БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ Р 59347-2021. Национальный стандарт Российской Федерации. Системная инженерия. Защита информации в процессе определения архитектуры системы

В.3 Математические модели для прогнозирования риска нарушения требований по защите информации

 

В.3.1 Общие положения

Прогнозирование рисков нарушения требований по защите информации осуществляют на основе применения математических моделей для прогнозирования риска нарушения требований по защите информации ГОСТ Р 59341-2021 (В.2 приложения В). Все положения по моделированию, изложенные в ГОСТ Р 59341 для процесса управления информацией, в полной мере применимы для прогнозирования риска нарушения требований по защите информации в процессе определения архитектуры системы (в части, свойственной этому процессу).

В моделях простой структуры под анализируемой системой понимается определенный выходной результат или действие, а также совокупность задействованных активов, к которым предъявляют требования и применяют меры защиты информации. Такую систему рассматривают как "черный ящик", если для него сделано предположение об использовании одной и той же модели угроз безопасности информации, и одной и той же технологии системного контроля выполнения требований по защите информации и восстановления системы после состоявшихся нарушений или выявленных предпосылок к нарушениям. В моделях сложной структуры под анализируемой системой понимается определенная упорядоченная совокупность составных элементов, каждый из которых логически представляет собой выходной результат и совокупность задействованных активов (выходной результат становится активом в итоге выполняемых действий), к которым предъявляют требования и применяют меры защиты информации. В общем случае для системы сложной структуры для различных элементов могут быть применены различные модели угроз безопасности информации или различные технологии системного контроля выполнения требований по защите информации и восстановления системы. Отдельный элемент рассматривается как "черный ящик".

Под целостностью моделируемой системы понимается такое ее состояние, которое в течение задаваемого периода прогноза отвечает целевому назначению модели системы. При моделировании, направленном на прогнозирование риска нарушения требований по защите информации, целевое назначение моделируемой системы проявляется в выполнении требований по защите информации. В этом случае для каждого из элементов и моделируемой системы в целом пространство элементарных состояний на временной оси образуют два основных состояния:

- "Выполнение требований по защите информации в системе обеспечено", если в течение всего периода прогноза обеспечено выполнение требований по защите информации;

- "Выполнение требований по защите информации в системе нарушено" - в противном случае.

В результате математического моделирования рассчитывают вероятность приемлемого выполнения требований по защите информации (т.е. пребывания в состоянии "Выполнение требований по защите информации в системе обеспечено") в течение всего периода прогноза и ее дополнение до единицы, представляющее собой вероятность нарушения требований по защите информации (т.е. пребывания в состоянии "Выполнение требований по защите информации в системе нарушено"). В свою очередь вероятность нарушения требований по защите информации в течение всего периода прогноза в сопоставлении с возможным ущербом определяет нарушения требований по защите информации.

Аналогично В.2 применяют математическую модель "черного ящика" при отсутствии какого-либо контроля или математическую модель "черного ящика" при реализации технологии периодического системного контроля, каждая из которых адаптирована к контексту защиты информации - см. ГОСТ Р 59341-2021 (В.2 приложения В).

С формальной точки зрения при сопоставлении с возможным ущербом модель позволяет оценить вероятностное значение риска нарушения требований по защите информации в моделируемой системе в течение заданного периода прогноза. С точки зрения системной инженерии этот результат интерпретируют следующим образом: результатом применения модели является расчетная вероятность нарушения требований по защите информации в процессе определения архитектуры системы в течение заданного периода прогноза при реализации технологии периодического системного контроля (диагностики). При этом учитываются предпринимаемые меры периодической диагностики и восстановления возможностей по обеспечению выполнения требований по защите информации.

 

В.3.2 Исходные данные и расчетные показатели

Для расчета вероятностных показателей применительно к моделируемой системе, где анализируемые сущности (выходные результаты, действия) могут быть представлены в виде системы или системного элемента - "черного ящика", используют исходные данные, формально определяемые в общем случае следующим образом:

ГОСТ Р 59347-2021. Национальный стандарт Российской Федерации. Системная инженерия. Защита информации в процессе определения архитектуры системы - частота возникновения источников угроз нарушения требований по защите информации в процессе определения архитектуры системы;

ГОСТ Р 59347-2021. Национальный стандарт Российской Федерации. Системная инженерия. Защита информации в процессе определения архитектуры системы - среднее время развития угроз с момента возникновения источников угроз до нарушения нормальных условий (например, до нарушения установленных требований по защите информации в системе или до инцидента);

Tмеж - среднее время между окончанием предыдущей и началом очередной диагностики возможностей по обеспечению выполнения требований по защите информации в системе;

Tдиаг - среднее время системной диагностики возможностей по обеспечению выполнения требований по защите информации (т.е. диагностики целостности моделируемой системы);

Tвосст - среднее время восстановления нарушенных возможностей по обеспечению выполнения требований по защите информации в моделируемой системе;

Tзад - задаваемая длительность периода прогноза.

Расчетные показатели:

ГОСТ Р 59347-2021. Национальный стандарт Российской Федерации. Системная инженерия. Защита информации в процессе определения архитектуры системы - вероятность отсутствия нарушения требований защите информации в моделируемой системе в течение периода Tзад;

ГОСТ Р 59347-2021. Национальный стандарт Российской Федерации. Системная инженерия. Защита информации в процессе определения архитектуры системы - вероятность нарушения требований по защите информации в моделируемой системе в течение периода прогноза Tзад.

Расчет показателей применительно к процессу определения архитектуры для моделируемой системы простой или сложной структуры осуществляют по формулам ГОСТ Р 59341-2021 (В.2 приложения В). Расчет вероятности нарушения требований по защите информации в системе для процесса определения архитектуры системы в течение периода прогноза ГОСТ Р 59347-2021. Национальный стандарт Российской Федерации. Системная инженерия. Защита информации в процессе определения архитектуры системы осуществляют как дополнение до единицы значения ГОСТ Р 59347-2021. Национальный стандарт Российской Федерации. Системная инженерия. Защита информации в процессе определения архитектуры системы.

Примечание - При необходимости могут быть использованы адаптированные модели, позволяющие оценивать защищенность от опасных программно-технических воздействий, от несанкционированного доступа и сохранение конфиденциальности информации в системе - см. ГОСТ Р 59341-2021 (В.3 приложения В).

TelegramПодписаться на обновления
Реклама. ООО ЛИТРЕС
Реклама. ООО ЛИТРЕС, ИНН 7719571260, erid: 2VfnxyNkZrY
TOC