ГОСТ Р ИСО/МЭК 16085— 2007
новые сроки выполнения работ, идругих технических характеристик, подверженных влиянию опасного
события.
Организация должна определить и зарегистрировать в статусе риска соответствующие меры,
которые должны быть предприняты, если возникнет возможность превышения риском своего допусти
мого значения.
П р и м е ч а н и е — Стандарт IEEE Std 1012 (7) содержит описание уровней целостности при планировании
деятельности по валидации и верификации. ИСО/МЭК 15026 содержит описание уровней цепостности систем и
программного обеспечения. В МЭК 61508-5 приведены примеры методов определения безопасных уровней цепос
тности. ИСО/МЭК 15939 описывает процесс измерений, позволяющий охарактеризовать и количественно опреде
лить риск.
5.1.2.3 Установление иподдержка профиля риска проекта
Организация должна установить и поддерживать в рабочем состоянии профиль риска проекта.
Профиль риска проекта должен содержать информацию о совокупном риске проекта, профилях всех
индивидуальных рисков, которые, в свою очередь, включают в себя текущее состояние и хронологию
риска. Профиль риска проекта должен включать в себя (при необходимости список может быть
дополнен):
a) особенности менеджмента риска;
b
) хронологические записи о статусе каждого риска, в том числе вероятность появления опасного
события, его последствия идопустимый риск;
c) приоритет каждого риска на основании критериев, представленных причастными сторонами;
d) информацию о действиях с риском, а также статус обработки риска.
Профиль риска должен содержать подробное описание каждого риска и причины опасного собы
тия. используемую шкалуоценок, необходимые измерения для оценки статуса риска, планы действий в
случае непредвиденных обстоятельств и другую информацию, связанную с определением статуса
риска.
Если произошли изменения в статусе индивидуального риска, организация должна актуализиро
вать профиль риска проекта, например при изменениях в описании, экспозиции или обработке риска,
изменениях особенностей менеджмента риска проекта или при выявлении нового риска. Для быстрого
сбораданных, обмена информацией иее оценки информация может быть представлена в электронном
виде.
5.1.2.4 Обмен информацией о статусе риска
Обмен информацией о профиле риска проекта или уместном профиле риска (например, индиви
дуальном риске или комбинации рисков) между причастными сторонами в соответствии сих потребнос
тями должен быть проведен через запланированные интервалы времени. Информация о статусе риска
должна быть по возможности доступна всем причастным сторонам.
5.1.3 Анализ риска
Целидеятельности поанализу риска:
a) идентификация исходных событий, опасностей, угроз или ситуаций, которые могут вызвать
риск;
b
) оценка вероятности возникновения опасных событий и их последствий для каждого риска и
среднего времени возникновения риска:
c) проверка каждого индивидуального риска или определенной комбинации рисков на соответ
ствие допустимому риску, выбор альтернативных вариантов обработки риска в случае, когда значения
риска выше допустимого риска, и представление рекомендацийдля обработки риска на основе выбран
ных приоритетов.
Анализ риска должен проводиться непрерывно на всех стадиях жизненного цикла программного
обеспечения.
Деятельность поанализу риска состоит иззадач, перечисленных в 5.1.3.1— 5.1.3.3.
5.1.3.1 Идентификация риска
Организация должна идентифицировать категории риска в соответствии с особенностями
менеджмента риска. Должнытакже быть идентифицированы изменения менеджмента риска, например
дополнительный риск, связанныйс изменениями в используемых предположениях.
Организация должна использовать различные подходы к идентификации риска. Эти подходы
могут предусматривать использование анкет по риску, систематизацию информации, мозговой штурм,
анализ сценариев развития опасного события, изучение передового опыта, разработку макетов и дру
гие. Повторныйпроцессидентификацииможет бытьпроведен наоснове полученногоопыта. По возмож
ности, должны быть идентифицированы события, угрозы или ситуации, потенциально вызывающие
ю