ГОСТ Р 59339-2021 Системная инженерия. Защита информации в процессе управления рисками для системы
Приложение Д
(справочное)
Рекомендации по определению допустимых значений показателей рисков
С точки зрения остаточного риска, характеризующего приемлемый уровень целостности системы, предъявляемые требования системной инженерии подразделяют на требования при допустимых рисках, обосновываемых по прецедентному принципу согласно ГОСТ Р 59349, и требования при рисках, свойственных реальной или гипотетичной системе-эталону. При формировании требований системной инженерии необходимо обоснование достижимости целей системы и рассматриваемого процесса управления знаниями о системе, а также целесообразности использования количественных показателей рисков в дополнение к качественным показателям, определяемым по ГОСТ Р ИСО/МЭК 27005. При этом учитывают важность и критичность системы, ограничения на стоимость ее создания и эксплуатации, указывают другие условия в зависимости от специфики.
Требования системной инженерии при принимаемых рисках, свойственных системе-эталону, являются наиболее жесткими, они не учитывают специфики рассматриваемой системы, а ориентируются лишь на мировые технические и технологические достижения для удовлетворения требований заинтересованных сторон и рационального решения задач системного анализа. Полной проверке на соответствие этим требованиям подлежит система в целом, составляющие ее подсистемы и реализуемые процессы жизненного цикла. Выполнение этих требований является гарантией обеспечения высокого качества и безопасности рассматриваемой системы. Вместе с тем проведение работ системной инженерии с ориентацией на риски, свойственные системе-эталону, характеризуются существенно большими затратами по сравнению с требованиями, ориентируемыми на допустимые риски, обосновываемые по прецедентному принципу. Это заведомо удорожает разработку самой системы, увеличивает время до принятия ее в эксплуатацию и удорожает саму эксплуатацию системы.
Требования системной инженерии при допустимых рисках, свойственных конкретной системе или ее аналогу и обосновываемые по прецедентному принципу, являются менее жесткими, а их реализация - менее дорогостоящей по сравнению с требованиями для рисков, свойственных системе-эталону Использование данного варианта требований обусловлено тем, что на практике может оказаться нецелесообразной (из-за использования ранее зарекомендовавших себя технологий, по экономическим или по другим соображениям) или невозможной ориентация на допустимые риски, свойственные системе-эталону Вследствие этого минимальной гарантией обеспечения качества и надежности реализации процесса управления рисками для системы является выполнение требований системной инженерии при допустимом риске заказчика, обосновываемом по прецедентному принципу.
Ссылочные рекомендации по определению допустимых значений показателей для процесса управления рисками для системы отражены в таблице Д.1. При этом период прогноза для расчетных показателей подбирают таким образом, чтобы вероятностные значения рисков не превышали допустимые. В этом случае для задаваемых при моделировании условий имеет место гарантия качества и безопасности реализации системных процессов в течение задаваемого периода прогноза.
Таблица Д.1 - Ссылки для определения допустимых значений рисков
Системный процесс | Ссылки на стандарты для определения допустимых значений рисков при ориентации на обоснование по прецедентному принципу и обоснование для системы-эталона |
Процессы приобретения и поставки продукции и услуг для системы | ГОСТ Р 59329-2021, приложение Г |
Процесс управления моделью жизненного цикла системы | ГОСТ Р 59330-2021, приложение Г |
Процесс управления инфраструктурой системы | ГОСТ Р 59331-2021, приложение Д |
Процесс управления портфелем проектов | ГОСТ Р 59332-2021, приложение Г |
Процесс управления человеческими ресурсами системы | ГОСТ Р 59333-2021, приложение Д |
Процесс управления качеством системы | ГОСТ Р 59334-2021, приложение Г |
Процесс управления знаниями о системе | ГОСТ Р 59335-2021, приложение Д |
Процесс планирования проекта | ГОСТ Р 59336-2021, приложение Г |
Процесс оценки и контроля проекта | ГОСТ Р 59337-2021, приложение Г |
Процесс управления решениями | ГОСТ Р 59338-2021, приложение Д |
Процесс управления рисками для системы | Настоящая таблица |
Процесс управления конфигурацией системы | ГОСТ Р 59340-2021, приложение Г |
Процесс управления информацией системы | ГОСТ Р 59341-2021, приложение Д |
Процесс измерений системы | ГОСТ Р 59342-2021, приложение Г |
Процесс гарантии качества для системы | ГОСТ Р 59343-2021, приложение Д |
Процесс анализа бизнеса или назначения системы | ГОСТ Р 59344-2021, приложение Г |
Процесс определения потребностей и требований заинтересованной стороны для системы | ГОСТ Р 59345-2021, приложение Д |
Процесс определения системных требований | ГОСТ Р 59346-2021, приложение Е |
Процесс определения архитектуры системы | ГОСТ Р 59347-2021, приложение Д |
Процесс определения проекта | ГОСТ Р 59348-2021, приложение Г |
Процесс системного анализа | ГОСТ Р 59349-2021, приложение Д |
Процесс реализации системы | ГОСТ Р 59350-2021, приложение Г |
Процесс комплексирования системы | ГОСТ Р 59351-2021, приложение Г |
Процесс верификации системы | ГОСТ Р 59352-2021, приложение Г |
Процесс передачи системы | ГОСТ Р 59353-2021, приложение Г |
Процесс аттестации системы | ГОСТ Р 59354-2021, приложение Г |
Процесс функционирования системы | ГОСТ Р 59355-2021, приложение Д |
Процесс сопровождения системы | ГОСТ Р 59356-2021, приложение Д |
Процесс изъятия и списания системы | ГОСТ Р 59357-2021, приложение Г |