ГОСТ Р 59990—2022
6.3 Требования к количественным показателям
6.3.1 Для решения задач системного анализа процесса оценки и контроля проекта используют:
- специальные показатели, связанные с определенными критичными сущностями проекта и си
стемы, охватываемой проектом (см. 4.3.2 и 5.5);
- риск нарушения надежности реализации системных процессов (для каждого из процессов со
глашения, процессов организационного обеспечения проекта, процессов технического управления и
технических процессов), рассматриваемых в процессе оценки и контроля проекта;
- риск нарушения реализации системных процессов (для каждого из процессов соглашения,
процессов организационного обеспечения проекта, процессов технического управления и технических
процессов), рассматриваемых в процессе оценки и контроля проекта, с учетом дополнительных специ
фических системных требований;
- интегральный риск нарушения качества системы в сценарных условиях комбинации используе
мых системных процессов в течение задаваемого периода прогноза;
- интегральный риск нарушения безопасности системы в сценарных условиях комбинации
используемых системных процессов в течение задаваемого периода прогноза;
- интегральный риск нарушения эффективности системы в сценарных условиях комбинации
используемых системных процессов в течение задаваемого периода прогноза.
Примечание — Интегральные показатели рисков нарушения качества, безопасности и эффективности
системы, охватываемой проектом, используют требования к обеспечению соответственно качества, безопасности и
эффективности системы за период прогноза, задаваемые на уровне ограничений надопустимые риски (в их вероят
ностном выражении) по каждому из учитываемых системных процессов, и возможные ущербы — см. ГОСТ Р 59991.
Примеры показателей рисков, типовых моделей и методов прогнозирования рисков приведены в
приложении В.
6.3.2 Расчетные риски характеризуют соответствующей вероятностью нанесения ущерба в соче
тании с тяжестью возможного ущерба.
6.4 Требования к источникам данных
Источниками исходных данных для расчетов количественных показателей являются (в части,
свойственной процессу оценки и контроля проекта):
- источники, позволяющие сформировать данные, обеспечивающие оценку специальных показа
телей, связанных с критичными сущностями проекта и системы, охватываемой проектом;
- временные данные применения технологий противодействия угрозам и/или функционирования
вспомогательных систем управления качеством и рисками, планируемых к использованию или исполь
зуемых в рассматриваемой системе (в том числе данные о срабатывании исполнительных механизмов
этих систем), охватываемой проектом;
- текущие и статистические данные о состоянии параметров контролируемых критичных сущно
стей системы, охватываемой проектом (данные должны быть привязаны к временам и условиям из
менения состояний);
- текущие и статистические данные о самой системе или системах-аналогах, характеризующие
не только данные о нарушениях надежности реализации рассматриваемого процесса, но и события,
связанные с нарушениями и появлением предпосылок к нарушениям из-за реализации угроз (привя
занные к временам и условиям наступления событий, характеризующих соответствующие нарушения
и предпосылки к нарушениям);
- текущие и статистические данные результатов технического диагностирования системы, охва
тываемой проектом, и вспомогательных систем управления качеством и рисками;
- наличие и готовность персонала системы, данные об ошибках персонала (привязанные к време
нам и условиям наступления событий, последовавших из-за этих ошибок и характеризующих наруше
ния и предпосылки к нарушениям) в самой системе, охватываемой проектом, или в системах-аналогах;
- данные из различных моделей угроз для системы, охватываемой проектом (например, модели
угроз безопасности информации), и метаданные, позволяющие сформировать перечень потенциаль
ных угроз и возможные сценарии возникновения и развития угроз нарушения нормальной реализации
процесса оценки и контроля проекта.
Примеры исходных данных для моделирования приведены в приложении В.
13