Статус документа

ГОСТ Р ИСО/МЭК 15026-4-2016 Системная и программная инженерия. Гарантирование систем и программного обеспечения. Часть 4. Гарантии жизненного цикла

7.6 Процесс менеджмента рисков

Процесс менеджмента рисков (см. пункт 6.3.4 ИСО/МЭК 15288:2008 и пункт 6.3.4 ИСО/МЭК 12207:2008) постоянно идентифицирует, анализирует, обрабатывает и контролирует риски и может быть применен к рискам, связанным с приобретением, поставкой, разработкой, сопровождением, функционированием или прекращением использования системы. Действия и задачи процесса менеджмента рисков играют ключевую роль в подходе к демонстрации достижения требований.

Примечание - Несмотря на то что первое из приведенных выше предложений взято из ИСО/МЭК 15288, в настоящем стандарте из-за рисков гарантии, свойственных поставке систем, добавлено слово "поставка".

7.6.1 Соответствующие действия и задачи


Действия по стандарту 15288	Действия по стандарту 12207
6.3.4.3 а) Спланируйте менеджмент рисков. 1) Определите политики менеджмента рисков. b) Установите и поддерживайте профиль рисков. 3) Установите и поддерживайте профиль рисков. c) Проанализируйте риски. d) Обработайте риски. 2) Реализуйте те альтернативы обработки риска реализации, для которых решение о приемлемости принимаемых мер принимают заинтересованные стороны. е) Производите мониторинг рисков. 2) Реализуйте и контролируйте показатели для оценки результативности обработок риска	6.3.4.3.1 Планирование менеджмента рисков. 6.3.4.3.1.1 Должны быть определены политики менеджмента рисков, описывающие руководящие указания, регламентирующие выполнение менеджмента рисков. 6.3.4.3.1.2 Описание осуществляемого процесса менеджмента рисков должно быть документировано. 6.3.4.3.1.3 Должны быть определены стороны, ответственные за выполнение менеджмента рисков, их роли и обязанности. 6.3.4.3.1.4 Ответственные стороны должны быть обеспечены ресурсами, достаточными для выполнения процесса менеджмента рисков. 6.3.4.3.2 Менеджмент профиля риска. 6.3.4.3.2.1 Содержание процесса менеджмента рисков должно быть определено и документировано. 6.3.4.3.1.5 Должно быть предоставлено описание процесса оценки и совершенствования процесса менеджмента рисков. 6.3.4.3.2.2 Должны быть документированы пороговые значения риска, определяющие условия, при которых уровень риска может быть принят. 6.3.4.3.2.3 Должен устанавливаться и поддерживаться профиль рисков. 6.3.4.3.2.4 Содержание соответствующего профиля рисков должно периодически доводиться до сведения правообладателей в зависимости от их потребностей. 6.3.4.3.3 Анализ рисков. 6.3.4.3.3.1 Риски должны быть идентифицированы в категориях, описанных в контексте менеджмента рисков. 6.3.4.3.3.2 Должна быть оценена вероятность возникновения и последствий каждого идентифицированного риска. 6.3.4.3.3.3 Каждый риск должен быть оценен по отношению к его пороговым значениям. 6.3.4.3.3.4 Для каждого риска, который находится выше его порогового значения, должны быть определены и документированы рекомендуемые стратегии обработки. Измеримые значения показателей, характеризующих результативность альтернативных вариантов обработки, также должны быть определены и документированы

7.6.2 Указания и рекомендации по гарантии

Менеджмент относящихся к гарантии качества рисков должен быть полностью интегрирован в общий процесс менеджмента рисков при определении приоритетов, принятии решений, формировании и поддержке профиля рисков и обработке рисков. Информация, обосновывающая выбор и спецификацию гарантийных требований, информационный блок, показывающий достижение требований и необходимые ограничения на неопределенность, могут быть использованы в качестве основы для систематизации и разрешения рисков гарантии систем. Эта информация должна содержать соответствующие предположения, данные, суждения и расчеты, которые необходимы, чтобы обосновать анализ рисков и позволить проанализировать, воссоздать и проверить оценки рисков.

На протяжении всего жизненного цикла системы следует внимательно относиться к причинным факторам и условиям их возникновения, настораживающим факторам, признакам перспективных рисков и последствиям рисков. Кроме того, особое внимание необходимо уделить сложностям в получении необходимого доказательства, обеспечении незамедлительного создания и оценки отчетов и получении полных записей. Для случаев, когда поставщики готовых или сделанных на заказ продуктов вносят изменения в эти продукты, не предоставляя подробную информацию об этих изменениях, необходимо разработать и применить методы анализа и смягчения неблагоприятного воздействия на гарантию.

Риски и источники рисков, относящиеся к уязвимостям системы обеспечения безопасности, слабым местам, угрозам, опасностям, дефектам, человеческой ошибке и изменениям в системе или ее среде, должны идентифицироваться на протяжении всего жизненного цикла системы. По причине разрушительного характера рисков при создании и поддержке профиля рисков проект должен учитывать существование квалифицированных и мотивированных противников. Оценивая вероятность возникновения и последствий каждого идентифицированного риска, проект должен рассмотреть всю цепочку последствий, которые может вызвать квалифицированный противник. Риск злонамеренных действий существует во время любого из процессов жизненного цикла систем, включая и сам процесс менеджмента рисков.

Необходимо реалистично рассмотреть возможность случаев, когда не удастся достичь гарантийных требований и приемлемо показать это достижение, включая риск необходимости переделать части системы. Проект должен своевременно оценить потенциал невозможности достичь требуемой гарантии системы, результатом чего будет риск сертификации или аттестации системы либо использование системы не по назначению. Соответствующие заинтересованные стороны должны идентифицировать, запланировать и утвердить чрезвычайные действия для случаев, когда гарантийные требования не могут быть своевременно достигнуты.