Настоящая статья посвящена вопросам оценки доверия к системе управления рисками. Термин «доверие» в отношении информационных систем практически не применяется в настоящее время. Предложена процедура оценки доверия к системе управления рисками, состоящая из четырех этапов: 1) соответствие требованиям законодательства РФ; 2) соответствие национальным стандартам; 3) оценка оптимальности существующий системы управления рисками; 4) переоценка рисков. Приведено описание существующих методов оценки доверия к системе управления рисками. Сделан вывод о том, что сегодня нет существующих требований к системе оценки рисков даже в отдельных сегментах. В работе предлагается использовать предварительно согласованную заинтересованными сторонами выборку критериев для оценки рисков из системы стандартов, описывающих процесс определения рисков с точки зрения системной инженерии. Рассмотрены критерии и показатели, используемые в стандартах, определяющих системный анализ. За основу оценки рисков принята вероятностная оценка ряда показателей: риск нарушения надежности реализации процесса без учета требований по защите информации; риск нарушения требований по защите информации в процессе; интегральный риск нарушения реализации процесса с учетом требований по защите информации. Для расчета этих показателей рисков исследуемые сущности рассматриваются в виде моделируемой системы сложной структуры. Приведена математическая модель оценки рисков в соответствии с положениями стандартов по системной инженерии.
Огнев Игорь Александрович
1.??ГОСТ Р ИСО/МЭК ТО 19791–2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем. – М.: Стандартинформ, 2010. – 127 с.
2.??Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
3.??Приказ ФСТЭК России от 14.03.2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
4.??Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // Собрание законодательства Российской Федерации. – 2012. – № 45, ч. 4. – Ст. 6257.
5.??Постановление Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателе критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» // Собрание законодательства Российской Федерации. – 2018. – № 8, ч. 4. – Ст. 1204.
6.??ГОСТ Р ИСО/МЭК 27005–2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. – М.: Стандартинформ, 2011. – 52 с.
7.??ГОСТ Р 57193–2016. Системная и программная инженерия. Процессы жизненного цикла систем. – М.: Стандартинформ, 2016. – 99 с.
8.??ГОСТ Р 59329–2021. Системная инженерия. Защита информации
в процессах приобретения и поставки продукции и услуг для системы. –
М.: Стандартинформ, 2021. – 27 с.
9.??ГОСТ Р 59330–2021. Системная инженерия. Защита информации
в процессе управления моделью жизненного цикла системы. – М.: Стандарт-информ, 2021. – 29 с.
10.??ГОСТ Р 59331–2021. Системная инженерия. Защита информации
в процессе управления инфраструктурой системы. – М.: Стандартинформ, 2021.?– 45 с.
11.??ГОСТ Р 59332–2021. Системная инженерия. Защита информации
в процессе управления портфелем проектов. – М.: Стандартинформ, 2021. – 33 с.
12.??ГОСТ Р 59333–2021. Системная инженерия. Защита информации
в процессе управления человеческими ресурсами системы. – М.: Стандартинформ, 2021. – 41 с.
13.??ГОСТ Р 59334–2021. Системная инженерия. Защита информации
в процессе управления качеством системы. – М.: Стандартинформ, 2021. – 31 с.
14.??ГОСТ Р 59335–2021. Системная инженерия. Защита информации в процессе управления знаниями о системе. – М.: Стандартинформ, 2021. – 29 с.
15.??ГОСТ Р 59336–2021. Системная инженерия. Защита информации
в процессе планирования проекта. – М.: Стандартинформ, 2021. – 29 с.
16.??ГОСТ Р 59337–2021. Системная инженерия. Защита информации
в процессе оценки и контроля проекта. – М.: Стандартинформ, 2021. – 33 с.
17.??ГОСТ Р 59338–2021. Системная инженерия. Защита информации
в процессе управления решениями. – М.: Стандартинформ, 2021. – 46 с.
18.??ГОСТ Р 59339–2021. Системная инженерия. Защита информации
в процессе управления рисками для системы. – М.: Стандартинформ, 2021. – 47 с.
19.??ГОСТ Р 59340–2021. Системная инженерия. Защита информации
в процессе управления конфигурацией системы. – М.: Стандартинформ, 2021.?– 29 с.
20.??ГОСТ Р 59342–2021. Системная инженерия. Защита информации
в процессе измерений системы. – М.: Стандартинформ, 2021. – 31 с.
21.??ГОСТ Р 59344–2021. Системная инженерия. Защита информации
в процессе анализа бизнеса или назначения системы. – М.: Стандартинформ, 2021. – 31 с.
22.??ГОСТ Р 59345–2021. Системная инженерия. Защита информации
в процессе определения потребностей и требований заинтересованной стороны для системы. – М.: Стандартинформ, 2021. – 27 с.
23.??ГОСТ Р 59347–2021. Системная инженерия. Защита информации
в процессе определения архитектуры системы. – М.: Стандартинформ, 2021.
24.??ГОСТ Р 59348–2021. Системная инженерия. Защита информации
в процессе определения проекта. – М.: Стандартинформ, 2021. – 41 с.
25.??ГОСТ Р 59350–2021. Системная инженерия. Защита информации
в процессе реализации системы. – М.: Стандартинформ, 2021. – 28 с.
26.??ГОСТ Р 59351–2021. Системная инженерия. Защита информации
в процессе комплексирования системы. – М.: Стандартинформ, 2021. – 29 с.
27.??ГОСТ Р 59353–2021. Системная инженерия. Защита информации
в процессе передачи системы. – М.: Стандартинформ, 2021. – 45 с.
28.??ГОСТ Р 59354–2021. Системная инженерия. Защита информации
в процессе аттестации системы. – М.: Стандартинформ, 2021. – 33 с.
29.??ГОСТ Р 59355–2021. Системная инженерия. Защита информации
в процессе функционирования системы. – М.: Стандартинформ, 2021. – 29 с.
30.??ГОСТ Р 59356–2021. Системная инженерия. Защита информации
в процессе сопровождения системы. – М.: Стандартинформ, 2021. – 27 с.
31.??ГОСТ Р 59357–2021. Системная инженерия. Защита информации
в процессе изъятия и списания системы – М.: Стандартинформ, 2021. – 46 с.
Селифанов В.В., Аникеева В.В., Огнев И.А. Вопросы оценки доверия к системе управления рисками // Безопасность цифровых технологий. – 2023. – № 1 (108). –
С. 69–82. – DOI: 10.17212/2782-2230-2023-1-69-82.
Selifanov V.V., Anikeeva V.V., Ognev I.A. Voprosy otsenki doveriya k sisteme upravleniya riskami [Issues of assessing the credibility of the risk management system]. Bezopasnost' tsifrovykh tekhnologii = Digital Technology Security, 2023, no. 1 (108), pp. 69–82. DOI: 10.17212/2782-2230-2023-1-69-82.
