ГОСТ Р 59347-2021. Национальный стандарт Российской Федерации. Системная инженерия. Защита информации в процессе определения архитектуры системы

Приложение Г

(справочное)

 

МЕТОДИЧЕСКИЕ УКАЗАНИЯ

ПО ПРОГНОЗИРОВАНИЮ РИСКОВ ДЛЯ ПРОЦЕССА

ОПРЕДЕЛЕНИЯ АРХИТЕКТУРЫ СИСТЕМЫ

 

Г.1 Общие положения

 

Г.1.1 Настоящие методические указания определяют типовые действия при расчетах основных количественных показателей рисков в процессе определения архитектуры системы:

- риска нарушения надежности реализации процесса определения архитектуры системы без учета требований по защите информации;

- риска нарушения требований по защите информации в процессе определения архитектуры системы;

- интегрального риска нарушения реализации процесса определения архитектуры системы с учетом требований по защите информации.

При этом риски характеризуют прогнозными вероятностными значениями в сопоставлении с возможным ущербом.

Примечание - Для разработки самостоятельной методики по оценке ущербов согласно приложению Е учитывают специфику систем (см., например, ГОСТ Р 22.10.01, ГОСТ Р 54145).

 

Г.1.2 Прогнозирование рисков осуществляют с использованием формализованного представления реальной системы в виде моделируемой системы.

Г.1.3 Применительно к моделируемой системе для прогнозирования рисков определению подлежат:

- состав выходных результатов и выполняемых действий процесса определения архитектуры системы и используемых при этом активов;

- перечень потенциальных угроз и возможные сценарии возникновения и развития угроз для выходных результатов и выполняемых действий процесса определения архитектуры системы;

- иные объекты, используемые в прогнозировании рисков, при необходимости оценки того, насколько реализация моделей и представлений архитектуры способна обеспечить возможности по выполнению процесса в заданной среде применения системы.

Г.1.4 В качестве мер противодействия угрозам, способных при их применении снизить расчетные риски, могут выступать более частая (по сравнению со временем развития угроз) системная диагностика или контроль с восстановлением нормального функционирования моделируемой системы.

Г.1.5 Обоснованное определение сбалансированных системных мер, предупреждающих возникновение ущербов при ограничениях на ресурсы и допустимые риски, а также оценка и обоснование эффективных кратко-, средне- и долгосрочных планов по обеспечению безопасности осуществляют путем решения самостоятельных оптимизационных задач, использующих расчетные значения прогнозируемых рисков (см. рекомендуемый перечень методик в приложении Е).

Примечание - Рекомендации по задачам системного анализа приведены в ГОСТ Р 59349.

 

Г.1.6 По мере решения на практике задач анализа и оптимизации для различных объектов и логических структур моделируемой системы создают базы знаний, содержащие варианты решения типовых задач сбалансированного управления рисками.

Примечание - Примерами практического применения общих методических положений к системам дистанционного контроля в опасном производстве могут служить положения ГОСТ Р 58494-2019 (приложения А - Е).