Приложение Д (справочное). Рекомендации по определению допустимых значений показателей рисков. Национальный стандарт РФ ГОСТ Р 59343-2021 "Системная инженерия. Защита информации в процессе гарантии качества для системы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18.05.2021 N 371-ст)

Приложение Д
(справочное)

Рекомендации
по определению допустимых значений показателей рисков

С точки зрения остаточного риска, характеризующего приемлемый уровень целостности систем, предъявляемые требования системной инженерии подразделяют на требования при допустимых рисках, обосновываемых по прецедентному принципу согласно ГОСТ Р 59349, и требования при рисках, свойственных реальной или гипотетичной системе-эталону. При формировании требований системной инженерии необходимо обоснование достижимости целей системы и рассматриваемого процесса гарантии качества системы, а также целесообразности использования количественных показателей рисков в дополнение к качественным показателям, определяемым по ГОСТ Р ИСО/МЭК 27005. При этом учитывают важность и критичность системы, ограничения на стоимость ее создания и эксплуатации, указывают другие условия в зависимости от специфики.

Требования системной инженерии при принимаемых рисках, свойственных системе-эталону, являются наиболее жесткими, они не учитывают специфики рассматриваемой системы, а ориентируются лишь на мировые технические и технологические достижения для удовлетворения требований заинтересованных сторон и рационального решения задач системного анализа. Полной проверке на соответствие этим требованиям подлежит система в целом, составляющие ее подсистемы и реализуемые процессы жизненного цикла. Выполнение этих требований является гарантией обеспечения высокого качества и безопасности рассматриваемой системы. Вместе с тем проведение работ системной инженерии с ориентацией на риски, свойственные системе-эталону, характеризуются существенно большими затратами по сравнению с требованиями, ориентируемыми на допустимые риски, обосновываемые по прецедентному принципу. Это заведомо удорожает разработку самой системы, увеличивает время до ее принятия в эксплуатацию и удорожает эксплуатацию системы.

Требования системной инженерии при допустимых рисках, свойственных конкретной системе или ее аналогу и обосновываемые по прецедентному принципу, являются менее жесткими, а их реализация - менее дорогостоящей по сравнению с требованиями для рисков, свойственных системе-эталону. Использование данного варианта требований обусловлено тем, что на практике может оказаться нецелесообразной (из-за использования ранее зарекомендовавших себя технологий, по экономическим или по другим соображениям) или невозможной ориентация на допустимые риски, свойственные системе-эталону. В этих условиях приемлемый уровень реализации процесса гарантии качества для системы может быть достигнут с использованием допустимых рисков заказчика, обосновываемых по прецедентному принципу.

Ссылочные рекомендации по определению допустимых значений показателей для процесса гарантии качества для системы отражены в таблице Д.1. При этом период прогноза для расчетных показателей подбирают таким образом, чтобы вероятностные значения рисков не превышали допустимые. В этом случае для задаваемых при моделировании условий появляются системные возможности рационального управления рисками в течение задаваемого периода прогноза.

Таблица Д.1 - Ссылки для определения допустимых значений рисков

Системный процесс	Ссылки на стандарты для определения допустимых значений рисков при ориентации на обоснование по прецедентному принципу и обоснование для системы-эталона
Процессы приобретения и поставки продукции и услуг для системы	ГОСТ Р 59329-2021, приложение Г
Процесс управления моделью жизненного цикла системы	ГОСТ Р 59330-2021, приложение Г
Процесс управления инфраструктурой системы	ГОСТ Р 59331-2021, приложение Д
Процесс управления портфелем проектов	ГОСТ Р 59332-2021, приложение Г
Процесс управления человеческими ресурсами системы	ГОСТ Р 59333-2021, приложение Д
Процесс управления качеством системы	ГОСТ Р 59334-2021, приложение Г
Процесс управления знаниями о системе	ГОСТ Р 59335-2021, приложение Д
Процесс планирования проекта	ГОСТ Р 59336-2021, приложение Г
Процесс оценки и контроля проекта	ГОСТ Р 59337-2021, приложение Г
Процесс управления решениями	ГОСТ Р 59338-2021, приложение Д
Процесс управления рисками для системы	ГОСТ Р 59339-2021, приложение Г
Процесс управления конфигурацией системы	ГОСТ Р 59340-2021, приложение Г
Процесс управления информацией системы	ГОСТ Р 59341-2021, приложение Д
Процесс измерений системы	ГОСТ Р 59342-2021, приложение Г
Процесс гарантии качества для системы	Настоящая таблица
Процесс анализа бизнеса или назначения системы	ГОСТ Р 59344-2021, приложение Г
Процесс определения потребностей и требований заинтересованной стороны для системы	ГОСТ Р 59345-2021, приложение Д
Процесс определения системных требований	ГОСТ Р 59346-2021, приложение Е
Процесс определения архитектуры системы	ГОСТ Р 59347-2021, приложение Д
Процесс определения проекта	ГОСТ Р 59348-2021, приложение Г
Процесс системного анализа	ГОСТ Р 59349-2021, приложение Д
Процесс реализации системы	ГОСТ Р 59350-2021, приложение Г
Процесс комплексирования системы	ГОСТ Р 59351-2021, приложение Г
Процесс верификации системы	ГОСТ Р 59352-2021, приложение Г
Процесс передачи системы	ГОСТ Р 59353-2021, приложение Г
Процесс аттестации системы	ГОСТ Р 59354-2021, приложение Г
Процесс функционирования системы	ГОСТ Р 59355-2021, приложение Д
Процесс сопровождения системы	ГОСТ Р 59356-2021, приложение Д
Процесс изъятия и списания системы	ГОСТ Р 59357-2021, приложение Г