ГОСТ Р 59347-2021. Национальный стандарт Российской Федерации. Системная инженерия. Защита информации в процессе определения архитектуры системы
Г.7 Примеры
Г.7.1 Приведенные примеры демонстрируют отдельные аналитические возможности методических указаний. Пусть некоторое предприятие опасного производства формирует комплекс архитектурных решений согласно рекомендациям ГОСТ Р ИСО 15704 по общей стандартной архитектуре предприятия. Отдельно определяют:
- архитектурно-организационные решения, ориентированные на человека;
- архитектурные решения, ориентированные на процессы;
- архитектурные решения, ориентированные на применяемые технологии.
В рамках примеров, не вдаваясь в детали рассматриваемых архитектур, осуществляется системный анализ структуры комплекса архитектурных решений, представленной на рисунке Г.1.
Рисунок Г.1 - Структура моделируемой системы
в виде комплекса архитектурных решений
Именно эта структура является в примерах моделируемой системой. Элементами моделируемой системы являются:
- в рамках архитектурно-организационных решений, ориентированных на человека:
1-й элемент - архитектура для группы лиц, связанных с принятием аналитических решений (для руководителей, проектировщиков, конструкторов, инженеров, аналитиков, интеграторов),
2-й элемент - архитектура для рабочего состава предприятия (для мастеров, техников, механиков, операторов, водителей, обслуживающего персонала, бухгалтерии);
- в рамках архитектурных решений, ориентированных на процессы:
3-й элемент - архитектура процесса функционирования технического оборудования системы,
4-й элемент - архитектура процесса сопровождения технического оборудования системы;
- в рамках архитектурных решений, ориентированных на применяемые технологии:
5-й элемент - архитектура технологий обеспечения безопасности производства,
6-й элемент - архитектура технологий сопровождения применяемых технологий обеспечения безопасности производства.
По определению надежность реализации процесса определения архитектуры моделируемой системы считается обеспеченной в течение заданного периода прогноза, если в течение этого периода надежно выполнены действия процесса "И" по архитектурно-организационным решениям, ориентированным на человека (по 1-му и 2-му элементам), "И" по архитектурным решениям, ориентированным на процессы (по 3-му и 4-му элементам), "И" по архитектурным решениям, ориентированным на применяемые технологии (по 5-му и 6-му элементам), причем эти архитектурные решения будут приемлемыми в течение такого же периода и в будущем (при эксплуатации моделируемой системы). То есть сам период прогноза для отдельного элемента может быть интерпретирован как относящийся и к стадии создания (по угрозам, свойственным этой стадии), и к стадии эксплуатации в будущем (по потенциально возможным угрозам), моделируя приемлемость архитектурных решений и подтверждение гарантий удержания рисков в допустимых пределах.
С учетом возможных ущербов цели прогнозирования рисков сформулированы руководством предприятия следующим образом.
Цели - в условиях существующей неопределенности:
- количественно оценить риски нарушения надежности реализации процесса определения архитектуры предприятия без учета требований по защите информации (как поэлементно, так и для комплекса архитектурных решений);
- количественно оценить риски нарушения требований по защите информации (как поэлементно, так и для комплекса архитектурных решений);
- количественно оценить риски нарушения надежности реализации процесса определения архитектуры предприятия с учетом требований по защите информации (целиком для всего комплекса архитектурных решений);
- определить такой период, при котором сохраняются гарантии удержания рисков в допустимых пределах;
- определить критичные условия в развитии различных угроз.
Тем самым выполнены шаги 1, 2 настоящих методических указаний.
Пример 1 посвящен прогнозированию риска нарушения надежности реализации процесса определения архитектуры системы без учета требований по защите информации, пример 2 посвящен прогнозированию риска нарушения требований по защите информации, пример 3 иллюстрирует прогнозирование интегрального риска нарушения реализации процесса определения архитектуры системы с учетом требований по защите информации.
Г.7.2 Пример 1. Прогнозирование риска нарушения надежности реализации процесса определения архитектуры системы без учета требований по защите информации проиллюстрировано для моделирования комплекса архитектурных решений, представленных на рисунке Г.1. Выполняя шаг 3, выявлены возможные угрозы, критично влияющие на безопасность каждого из структурных элементов моделируемой системы. При этом учтены угрозы, связанные не только с причинами человеческих ошибок на уровнях принятия решений при определении архитектуры, но и гипотетичные угрозы, связанные с последствиями этих ошибок на этапе функционирования предприятия. Сформированные исходные данные по каждому из 6 составных элементов представлены в таблице Г.1.
Таблица Г.1
Исходные данные для прогнозирования риска нарушения
надежности реализации процесса определения архитектуры
системы без учета требований по защите информации
Исходные данные | Значения и комментарии | ||
для 1-го/2-го элементов | для 3-го/4-го элементов | для 5-го/6-го элементов | |
| 1 раз в год/1 раз в год (из-за недостаточной квалификации, компетенции или знаний для решения задач или из-за проблем со здоровьем персонала) - это угрозы, связанные с причинами человеческих ошибок на уровнях принятия решений/рабочей реализации решений в системе | 1 раз в год (что соизмеримо со временем наработки на отказ оборудования)/1 раз в 5 лет (что объясняется редкими сбоями в процессе сопровождения оборудования системы) - это угрозы ущерба в процессах функционирования/сопровождения системы (кроме угроз нарушения технологической безопасности) | 1 раз в 2 года (что соизмеримо со временем наработки на технологический отказ)/1 раз в 5 лет (что объясняется редкими сбоями в процессе сопровождения технологической безопасности системы) - это угрозы возникновения ущерба при нарушении технологической безопасности системы |
| 2 нед (что соизмеримо со временем математического моделирования или макетных экспериментов, обосновывающих архитектурные решения)/5 лет (что соизмеримо со временем между критичными ошибками в рабочей реализации решений) - это означает, что развитие угроз может привести к последующим ущербам из-за человеческих ошибок на уровнях принятия решений/рабочей реализации решений в системе | 12 мес (что соизмеримо со временем постепенного отказа оборудования системы с учетом технического обслуживания)/6 мес (что объясняется сохранением минимальных возможностей системы функционировать в устаревшей среде без обновлений, осуществляемых при сопровождении) - это время до ущерба после возникновения признаков угроз для процессов функционирования/сопровождения системы (кроме угроз нарушения технологической безопасности) | 1 мес (что соизмеримо со временем постепенного технологического отказа системы с учетом технического обслуживания)/6 мес (что объясняется сохранением минимальных возможностей системы функционировать в устаревшей среде без обновлений, осуществляемых при сопровождении) - это время до ущерба после возникновения признаков угроз нарушения технологической безопасности системы |
Tмеж - среднее время между окончанием предыдущей и началом очередной диагностики возможностей элемента | 8 ч/8 ч - определяется регламентом контроля готовности персонала к работе - 1 раз за смену (при 8-часовом рабочем дне) | 1 ч/1 мес - определяется регламентом контроля процесса функционирования/контроля процесса сопровождения системы (кроме контроля технологической безопасности) | 1 ч/1 мес - определяется регламентом контроля технологической безопасности производства/контроля процесса сопровождения технологической безопасности системы |
Tдиаг - среднее время диагностики состояния элемента | 10 мин/10 мин - определяется временем медицинского обследования перед работой | 30 с/30 с - автоматический контроль целостности оборудования/контроль процесса сопровождения оборудования системы | 30 с/30 с - автоматический контроль технологической безопасности/контроль процесса сопровождения технологической безопасности системы |
Tвосст - среднее время восстановления элемента после выявления нарушений | 1 ч/1 ч - это время замены человека, отстраненного от выполнения обязанностей, и возложения необходимых функциональных обязанностей на заменяющего человека | 30 мин (включая перезагрузку программного обеспечения оборудования)/1 нед (включая поиск новых подрядчиков для сопровождения системы) | 1 сут (включая восстановление технологического производства)/1 нед (включая поиск новых подрядчиков для сопровождения системы) |
Tзад - задаваемый период прогноза | От полугода до 2 лет (для определения периода времени, при котором сохраняются гарантии удержания риска в допустимых пределах) | ||
- частота возникновения источников угроз нарушения надежности реализации процесса для элемента
- среднее время развития угроз для элемента с момента возникновения источников угроз до нарушения с возможным ущербом
При выполнении шага 4 прогнозирование риска нарушения надежности реализации процесса определения архитектуры системы без учета требований по защите информации осуществлено с использованием расчетных соотношений (В.1) - (В.9) согласно рекомендациям В.2.2 и В.2.3.
Анализ результатов моделирования показал, что в вероятностном выражении риск нарушения надежности реализации процесса определения архитектуры моделируемой системы без учета требований по защите информации в течение года (т.е. для периода прогноза, равного 12 мес) составит за весь комплекс архитектурных решений около 0,040 (см. рисунок Г.2), составляя для 1-го элемента - 0,012, для 4-го и 6-го элементов - 0,014, для 2-го, 3-го и 5-го элементов - не превышает 0,0001. При увеличении периода прогноза от полугода до 2 лет риск возрастает от 0,018 до 0,083 (см. рисунок Г.3). Для допустимого риска на уровне 0,05 обоснован период до 15 мес, при котором сохраняются гарантии удержания риска в допустимых пределах в выбранных архитектурных решениях, характеризуемых условиями примера из таблицы Г.1.
Рисунок Г.2 - Оценки риска нарушения надежности реализации
процесса определения архитектуры без учета требований
по защите информации в течение года
Рисунок Г.3 - Зависимость риска от периода
прогноза длительностью от 6 до 24 мес
При этом "узким" местом, характеристики которого необходимо анализировать на предмет снижения риска, является лишь 1-й элемент - это архитектура для группы лиц, связанных с принятием аналитических решений (для руководителей, проектировщиков, конструкторов, инженеров, аналитиков, интеграторов). Выявление этого "узкого" места становится причиной проведения дополнительного системного анализа на предмет снижения риска. Самым простым вариантом является объединение усилий в решении одной и той же задачи со стороны нескольких лиц, связанных с принятием аналитических решений. Эти усилия подразумевают взаимный контроль и согласование деятельности, а с точки зрения моделирования в структуре вместо 1-го элемента появляется 1-я подсистема, представляемая в виде двух параллельно объединяемых элементов. Все исходные данные для каждого из параллельно объединенных элементов 1-й подсистемы такие же, как и для 1-го элемента из таблицы Г.1. В итоге дополнительного моделирования установлено: за счет предпринятых мер обосновано снижение на 42% риска нарушения надежности реализации процесса определения архитектуры без учета требований по защите информации и увеличение на 27% периода, для которого сохраняются гарантии удержания риска в допустимых пределах (с 25 до 19 мес - см. рисунок Г.4).
Рисунок Г.4 - Риск нарушения надежности реализации процесса
определения архитектуры без учета требований по защите
информации снижается, а период, для которого сохраняются
гарантии удержания риска в допустимых пределах,
увеличивается
На практике именно эти меры (объединение усилий нескольких лиц в параллельном решении одной задачи с взаимным контролем и согласованием подготавливаемых решений) приводят к надежной реализации рассматриваемого процесса. В примере представлена лишь количественная оценка подобных мер в терминах прогнозируемых рисков (по каждому элементу).
Г.7.3 Пример 2. В продолжение примера 1 прогнозирование риска нарушения требований по защите информации проиллюстрировано для комплекса архитектурных решений согласно рекомендациям ГОСТ Р ИСО 15704 по общей стандартной архитектуре предприятия. Осуществлена привязка требований (например, по ГОСТ Р ИСО/МЭК 27001) к структуре комплекса архитектурных решений, аналогичной структуре, рассмотренной в примере Г.7.2 (см. рисунок Г.5). При этом учтены угрозы, связанные не только с причинами неадекватного учета требований по защите информации на уровнях принятия решений при определении архитектуры, но и гипотетичные угрозы, связанные с последствиями этого неадекватного учета на этапе функционирования предприятия. Исходные данные по каждому из 6 составных элементов представлены в таблице Г.2. Прогнозирование риска нарушения требований по защите информации осуществлено с использованием рекомендаций В.3.
Рисунок Г.5 - Структура моделируемой системы
в виде комплекса архитектурных решений
в части учета требований по защите информации
Таблица Г.2
Исходные данные для прогнозирования риска
нарушения требований по защите информации
в процессе определения архитектуры системы
Исходные данные | Значения и комментарии | ||
для 1-го/2-го элементов | для 3-го/4-го элементов | для 5-го/6-го элементов | |
| 1 раз в год/1 раз в год (угрозы, связанные с субъективными факторами) | 1 раз в год (что соизмеримо со временем наработки на отказ оборудования)/1 раз в 5 лет (что объясняется маскировкой под редкие сбои в процессе сопровождения оборудования системы) - это угрозы ущерба в процессах функционирования/сопровождения системы (кроме угроз нарушения технологической безопасности) | 1 раз в 2 года (что соизмеримо со временем наработки на технологический отказ)/1 раз в 5 лет (что объясняется маскировкой под нарушения технологической безопасности в процессе сопровождения системы) - это угрозы возникновения ущерба при нарушении технологической безопасности системы |
| 2 нед (что соизмеримо со временем использования уязвимостей в архитектурных решениях в части защиты информации/5 лет (что соизмеримо со временем между критичными ошибками со стороны рабочего состава, связанными с нарушением требований по защите информации) - это возможное время до ущерба от нарушения требований по защите информации в архитектурных решениях | 1 сут/1 сут (предполагается, что из-за маскировки источники угроз активизируются не сразу, а с некоторой задержкой не менее 1 сут) - это время до ущерба после возникновения признаков угроз для процессов функционирования/сопровождения системы (кроме угроз нарушения технологической безопасности) | 1 сут/1 сут (предполагается, что из-за маскировки источники угроз активизируются не сразу, а с некоторой задержкой не менее 1 сут) - это время до ущерба после возникновения признаков угроз нарушения технологической безопасности производства/и сопровождения технологической безопасности системы |
Tмеж - среднее время между окончанием предыдущей и началом очередной диагностики возможностей системы по выполнению требований по защите информации | 1 сут/1 сут - определяется регламентом контроля целостности программного обеспечения и активов, относящихся к персоналу предприятия и используемых в процессе функционирования/сопровождения системы | 1 ч/1 ч - определяется регламентом контроля целостности программного обеспечения и активов, используемых в процессе функционирования/и сопровождения системы | 1 ч/1 ч - определяется регламентом контроля целостности программного обеспечения и активов, используемых для технологической безопасности производства/и сопровождения технологической безопасности системы |
Tдиаг - среднее время диагностики состояния активов и самой системы защиты информации | 30 с/30 с - автоматический контроль целостности программного обеспечения и активов, относящихся к персоналу предприятия | 30 с/30 с - автоматический контроль целостности программного обеспечения и активов, используемых в процессе функционирования/и сопровождения системы | 30 с/30 с - автоматический контроль целостности программного обеспечения и активов, используемых для технологической безопасности производства/и сопровождения технологической безопасности системы |
Tвосст - среднее время восстановления требуемой нормы эффективности защиты информации после выявления нарушений | 5 мин/5 мин (включая перезагрузку программного обеспечения и восстановление персональных данных) | 5 мин/5 мин (включая перезагрузку программного обеспечения и восстановление данных) | 5 мин/5 мин (включая перезагрузку программного обеспечения и восстановление данных) |
Tзад - задаваемая длительность периода прогноза | От 6 мес до 2 лет (для определения периода, при котором сохраняются гарантии удержания риска в допустимых пределах для обеспечения нормы эффективности защиты информации) | ||
Анализ результатов моделирования показал, что в вероятностном выражении риск нарушения требований по защите информации в течение года составит за весь комплекс архитектурных решений около 0,071 (см. рисунок Г.6), составляя для 1-го элемента - 0,034 ("узкое" место), для 3-го элемента - 0,021, для 2-го, 4-го, 5-го и 6-го элементов - не превышает 0,010. При увеличении периода прогноза от полугода до 2 лет риск возрастает от 0,040 до 0,140 (см. рисунок Г.7). Для допустимого риска на уровне 0,05 обоснован период до 8 мес, при котором сохраняются гарантии удержания риска в допустимых пределах в выбранных архитектурных решениях, характеризуемых условиями примера из таблицы Г.2.
Рисунок Г.6 - Оценки риска нарушения требований
по защите информации в течение года
Рисунок Г.7 - Зависимость риска от периода
прогноза длительностью от 6 до 24 мес
"Узкое" место представляют собой допущенные уязвимости в архитектурных решениях в части защиты информации относительно лиц, принимающих аналитические решения (1-й элемент). При этом причиной "узкого" места является принятая модель нарушителя, способного в течение 2 нед использовать эти гипотетичные уязвимости.
Г.7.4 Пример 3. В продолжение примеров 1 и 2 интегральный риск Rинтегр(Tзад) нарушения надежности реализации процесса определения архитектуры системы с учетом требований по защите информации рассчитан с использованием рекомендаций В.4.
Учитывая, что период прогноза Tзад = 1 год, по результатам примера 1 Rнадежн(Tзад)= 0,028, а по результатам примера 2 Rнаруш(Tзад) = 0,071, по формуле (В.10)
Rинтегр(Tзад) = 1 - (1 - 0,028)·(1 - 0,071) ~= 0,097.
В итоге интегральный риск нарушения реализации процесса определения архитектуры системы в течение 1 года с учетом требований по защите информации составит около 0,097. При этом риск нарушения требований по защите информации (0,071) в 2,5 раза превышает риск нарушения надежности реализации процесса определения архитектуры системы без учета требований по защите информации. Сравнивая с рекомендациями приложения Д, можно констатировать превышение расчетных рисков по сравнению с допустимым уровнем риска, т.е. обоснована потребность улучшения архитектурных решений (в первую очередь для уменьшения риска нарушения требований по защите информации). Новые архитектурные решения также подлежат системному анализу с использованием прогнозирования рисков.
Тем самым продемонстрированы отдельные аналитические возможности методов и моделей стандарта (см. приложение В), применение которых упорядочено в настоящих методических указаниях.
Примечание - Другие примеры прогнозирования рисков и способы решения различных задач системного анализа приведены в ГОСТ Р ИСО 11231, ГОСТ Р 58494, ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59341, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59356.
Подписаться на обновления