ГОСТ Р 59991—2022
Продолжение таблицы Г.1
Системный процесс
Вероятностные показатели
рисков
Возможные способы снижения рисков в результате
применения методов и моделей по таблице В.1
Рискнарушениядополни
тельных специфических си
стемных требований
Снижение частоты возникновения источников угроз на
рушения дополнительных специфических системных
требований в процессе определения потребностей и
требований заинтересованной стороны для системы
(если это возможно при управлении рисками);
увеличение времени развития угроз до нарушения (если
это возможно при управлении рисками);
оптимизация периода времени между системными диа
гностиками;
снижение длительности системной диагностики;
снижение времени восстановления системы после на
рушения;
выбор периода прогноза, когда возможны эффективные
предупреждающие управленческие воздействия в про
цессе определения потребностей и требований заинте
ресованной стороны для системы
Риск нарушения реализации
процесса с учетом дополни
тельных специфических си
стемных требований
Сбалансированные действия по обеспечению надежности
реализации процесса определения потребностей и требо
ваний заинтересованной стороны для системы с учетом до
полнительных специфических системных требований, на
правленные на удержание рисков в допустимых пределах
Процесс определе
ния системных тре
бований
(на примере требо
ваний по защите ин
формации)
Частные показатели риска
реализации угроз безопас
ности информации, направ
ленных на нарушение функ
ционированиясистемы,в
условиях отсутствия мер за
щиты, предлагаемых к при
менению в ходе формирова
ния системных требований,
и в условиях их применения
(показатели остаточного ри
ска нарушения функциониро
вания системы)
Защита системы от вредоносного программного обеспече
ния; межсетевое экранирование; использование системы
обнаружения вторжений и пресечения попыток проникнове
ния воперационную среду; применение мер разграничения
доступа на территорию, к оборудованию и к информации
в системе, в том числе мер идентификации и аутентифи
кации пользователей и процессов; применение средств и
комплексов доверенной загрузки; применение мер контро
ля и анализа защищенности программных и программно
аппаратных модулей системы от угроз изменения настроек
и нарушения функционирования; мониторинг, регистрация
и учет действий пользователей и реализации процессов в
системе; пресечение и блокирование неправомерных дей
ствий пользователей, втом числе направленных на несанк
ционированную инсталляцию программного обеспечения;
применение мер резервирования и восстановления про
граммного и аппаратного обеспечения системы
Частные показатели риска
реализации угроз утечки кон
фиденциальной информации
в условиях отсутствия мер
защиты, предлагаемых к при
менению в ходе формирова
ния системных требований,
и в условиях их применения
(показатели остаточного ри
ска нарушения требований
по защите конфиденциаль
ной информации в системе
или о системе)
Защита системы от вредоносного программного обе
спечения; межсетевое экранирование; использование
системы обнаружения вторжений и пресечения попыток
проникновения в операционную среду; применение мер
разграничения доступа на территорию, к оборудованию и к
информации в системе, втом числе мер идентификации и
аутентификации пользователей и процессов; примене ние
средств и комплексов доверенной загрузки; приме нение
мер контроля и анализа защищенности программ ных и
программно-аппаратных модулей системы от угроз
возможной утечки информации; мониторинг, регистрация и
учет действий пользователей и реализации процессов в
системе; пресечение и блокирование неправомерных
действий пользователей, направленных на копирование
информации и/или несанкционированную ее передачу во
внешние сети; учет, регистрация и применение техниче
ских мер защиты отчуждаемых носителей информации;
применение криптографической защиты трафика внутри
системы и при взаимодействии ее с другими системами
37