Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 59349-2021 "Системная инженерия. Защита информации в процессе системного анализа" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18 мая 2021 г. N 372-ст)
- Приложение Д (справочное). Типовые допустимые значения показателей рисков для процесса системного анализа
Приложение Д (справочное). Типовые допустимые значения показателей рисков для процесса системного анализа
Приложение Д
(справочное)
Типовые допустимые значения показателей рисков для процесса системного анализа
С точки зрения остаточного риска, характеризующего приемлемый уровень целостности рассматриваемой системы, предъявляемые требования системной инженерии подразделяют на требования при допустимых рисках, обосновываемых по прецедентному принципу, и требования при рисках, свойственных реальной или гипотетичной системе-эталону. При формировании требований системной инженерии необходимо обоснование достижимости целей системы и рассматриваемого процесса системного анализа, а также целесообразности использования количественных показателей рисков в дополнение к качественным показателям, определяемым по ГОСТ Р ИСО/МЭК 27005. При этом учитывают важность и критичность системы, ограничения на стоимость ее создания и эксплуатации, указывают другие условия в зависимости от специфики.
Требования системной инженерии при принимаемых рисках, свойственных системе-эталону, являются наиболее жесткими, они не учитывают специфики рассматриваемой системы, а ориентируются лишь на мировые технические и технологические достижения для удовлетворения требований заинтересованных сторон и рационального решения задач системного анализа. Полной проверке на соответствие этим требованиям подлежит система в целом, составляющие ее подсистемы и реализуемые процессы жизненного цикла. Выполнение этих требований является гарантией обеспечения высокого качества и безопасности рассматриваемой системы. Вместе с тем проведение работ системной инженерии с ориентацией на риски, свойственные системе-эталону, характеризуются существенно большими затратами по сравнению с требованиями, ориентируемыми на допустимые риски, обосновываемые по прецедентному принципу. Это заведомо удорожает разработку самой системы, увеличивает время до ее принятия в эксплуатацию, а также удорожает эксплуатацию системы.
Требования системной инженерии при допустимых рисках (свойственных конкретной системе или ее аналогу), обосновываемые по прецедентному принципу, являются менее жесткими, а их реализация - менее дорогостоящей по сравнению с требованиями для рисков, свойственных системе-эталону. Использование данного варианта требований обусловлено тем, что на практике может оказаться нецелесообразной (из-за использования ранее зарекомендовавших себя технологий, по экономическим или по другим соображениям) или невозможной ориентация на допустимые риски, свойственные системе-эталону. Вследствие этого минимальной гарантией обеспечения качества и безопасности реализации процесса системного анализа является выполнение требований системной инженерии при допустимом риске заказчика, обосновываемом по прецедентному принципу.
Типовые допустимые значения показателей рисков для процесса системного анализа отражены в таблице Д.1. При этом период прогноза для расчетных показателей подбирают таким образом, чтобы вероятностные значения рисков не превышали допустимые. В этом случае для задаваемых при моделировании условий имеет место гарантия качественной и безопасной реализации процесса в течение задаваемого периода прогноза.
Таблица Д.1 - Пример задания допустимых значений рисков
|
Показатель |
Допустимое значение риска (в вероятностном выражении) |
|
|
при ориентации на обоснование по прецедентному принципу |
при ориентации на обоснование для системы-эталона |
|
|
Риск нарушения требований по защите информации в процессе системного анализа |
Не выше 0,05 |
Не выше 0,01 |
|
Интегральный риск нарушения надежности реализации процесса системного анализа с учетом требований по защите информации |
Не выше 0,05 |
Не выше 0,01 |
Ссылочные рекомендации по определению допустимых значений показателей рисков, используемых в системном анализе других системных процессов по ГОСТ Р 57193, отражены в таблице Д.2.
Таблица Д.2 - Ссылки для определения допустимых значений рисков в системных процессах
|
Системный процесс |
Ссылки на стандарты для определения допустимых значений рисков при ориентации на обоснование по прецедентному принципу и для системы-эталона |
|
Процессы приобретения и поставки продукции и услуг для системы |
ГОСТ Р 59329-2021, приложение Г |
|
Процесс управления моделью жизненного цикла системы |
ГОСТ Р 59330-2021, Приложение Г |
|
Процесс управления инфраструктурой системы |
ГОСТ Р 59331-2021, Приложение Д |
|
Процесс управления портфелем проектов |
ГОСТ Р 59332-2021, Приложение Г |
|
Процесс управления человеческими ресурсами системы |
ГОСТ Р 59333-2021, Приложение Д |
|
Процесс управления качеством системы |
ГОСТ Р 59334-2021, Приложение Г |
|
Процесс управления знаниями о системе |
ГОСТ Р 59335-2021, Приложение Д |
|
Процесс планирования проекта |
ГОСТ Р 59336-2021, Приложение Г |
|
Процесс оценки и контроля проекта |
ГОСТ Р 59337-2021, Приложение Г |
|
Процесс управления решениями |
ГОСТ Р 59338-2021, Приложение Д |
|
Процесс управления рисками для системы |
ГОСТ Р 59339-2021, Приложение Г |
|
Процесс управления конфигурацией системы |
ГОСТ Р 59340-2021, Приложение Г |
|
Процесс управления информацией системы |
ГОСТ Р 59341-2021, Приложение Д |
|
Процесс измерений системы |
ГОСТ Р 59342-2021, Приложение Г |
|
Процесс гарантии качества для системы |
ГОСТ Р 59343-2021, Приложение Д |
|
Процесс анализа бизнеса или назначения системы |
ГОСТ Р 59344-2021, Приложение Г |
|
Процесс определения потребностей и требований заинтересованной стороны для системы |
ГОСТ Р 59345-2021, Приложение Д |
|
Процесс определения системных требований |
ГОСТ Р 59346-2021, Приложение Е |
|
Процесс определения архитектуры системы |
ГОСТ Р 59347-2021, Приложение Д |
|
Процесс определения проекта |
ГОСТ Р 59348-2021, Приложение Г |
|
Процесс реализации системы |
ГОСТ Р 59350-2021, Приложение Г |
|
Процесс комплексирования системы |
ГОСТ Р 59351-2021, Приложение Г |
|
Процесс верификации системы |
ГОСТ Р 59352-2021, Приложение Г |
|
Процесс передачи системы |
ГОСТ Р 59353-2021, Приложение Г |
|
Процесс аттестации системы |
ГОСТ Р 59354-2021, Приложение Г |
|
Процесс функционирования системы |
ГОСТ Р 59355-2021, Приложение Д |
|
Процесс сопровождения системы |
ГОСТ Р 59356-2021, Приложение Д |
|
Процесс изъятия и списания системы |
ГОСТ Р 59357-2021, Приложение Г |