защите информации (см. В.6).
В.3.2 Для расчета показателей рисков исследуемые сущности процесса рассматривают в виде моделируемой системы простой или сложной структуры. Модели и методы системного анализа таких систем используют данные, получаемые по факту наступления событий, по выявленным предпосылкам к наступлению событий, данные собираемой и накапливаемой статистики по процессам и возможным условиям их реализации.
Система простой структуры представляет собой систему из единственного элемента или множества элементов, логически объединенных для анализа как один элемент. Анализ моделируемой системы простой структуры осуществляют по принципу "черного ящика", когда известны входы и выходы, но неизвестны внутренние детали функционирования системы. Система сложной структуры представляет собой совокупность взаимодействующих элементов, каждый из которых представляется в виде "черного ящика", функционирующего в условиях неопределенности.
В.3.3 При анализе "черного ящика" для вероятностного прогнозирования рисков осуществляют формальное определение пространства элементарных состояний. Это пространство элементарных состояний формируют в результате статистического анализа произошедших событий с их привязкой к временной оси. Предполагается повторяемость событий. Чтобы провести системный анализ для ответа на условный вопрос "Что будет, если...", при формировании сценариев возможных нарушений статистика реальных событий по желанию исследователя может быть дополнена гипотетичными событиями, характеризующими ожидаемые и/или прогнозируемые условия функционирования моделируемой системы. Применительно к анализируемому сценарию осуществляют расчет вероятности пребывания элементов моделируемой системы в определенном элементарном состоянии в течение задаваемого периода прогноза. Для негативных последствий при оценке рисков этой расчетной вероятности сопоставляют возможный ущерб.
В.3.4 Для математической формализации используют следующие основные положения:
- к началу периода прогноза предполагается целостность моделируемой системы, включая изначальное выполнение требований по защите информации в системе (в качестве моделируемой системы простой или сложной структуры могут быть рассмотрены выходные результаты с задействованными активами, действия процесса, а также иные сущности, подлежащие учету при системном анализе);
- в условиях неопределенностей возникновение и разрастание различных угроз описывается в терминах случайных событий;
- для различных вариантов развития угроз средства, технологии и меры противодействия угрозам с формальной точки зрения представляют собой совокупность мер, действий и/или защитных преград, предназначенных для воспрепятствования реализации угроз.
Обоснованное использование выбранных мер и защитных преград позволяет рассматривать их в качестве предупреждающих контрмер, нацеленных на обеспечение успешной реализации рассматриваемых процессов.
В.3.5 Математические модели для прогнозирования рисков в системе, представляемой в виде "черного ящика", приведены в В.4.1, В.4.2. Модель В.4.2 для прогнозирования рисков при отсутствии какого-либо контроля является частным случаем модели В.4.3 при использовании технологии периодического контроля. Модель В.4.2 применима на практике лишь для оценки и сравнения случая полностью бесконтрольного функционирования анализируемой системы, например, там, где контроль невозможен или нецелесообразен по функциональным, экономическим или временным соображениям, или там, где ответственные лица пренебрегают функциями контроля или не реагируют должным образом на результаты системного анализа.
В.3.6 Для систем сложной структуры применимы модели и методы, изложенные в В.4.4.
В.3.7 Изложение моделей в В.4 дано в контексте нарушения надежности реализации процесса системного анализа без учета требований по защите информации. Для адаптации математических моделей к контексту нарушения требований по защите информации в В.4.3 приведен инженерный способ 1, его применение продемонстрировано в В.5, В.6 и приложении Г.