Приложение Г (справочное). Типовые допустимые значения показателей рисков для процесса планирования проекта. Национальный стандарт РФ ГОСТ Р 59336-2021 "Системная инженерия. Защита информации в процессе планирования проекта" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 28.04.2021 N 311-ст)

Приложение Г
(справочное)

Типовые допустимые значения показателей рисков для процесса планирования проекта

С точки зрения остаточного риска, характеризующего приемлемый уровень целостности рассматриваемого проекта, предъявляемые требования системной инженерии подразделяют на требования при допустимых рисках, обосновываемых по прецедентному принципу согласно ГОСТ Р 59349, и требования при рисках, свойственных реальному или гипотетичному проекту-эталону. При формировании требований системной инженерии необходимо обоснование достижимости целей проекта и рассматриваемого процесса планирования проекта, а также целесообразности использования количественных показателей рисков в дополнение к качественным показателям, определяемым по ГОСТ Р ИСО/МЭК 27005. При этом учитывают важность и критичность проекта, ограничения на условия его реализации, указывают другие условия в зависимости от специфики проекта и организаций, его выполняющих.

Требования системной инженерии при принимаемых рисках, свойственных проекту-эталону, являются наиболее жесткими, они не учитывают специфики рассматриваемых проектов, а ориентируются лишь на мировые технические и технологические достижения для удовлетворения требований заинтересованных сторон и рационального решения задач системного анализа. Полной проверке на соответствие этим требованиям подлежат проект и связанные с ним системы, составляющие их подсистемы и реализуемые процессы жизненного цикла. Выполнение этих требований является гарантией обеспечения высокого качества и безопасности рассматриваемого проекта. Вместе с тем проведение работ системной инженерии с ориентацией на риски, свойственных проекту-эталону, характеризуется существенно большими затратами по сравнению с требованиями, ориентируемыми на допустимые риски, обосновываемые по прецедентному принципу. Это заведомо удорожает проекты, увеличивает время до их завершения и принятия в эксплуатацию связанных с этими проектами систем.

Требования системной инженерии при допустимых рисках, свойственных конкретному проекту или его аналогу и обосновываемых по прецедентному принципу, являются менее жесткими, а их реализация - менее дорогостоящей по сравнению с требованиями для рисков, свойственных проекту-эталону. Использование данного варианта требований обусловлено тем, что на практике может оказаться нецелесообразной (из-за использования ранее зарекомендовавших себя технологий, по экономическим или иным соображениям) или невозможной ориентация на допустимые риски, свойственные проекту-эталону. Вследствие этого минимальной гарантией обеспечения надежности реализации процесса планирования проекта является выполнение требований системной инженерии при допустимом риске заказчика, обосновываемом по прецедентному принципу.

Типовые допустимые значения количественных показателей рисков для процесса планирования проекта отражены в таблице Г.1. При этом период прогноза для расчетных показателей подбирают таким образом, чтобы вероятностные значения рисков не превышали допустимые. В этом случае для задаваемых при моделировании условий имеет место гарантия качественной и безопасной реализации рассматриваемого процесса в течение задаваемого периода прогноза.

Таблица Г.1 - Пример задания допустимых значений рисков

Показатель	Допустимое значение риска (в вероятностном выражении)
	при ориентации на обоснование по прецедентному принципу	при ориентации на обоснование для проекта-эталона
Риск нарушения требований по защите информации в процессе планирования проекта	Не выше 0,05	Не выше 0,01
Интегральный риск нарушения реализации процесса планирования проекта с учетом требований по защите информации	Не выше 0,10	Не выше 0,05