Приложение В (справочное). Типовые модели и методы прогнозирования рисков. Национальный стандарт РФ ГОСТ Р 59994-2022 "Системная инженерия. Системный анализ процесса гарантии качества для системы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 17.08.2022 N 774-ст)

Приложение В
(справочное)

Типовые модели и методы прогнозирования рисков

Процесс гарантии качества для системы применим ко всем системным процессам (к процессам соглашения, процессам организационного обеспечения проекта, процессам технического управления, техническим процессам), в том числе непосредственно к себе самому. В настоящем приложении приведены ссылки на стандарты системной инженерии, содержащие рекомендации по типовым моделям и методам прогнозирования рисков во всех системных процессах, - см. таблицу В.1. Эти методы и модели в полной мере применимы в процессе гарантии качества для системы.

Таблица В.1 - Ссылки на типовые модели и методы прогнозирования рисков

Системный процесс	Вероятностные показатели риска	Ссылки на типовые модели и методы
Процессы приобретения и поставки продукции и услуг для системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59329-2021, приложение В
Процесс управления моделью жизненного цикла системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - обобщенный риск нарушения реализации процесса с учетом дополнительных специфических системных требований (в том числе на примере требований по защите информации)	ГОСТ Р 59330-2021, приложение В; ГОСТ Р 59992-2022, приложение В
Процесс управления инфраструктурой системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - обобщенный риск нарушения реализации процесса с учетом дополнительных специфических системных требований (в том числе на примере требований по защите информации)	ГОСТ Р 59331-2021, приложение В; ГОСТ Р 59993-2022, приложение В
Процесс управления портфелем проектов	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59332-2021, приложение В
Процесс управления человеческими ресурсами системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59333-2021, приложение В
Процесс управления качеством системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - обобщенный риск нарушения реализации процесса с учетом дополнительных специфических системных требований (в том числе на примере требований по защите информации)	ГОСТ Р 59334-2021, приложение В; ГОСТ Р 59989-2022, приложение В
Процесс управления знаниями о системе	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59335-2021, приложение В
Процесс планирования проекта	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59336-2021, приложение В
Процесс оценки и контроля проекта	- для системных процессов риски по ГОСТ Р 59337-2021, 6.3 (с учетом дополнительных специфических системных требований на примере требований по защите информации) и ГОСТ Р 59990-2022, 6.3	ГОСТ Р 59337-2021, приложение В, ГОСТ Р 59990-2022, приложение В
Процесс управления решениями	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59338-2021, приложение В
Процесс управления рисками для системы	- для системных процессов риски по ГОСТ Р 59339-2021, 6.3 (с учетом дополнительных специфических системных требований на примере требований по защите информации); - интегральные риски нарушения качества системы в сценарных условиях комбинации используемых системных процессов в течение задаваемого периода прогноза по ГОСТ Р 59991-2022, 6.3	ГОСТ Р 59339-2021, приложение В; ГОСТ Р 59991-2022, приложение В
Процесс управления конфигурацией системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59340-2021, приложение В
Процесс управления информацией системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примерах требований к надежности и своевременности представления, полноты и достоверности выходной информации, требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примерах требований к надежности и своевременности представления, полноты и достоверности выходной информации, требований по защите информации)	ГОСТ Р 59341-2021, приложение В
Процесс измерений системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59342-2021, приложение В
Процесс гарантии качества для системы	По 6.3	Настоящий стандарт
Процесс анализа бизнеса или назначения системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59344-2021, приложение В
Процесс определения потребностей и требований заинтересованной стороны для системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59345-2021, приложение В
Процесс определения системных требований (на примере требований по защите информации)	- частные показатели риска реализации угроз безопасности информации, направленных на нарушение функционирования системы, в условиях отсутствия мер защиты, предлагаемых к применению в ходе формирования системных требований, и в условиях их применения (показатели остаточного риска нарушения функционирования системы); - частные показатели риска реализации угроз утечки конфиденциальной информации в условиях отсутствия мер защиты, предлагаемых к применению в ходе формирования системных требований, и в условиях их применения (показатели остаточного риска нарушения требований по защите конфиденциальной информации в системе или о системе); - интегральные показатели риска реализации угроз, направленных на нарушение функционирования системы в течение ее жизненного цикла, в условиях отсутствия и применения мер защиты, предлагаемых в ходе формирования системных требований. Примечание - Приведенные показатели демонстрируют возможности модификации показателей прогнозируемых рисков.	ГОСТ Р 59346-2021, приложения В, Д
Процесс определения архитектуры системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59347-2021, приложение В
Процесс определения проекта	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59348-2021, приложение В
Процесс системного анализа	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59349-2021, приложение В
Процесс реализации системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59350-2021, приложение В
Процесс комплексирования системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59351-2021, приложение В
Процесс верификации системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59352-2021, приложение В
Процесс передачи системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59353-2021, приложение В
Процесс аттестации системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59354-2021, приложение В
Процесс функционирования системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59355-2021, приложение В
Процесс сопровождения системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59356-2021, приложение В
Процесс изъятия и списания системы	- риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); - риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); - риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	ГОСТ Р 59357-2021, приложение В

Методический подход к прогнозированию интегрального риска нарушения качества системы в сценарных условиях комбинации используемых системных процессов в течение задаваемого периода прогноза приведен в ГОСТ Р 59991-2022, В.4 приложения В. Интегральная вероятность сохранения качества системы в сценарных условиях комбинации используемых системных процессов в течение задаваемого периода прогноза вычисляется как дополнение до единицы вероятностного значения интегрального риска нарушения качества системы.

Примером практического подхода к прогнозированию рисков служит ГОСТ Р 58494, в котором положения системной инженерии адаптированы к системам дистанционного контроля промышленной безопасности в опасном производстве.

Примечания

1 Другие возможные показатели, модели, методы и рекомендации по оценке рисков см. в ГОСТ IEC 61508-3, ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р 54124, ГОСТ Р 58494, ГОСТ Р 58771, ГОСТ Р МЭК 61069-1 - ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-5 - ГОСТ Р МЭК 61508-7.

2 Примеры прогнозирования рисков и решения задач системного анализа, связанные с некоторыми гарантиями качества для системы, приведены в ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59341, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59356.