ГОСТ Р 59356-2021. Национальный стандарт Российской Федерации. Системная инженерия. Защита информации в процессе сопровождения системы
6 Специальные требования к количественным показателям
6.1 Общие положения
6.1.1 В приложении к защищаемым активам, действиям и выходным результатам процесса сопровождения системы, к которым предъявлены требования по защите информации, выполняют оценку эффективности защиты информации на основе прогнозирования рисков в условиях возможных угроз.
6.1.2 В общем случае основными выходными результатами процесса сопровождения системы являются:
- стратегия сопровождения системы, которая определяет методы управления, сроки, ресурсы и условия, необходимые для достижения целей сопровождения, включая:
- планы упреждающих действий, направленных на минимизацию риска
нарушения безопасности, качества, эффективности функционирования системы,
- стратегию материально-технического обеспечения и интегрированной
логистической поддержки процесса, предусматривающую доступность необходимых
ресурсов и материалов,
- меры противодействия поступлению контрафактных системных элементов,
- требования к кадрам,
- набор показателей, необходимых для проведения оценки безопасности,
качества и эффективности функционирования системы, а также результативности
процесса сопровождения системы;
- планы по обеспечению замены хранимых системных элементов, запасных частей (комплектов ЗИП), местоположению, условиям их хранения и расходным нормам замены, результаты реализации этих планов;
- планы по сопровождению системы, материально-техническому обеспечению и поддержке жизненного цикла системы, результаты реализации этих планов;
- ограничения в применении системы, вытекающие из потребностей ее сопровождения;
- доступ к обеспечивающим системам и системным элементам, услугам и материалам, необходимым для сопровождения системы;
- отчеты о проведении обучения операторов, пользователей и других заинтересованных сторон, задействованных для применения и поддержания эксплуатации системы после действий по ее сопровождению;
- отчеты о результатах сопровождения системы, включающие документацию по сопровождению, оценку степени достижения цели процесса сопровождения, результаты анализа возникающих инцидентов, сбоев и отказов, предложения по модификации, модернизации, совершенствованию или развитию системы (при их наличии), сведения о предполагаемых затратах, необходимых для дальнейшего сопровождения системы;
- карту прослеживаемости между действиями по сопровождению системы, системными элементами и артефактами системы.
6.1.3 Для получения выходных результатов процесса сопровождения системы в общем случае выполняют следующие основные действия:
- подготовительные мероприятия:
- определение стратегии сопровождения системы, включая виды
проводимых мероприятий ТО, например, ТО и ремонт по состоянию, ТО,
обеспечивающее надежность, ТО с периодическим и непрерывным контролем, ТО в
особых условиях эксплуатации (по ГОСТ Р ИСО/МЭК 14764, ГОСТ Р 51901.12,
ГОСТ Р 55234.3),
- подготовку планов сопровождения, материально-технического
обеспечения и поддержания жизненного цикла системы,
- определение ограничений системы, следующих из потребностей ее
сопровождения,
- получение или приобретение доступа к обеспечивающим системам и
системным элементам, необходимым по жизненному циклу системы, к запасным
частям, услугам и материалам, предполагаемым к использованию в процессе
сопровождения системы;
- выполнение необходимых действий по сопровождению системы, включая:
- регистрацию и анализ возникающих инцидентов, сбоев и отказов с
целью устранения негативных последствий, а также их анализ и планирование
необходимых упреждающих действий по их предотвращению,
- выполнение регламентных процедур по устранению сбоев и/или замене
системных элементов и восстановлению системы до уровня ее эксплуатационного
состояния или запасного (резервного) режима эксплуатации,
- выполнение процедур упреждающего сопровождения системы, обеспечивая
замену или обслуживание системных элементов согласно плановым срокам (т.е.
до наступления отказа),
- идентификацию отказов при выявлении несоответствий в
функционировании системы,
- отслеживание моментов, когда требуется модификация (адаптация)
или усовершенствование системы,
- приобретение, обучение и аттестацию персонала для обеспечения и
поддержания достаточного числа операторов системы (по мере необходимости);
- обеспечение интегрированной логистической поддержки процесса сопровождения системы, включая:
- анализ эффективности по затратам (результаты которого могут
повлиять на начальный проект системы или планирование запасных частей и
регламентное обслуживание в период эксплуатации, а также потребовать
управления цепочками поставок),
- необходимые действия для того, чтобы требуемые ресурсы были
доступны в нужном месте и в нужное время,
- комплектование, обработку, хранение и транспортировку системных
элементов и запасных частей, необходимых по жизненному циклу системы,
- постоянный контроль за тем, чтобы планируемые действия логистики
отвечали требованиям процесса сопровождения системы, были выполнимыми и
поддерживались ресурсами, в т.ч. обученным персоналом;
- управление результатами сопровождения системы, включая:
- регистрацию и анализ результатов сопровождения и логистики,
отклонений от штатного исполнения, сбоев, отказов, инцидентов и проблем,
возникающих во время эксплуатации, выработку мер реакции на отклонения,
- определение тенденций в возникновении сбоев, отказов, инцидентов,
проблем и отклонений в действиях логистики и сопровождения,
- поддержку прослеживаемости между действиями по сопровождению
системы, системными элементами и артефактами системы,
- обеспечение сохранности и своевременной модификации основных
информационных объектов процесса,
- контроль удовлетворенности заинтересованных сторон
функционированием и обеспечением сопровождения системы,
- подготовку отчетов о результатах сопровождения системы.
6.1.4 Текущие данные, накапливаемая и собираемая статистика, связанные с нарушениями требований по защите информации и нарушениями надежности реализации процесса сопровождения системы, являются основой для принятия решений по факту наступления событий и источником исходных данных для прогнозирования рисков на задаваемый период прогноза. Риски оценивают вероятностными показателями с учетом возможных ущербов (см. приложения В, Г).
6.2 Требования к составу показателей
Выбираемые показатели должны обеспечивать проведение оценки эффективности защиты информации и прогнозирования интегрального риска нарушения реализации процесса сопровождения системы с учетом требований по защите информации.
Эффективность защиты информации оценивают с использованием количественных показателей, которые позволяют сформировать представление о текущих и потенциальных проблемах или о возможных причинах недопустимого снижения эффективности на ранних этапах проявления явных и скрытых угроз безопасности информации, когда можно принять предупреждающие корректирующие действия. Дополнительно могут быть использованы вспомогательные статистические показатели, характеризующие события, которые уже произошли, и их влияние на эффективность защиты информации при реализации процесса. Вспомогательные показатели позволяют исследовать произошедшие события и их последствия и сравнивать эффективность применяемых и/или возможных мер в действующей системе защиты информации.
6.3 Требования к количественным показателям прогнозируемых рисков
6.3.1 Для прогнозирования рисков в процессе сопровождения системы используют следующие количественные показатели:
- риск нарушения надежности реализации процесса сопровождения системы без учета требований по защите информации;
- риск нарушения требований по защите информации в процессе сопровождения системы;
- интегральный риск нарушения реализации процесса сопровождения системы с учетом требований по защите информации.
6.3.2 Риск нарушения надежности реализации процесса сопровождения системы без учета требований по защите информации характеризуют соответствующей вероятностью нарушения надежности реализации рассматриваемого процесса в сопоставлении с возможным ущербом.
6.3.3 Риск нарушения требований по защите информации в процессе сопровождения системы характеризуют соответствующей вероятностью нарушения требований по защите информации в сопоставлении с возможным ущербом. При расчетах должны быть учтены защищаемые активы, действия реализуемого процесса и выходные результаты, к которым предъявляются требования по защите информации.
6.3.4 Интегральный риск нарушения реализации процесса сопровождения системы с учетом требований по защите информации характеризуют соответствующей вероятностью нарушения надежности реализации процесса без учета требований по защите информации и вероятностью нарушения требований по защите информации (см. В.2, В.3, В.4) в сопоставлении с возможным ущербом.
6.4 Требования к источникам данных
Источниками исходных данных для расчетов количественных показателей являются (в части, свойственной процессу сопровождения системы):
- 
данные функционирования системы защиты информации, в том числе срабатывания ее исполнительных механизмов;
- текущие и статистические данные о состоянии параметров системы защиты информации (привязанные ко временам изменения состояний);
- текущие и статистические данные о самой системе или системах-аналогах, в том числе данные о событиях, связанных с утечкой защищаемой информации, несанкционированными или непреднамеренными воздействиями на защищаемую информацию (привязанные к временам наступления событий, характеризующих нарушения и предпосылки к нарушениям требований по защите информации);
- текущие и статистические данные результаты технического диагностирования системы защиты информации;
- наличие и готовность персонала системы защиты информации, данные об ошибках персонала (привязанные к временам наступления событий, последовавших из-за этих ошибок и характеризующих нарушения и предпосылки к нарушениям требований по защите информации) в самой системе или в системах-аналогах;
- данные модели угроз безопасности информации и метаданные, позволяющие сформировать перечень потенциальных угроз и возможные сценарии возникновения и развития угроз для каждого из защищаемых активов.
Типовые исходные данные для моделирования приведены в приложении В.
Подписаться на обновления