Типовые допустимые значения показателей рисков для процесса системного анализа
С точки зрения остаточного риска, характеризующего приемлемый уровень целостности рассматриваемой системы, предъявляемые требования системной инженерии подразделяют на требования при допустимых рисках, обосновываемых по прецедентному принципу, и требования при рисках, свойственных реальной или гипотетичной системе-эталону. При формировании требований системной инженерии необходимо обоснование достижимости целей системы и рассматриваемого процесса системного анализа, а также целесообразности использования количественных показателей рисков в дополнение к качественным показателям, определяемым по ГОСТ Р ИСО/МЭК 27005. При этом учитывают важность и критичность системы, ограничения на стоимость ее создания и эксплуатации, указывают другие условия в зависимости от специфики.
Требования системной инженерии при принимаемых рисках, свойственных системе-эталону, являются наиболее жесткими, они не учитывают специфики рассматриваемой системы, а ориентируются лишь на мировые технические и технологические достижения для удовлетворения требований заинтересованных сторон и рационального решения задач системного анализа. Полной проверке на соответствие этим требованиям подлежит система в целом, составляющие ее подсистемы и реализуемые процессы жизненного цикла. Выполнение этих требований является гарантией обеспечения высокого качества и безопасности рассматриваемой системы. Вместе с тем проведение работ системной инженерии с ориентацией на риски, свойственные системе-эталону, характеризуются существенно затратами по сравнению с требованиями, ориентируемыми на допустимые риски, обосновываемые по прецедентному принципу. Это заведомо удорожает разработку самой системы, увеличивает время до ее принятия в эксплуатацию, а также удорожает эксплуатацию системы.
Требования системной инженерии при допустимых рисках (свойственных конкретной системе или ее аналогу), обосновываемые по прецедентному принципу, являются менее жесткими, а их реализация - менее дорогостоящей по сравнению с требованиями для рисков, свойственных системе-эталону. Использование данного варианта требований обусловлено тем, что на практике может оказаться нецелесообразной (из-за использования ранее зарекомендовавших себя технологий, по экономическим или по другим соображениям) или невозможной ориентация на допустимые риски, свойственные системе-эталону. Вследствие этого минимальной гарантией обеспечения качества и безопасности реализации процесса системного анализа является выполнение требований системной инженерии при допустимом риске заказчика, обосновываемом по прецедентному принципу.
Типовые допустимые значения показателей рисков для процесса системного анализа отражены в таблице Д.1. При этом период прогноза для расчетных показателей подбирают таким образом, чтобы вероятностные значения рисков не превышали допустимые. В этом случае для задаваемых при моделировании условий имеет место гарантия качественной и безопасной реализации процесса в течение задаваемого периода прогноза.
Таблица Д.1 - Пример задания допустимых значений рисков
Показатель | Допустимое значение риска (в вероятностном выражении) | |
при ориентации на обоснование по прецедентному принципу | при ориентации на обоснование для системы-эталона | |
Риск нарушения требований по защите информации в процессе системного анализа | Не выше 0,05 | Не выше 0,01 |
Интегральный риск нарушения надежности реализации процесса системного анализа с учетом требований по защите информации | Не выше 0,05 | Не выше 0,01 |
Ссылочные рекомендации по определению допустимых значений показателей рисков, используемых в системном анализе других системных процессов по ГОСТ Р 57193, отражены в таблице Д.2.
Таблица Д.2 - Ссылки для определения допустимых значений рисков в системных процессах
Системный процесс | Ссылки на стандарты для определения допустимых значений рисков при ориентации на обоснование по прецедентному принципу и для системы-эталона |
Процессы приобретения и поставки продукции и услуг для системы | ГОСТ Р 59329-2021, приложение Г |
Процесс управления моделью жизненного цикла системы | ГОСТ Р 59330-2021, Приложение Г |
Процесс управления инфраструктурой системы | ГОСТ Р 59331-2021, Приложение Д |
Процесс управления портфелем проектов | ГОСТ Р 59332-2021, Приложение Г |
Процесс управления человеческими ресурсами системы | ГОСТ Р 59333-2021, Приложение Д |
Процесс управления качеством системы | ГОСТ Р 59334-2021, Приложение Г |
Процесс управления знаниями о системе | ГОСТ Р 59335-2021, Приложение Д |
Процесс планирования проекта | ГОСТ Р 59336-2021, Приложение Г |
Процесс оценки и контроля проекта | ГОСТ Р 59337-2021, Приложение Г |
Процесс управления решениями | ГОСТ Р 59338-2021, Приложение Д |
Процесс управления рисками для системы | ГОСТ Р 59339-2021, Приложение Г |
Процесс управления конфигурацией системы | ГОСТ Р 59340-2021, Приложение Г |
Процесс управления информацией системы | ГОСТ Р 59341-2021, Приложение Д |
Процесс измерений системы | ГОСТ Р 59342-2021, Приложение Г |
Процесс гарантии качества для системы | ГОСТ Р 59343-2021, Приложение Д |
Процесс анализа бизнеса или назначения системы | ГОСТ Р 59344-2021, Приложение Г |
Процесс определения потребностей и требований заинтересованной стороны для системы | ГОСТ Р 59345-2021, Приложение Д |
Процесс определения системных требований | ГОСТ Р 59346-2021, Приложение Е |
Процесс определения архитектуры системы | ГОСТ Р 59347-2021, Приложение Д |
Процесс определения проекта | ГОСТ Р 59348-2021, Приложение Г |
Процесс реализации системы | ГОСТ Р 59350-2021, Приложение Г |
Процесс комплексирования системы | ГОСТ Р 59351-2021, Приложение Г |
Процесс верификации системы | ГОСТ Р 59352-2021, Приложение Г |
Процесс передачи системы | ГОСТ Р 59353-2021, Приложение Г |
Процесс аттестации системы | ГОСТ Р 59354-2021, Приложение Г |
Процесс функционирования системы | ГОСТ Р 59355-2021, Приложение Д |
Процесс сопровождения системы | ГОСТ Р 59356-2021, Приложение Д |
Процесс изъятия и списания системы | ГОСТ Р 59357-2021, Приложение Г |