ГОСТ Р 71440-2024

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

ОЦЕНКА ПРОЦЕССОВ

Руководство по определению рисков в процессах

Information technologies. Processes assessment. Guidance for processes risk determination

ОКС 35.020

Дата введения 2024-09-30

Предисловие

1 РАЗРАБОТАН Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) и Комиссией Российской академии наук по техногенной безопасности

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 7 июня 2024 г. № 740-ст

4 Настоящий стандарт разработан с учетом основных нормативных положений международного документа ISO/IEC TR 33015:2019* "Информационные технологии. Оценка процесса. Руководство по определению риска процесса" (ISO/IEC TR 33015:2019 "Information technology - Process assessment - Guidance for process risk determination", NEQ)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

Настоящий стандарт может быть использован самостоятельно, а также во взаимосвязи с другими национальными стандартами в области системной и программной инженерии и оценки процессов, призванных обеспечить согласованную основу качества процессов. В настоящем стандарте рассматриваются процессы жизненного цикла систем по ГОСТ Р 57193, а также иные процессы, применимые в жизненном цикле систем, включая оказание услуг. Результаты могут быть применены либо в целях повышения эффективности выполнения процессов, либо для выявления и анализа рисков, связанных с применением процессов.

Примечание - Как частный случай в качестве рассматриваемой системы может выступать организация, выпускающая продукцию или оказывающая услуги. В рамках организации выполняются различные процессы, подлежащие оценке.

В состав рекомендаций, связанных с определением рисков в процессах, входят:

- инициирование определения рисков в процессе;

- определение исходных целей и данных для оценки;

- определение профиля процесса;

- принципы определения рисков в процессе;

- оценка рисков, связанных с процессами;

- использование определения рисков в процессе для выбора поставщика;

- сопоставление результатов оценки.

Цель разработки настоящего стандарта состоит в обеспечении оценки различных показателей рисков при выполнении процессов, применяемых в жизненном цикле систем.

Настоящий стандарт предназначен для применения сторонами, заинтересованными в определении рисков в процессах, а также специалистами оценивающих организаций и разработчиками методов и инструментариев, поддерживающих оценку процессов и системный анализ рисков.

     1 Область применения

Настоящий стандарт содержит руководство по определению рисков в процессах, применимое в рамках любых вариантов отношений между заказчиком и поставщиком, а также для любой организации, желающей определить риски при выполнении процессов.

Настоящий стандарт предназначен для использования организациями, участвующими в создании (модернизации, развитии), эксплуатации систем различного функционального назначения и программных средств, а также при выведении их из эксплуатации.

Примечание - Настоящий стандарт не содержит рекомендаций по конкретным организационным структурам, критериям управления, моделям жизненного цикла или методам разработки и выполнения процессов.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ IEC 61508-3 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению

ГОСТ Р 27.101-2021 Надежность в технике. Надежность выполнения задания и управление непрерывностью деятельности. Термины и определения

ГОСТ Р 51897 (ISO Guide 73:2009) Менеджмент риска. Термины и определения

ГОСТ Р 51901.1 Менеджмент риска. Анализ риска технологических систем

ГОСТ Р 51901.7/ISO/TR 31004:2013 Менеджмент риска. Руководство по внедрению ИСО 31000

ГОСТ Р 51901.16 (МЭК 61164:2004) Менеджмент риска. Повышение надежности. Статистические критерии и методы оценки

ГОСТ Р 54124 Безопасность машин и оборудования. Оценка риска

ГОСТ Р 57193 Системная и программная инженерия. Процессы жизненного цикла систем

ГОСТ Р 58494 Оборудование горно-шахтное. Многофункциональные системы безопасности угольных шахт. Система дистанционного контроля опасных производственных объектов

ГОСТ Р 58771 Менеджмент риска. Технологии оценки риска

ГОСТ Р 59329-2021 Системная инженерия. Защита информации в процессах приобретения и поставки продукции и услуг для системы

ГОСТ Р 59330-2021 Системная инженерия. Защита информации в процессе управления моделью жизненного цикла системы

ГОСТ Р 59331-2021 Системная инженерия. Защита информации в процессе управления инфраструктурой системы

ГОСТ Р 59332-2021 Системная инженерия. Защита информации в процессе управления портфелем проектов

ГОСТ Р 59333-2021 Системная инженерия. Защита информации в процессе управления человеческими ресурсами системы

ГОСТ Р 59334-2021 Системная инженерия. Защита информации в процессе управления качеством системы

ГОСТ Р 59335-2021 Системная инженерия. Защита информации в процессе управления знаниями о системе

ГОСТ Р 59336-2021 Системная инженерия. Защита информации в процессе планирования проекта

ГОСТ Р 59337-2021 Системная инженерия. Защита информации в процессе оценки и контроля проекта

ГОСТ Р 59338-2021 Системная инженерия. Защита информации в процессе управления решениями

ГОСТ Р 59339-2021 Системная инженерия. Защита информации в процессе управления рисками для системы

ГОСТ Р 59340-2021 Системная инженерия. Защита информации в процессе управления конфигурацией системы

ГОСТ Р 59341-2021 Системная инженерия. Защита информации в процессе управления информацией системы

ГОСТ Р 59342-2021 Системная инженерия. Защита информации в процессе измерений системы

ГОСТ Р 59343-2021 Системная инженерия. Защита информации в процессе гарантии качества для системы

ГОСТ Р 59344-2021 Системная инженерия. Защита информации в процессе анализа бизнеса или назначения системы

ГОСТ Р 59345-2021 Системная инженерия. Защита информации в процессе определения потребностей и требований заинтересованной стороны для системы

ГОСТ Р 59346-2021 Системная инженерия. Защита информации в процессе определения системных требований

ГОСТ Р 59347-2021 Системная инженерия. Защита информации в процессе определения архитектуры системы

ГОСТ Р 59348-2021 Системная инженерия. Защита информации в процессе определения проекта

ГОСТ Р 59349-2021 Системная инженерия. Защита информации в процессе системного анализа

ГОСТ Р 59350-2021 Системная инженерия. Защита информации в процессе реализации системы

ГОСТ Р 59351-2021 Системная инженерия. Защита информации в процессе комплексирования системы

ГОСТ Р 59352-2021 Системная инженерия. Защита информации в процессе верификации системы

ГОСТ Р 59353-2021 Системная инженерия. Защита информации в процессе передачи системы

ГОСТ Р 59354-2021 Системная инженерия. Защита информации в процессе аттестации системы

ГОСТ Р 59355-2021 Системная инженерия. Защита информации в процессе функционирования системы

ГОСТ Р 59356-2021 Системная инженерия. Защита информации в процессе сопровождения системы

ГОСТ Р 59357-2021 Системная инженерия. Защита информации в процессе изъятия и списания системы

ГОСТ Р 59853 Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения

ГОСТ Р 59989-2022 Системная инженерия. Системный анализ процесса управления качеством системы

ГОСТ Р 59990-2022 Системная инженерия. Системный анализ процесса оценки и контроля проекта

ГОСТ Р 59991-2022 Системная инженерия. Системный анализ процесса управления рисками для системы

ГОСТ Р 59992-2022 Системная инженерия. Системный анализ процесса управления моделью жизненного цикла системы

ГОСТ Р 59993-2022 Системная инженерия. Системный анализ процесса управления инфраструктурой системы

ГОСТ Р 59994-2022 Системная инженерия. Системный анализ процесса гарантии качества для системы

ГОСТ Р ИСО 9000 Системы менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО 13379-1 Контроль состояния и диагностика машин. Методы интерпретации данных и диагностирования. Часть 1. Общее руководство

ГОСТ Р ИСО 13381-1 Контроль состояния и диагностика машин. Прогнозирование технического состояния. Часть 1. Общее руководство

ГОСТ Р ИСО 17359 Контроль состояния и диагностика машин. Общее руководство

ГОСТ Р ИСО/МЭК 12207 Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств

ГОСТ Р ИСО/МЭК 15026 Информационная технология. Уровни целостности систем и программных средств

ГОСТ Р ИСО/МЭК 15026-4 Системная и программная инженерия. Гарантирование систем и программного обеспечения. Часть 4. Гарантии жизненного цикла

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования