ГОСТ Р 71440-2024 Информационные технологии (ИТ). Оценка процессов. Руководство по определению рисков в процессах

     4.1 Определение рисков, связанных с процессами

Цель оценки процессов состоит в понимании текущего и прогнозного состояния процессов, существующих в организации или применяемых в жизненном цикле рассматриваемых систем. Результаты оценки процесса могут быть применены в целях повышения эффективности выполнения процессов либо для выявления и проработки количественной и/или качественной оценки рисков, связанных с выполнением процессов (см. ГОСТ Р 59329-ГОСТ Р 59357, ГОСТ Р 59989-ГОСТ Р 59994).

Основное внимание в настоящем стандарте уделено использованию результатов оценки процессов для выявления рисков, связанных с процессами, определения их значимости для конкретного требования или категории требований системной инженерии, анализа профилей процессов. Это может быть использовано для снижения рисков или в качестве помощи при принятии решений. Классификация типов рисков, связанных с процессами, существующими в организации, их качественная оценка и профили процессов представлены в приложениях А-В.

Качественная оценка рисков, связанных с процессами, по результатам оценки процесса основана на сопоставлении слабых и сильных сторон. Слабые стороны представлены оценками свойств процесса, которые отличаются от полного достижения целей. Путем сравнения достижения рейтингов свойств процесса с профилем процесса выявляются недостатки, которые могут свидетельствовать о наличии одного или нескольких конкретных рисков.

Примечания

1 Конкретное требование или категория требований может подразумевать развертывание процессов организации в отношении новой или существующей задачи, договора, категории договоров или внутреннего обязательства, продукта или услуги, или любого другого требования системной инженерии. Конкретное требование или категория требований определяет цель(и) определения рисков в процессе.

2 Определение рисков в процессе по-возможности должно учитывать все критичные угрозы и условия, куда могут входить стратегические, организационные, финансовые, кадровые и многие другие факторы и ограничения.

Количественная оценка рисков, связанных с процессами в жизненном цикле рассматриваемых систем, основана на применении математических моделей, позволяющих осуществлять прогнозирование рисков (см. приложения Г, Д). Возможные показатели, модели, методы и рекомендации по количественной оценке рисков приведены в ГОСТ IEC 61508-3, ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р 54124, ГОСТ Р 58771, ГОСТ Р 59329-ГОСТ Р 59357, ГОСТ Р 59989-ГОСТ Р 59994, ГОСТ Р МЭК 61069-1-ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-5-ГОСТ Р МЭК 61508-7. Примеры количественного прогнозирования рисков и решения задач системного анализа приведены в ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59341, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59356.

Примечание - С учетом специфики системы для количественной оценки рисков допускается использование любых научно обоснованных методов и моделей, обеспечивающих достижение целей.

Соответствие базовой области оценки конкретному требованию или категории требований системной инженерии будет влиять на значимость результатов определения рисков в процессе. При оценке процессов в отношении данной характеристики качества процесса в ГОСТ Р ИСО/МЭК 33002 рекомендовано определение контекста процесса как части области оценки. Контекст процесса описывает отношения и зависимости между применением набора процессов и их влиянием на выпускаемую продукцию, оказываемую услугу или на организацию разработчика. Согласование объема оценки с конкретным требованием или категорией требований выполняется относительно влияния содержимого выбранных процессов на исследуемые риски и сопоставимости контекста процесса с предполагаемым его применением.

Оценку конкретного процесса проводят специально для определения рисков, связанных с этим процессом, или выбирают из набора уже существующих результатов.

В первом случае целевая область оценки, включающая контекст процесса, должна быть определена в качестве исходных данных для оценки (см. 6.3). Если результаты выбирают из набора уже существующих результатов, необходимо провести специальный анализ и убедиться в значимости выбранного результата оценки.

В любом случае в отношении данного контекста процесса следует определить профиль процесса с желаемым уровнем качества (например, в отношении разработки конкретной системы). Согласно 4.3.2 целевой уровень качества процесса следует задавать с учетом существующих конкретных требований к определению рисков, соблюдая тем самым соответствие конкретным типам рисков, подлежащих системному анализу (см. ГОСТ Р 59329-ГОСТ Р 59357, ГОСТ Р 59989-ГОСТ Р 59994).