Приложение Г (справочное). Типовые допустимые значения показателей рисков для процесса управления портфелем проектов. Национальный стандарт РФ ГОСТ Р 59332-2021 "Системная инженерия. Защита информации в процессе управления портфелем проектов" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 28.04.2021 N 308-ст)

Приложение Г
(справочное)

Типовые допустимые значения показателей рисков для процесса управления портфелем проектов

С точки зрения остаточного риска, характеризующего приемлемый уровень целостности рассматриваемого портфеля проектов, предъявляемые требования системной инженерии подразделяют на требования при допустимых рисках, обосновываемых по прецедентному принципу согласно ГОСТ Р 59349, и требования при рисках, свойственных реальному или гипотетичному портфелю-эталону. При формировании требований системной инженерии необходимо обоснование достижимости целей проектов, входящих в портфель, и рассматриваемого процесса управления портфелем проектов, а также целесообразности использования количественных показателей рисков в дополнение к качественным показателям, определяемым по ГОСТ Р ИСО/МЭК 27005. При этом учитывают важность и критичность проектов, ограничения на условия их реализации, указывают другие условия в зависимости от специфики проектов и организаций, их выполняющих.

Требования системной инженерии при принимаемых рисках, свойственных портфелю-эталону, являются наиболее жесткими, они не учитывают специфики рассматриваемых проектов, а ориентируются лишь на мировые технические и технологические достижения для удовлетворения требований заинтересованных сторон и рационального решения задач системного анализа. Полной проверке на соответствие этим требованиям подлежат каждый проект, входящий в портфель, и связанные с ним системы, составляющие их подсистемы и реализуемые процессы жизненного цикла. Выполнение этих требований является гарантией обеспечения высокого качества и безопасности рассматриваемого портфеля проектов. Вместе с тем проведение работ системной инженерии с ориентацией на риски, свойственные портфелю-эталону, характеризуются существенно большими затратами по сравнению с требованиями, ориентируемыми на допустимые риски, обосновываемые по прецедентному принципу. Это заведомо удорожает проекты, увеличивает время до их завершения и принятия в эксплуатацию связанных с этими проектами систем.

Требования системной инженерии при допустимых рисках, свойственных конкретному портфелю проектов или его аналогу и обосновываемых по прецедентному принципу, являются менее жесткими, а их реализация - менее дорогостоящей по сравнению с требованиями для рисков, свойственных портфелю-эталону. Использование данного варианта требований обусловлено тем, что на практике может оказаться нецелесообразной (из-за использования ранее зарекомендовавших себя технологий, по экономическим или иным соображениям) или невозможной ориентация на допустимые риски, свойственные портфелю-эталону. Вследствие этого минимальной гарантией обеспечения надежности реализации процесса управления портфелем проектов является выполнение требований системной инженерии при допустимом риске заказчика, обосновываемом по прецедентному принципу.

Типовые допустимые значения количественных показателей рисков для процесса управления портфелем проектов отражены в таблице Г.1. При этом период прогноза для расчетных показателей подбирают таким образом, чтобы вероятностные значения рисков не превышали допустимые. В этом случае для задаваемых при моделировании условий имеет место гарантия качественной и безопасной реализации рассматриваемого процесса в течение задаваемого периода прогноза.

Таблица Г.1 - Пример задания допустимых значений рисков

Показатель	Допустимое значение риска (в вероятностном выражении)
	при ориентации на обоснование по прецедентному принципу	при ориентации на обоснование для системы-эталона
Риск нарушения требований по защите информации в процессе управления портфелем проектов	Не выше 0,10	Не выше 0,05
Интегральный риск нарушения реализации процесса управления портфелем проектов с учетом требований по защите информации	Не выше 0,10	Не выше 0,05