ГОСТ Р 59991—2022
- данные из различных моделей угроз (например, модели угроз безопасности информации) и ме
таданные, позволяющие сформировать перечень потенциальных угроз и возможные сценарии воз
никновения и развития угроз нарушения нормальной реализации процесса управления рисками для
системы.
Примеры исходных данных для моделирования приведены в ссылках на рекомендуемые модели
и методы в приложении В.
7 Требования к методам системного анализа процесса управления рисками
7.1 Общие положения
7.1.1 В системной инженерии используют любые научно обоснованные формализованные мето
ды, обеспечивающие достижение целей и решение поставленных задач системного анализа. Настоя
щие требования применимы ко всем стандартизованным системным процессам, используемым в жиз
ненном цикле систем (процессам соглашений, организационного обеспечения проекта, технического
управления, техническим процессам).
7.1.2 Требования к формализованным методам системного анализа процесса управления риска
ми для системы включают:
- требования к моделям и методам оценки специальных показателей и обоснования их допусти
мых значений;
- требования к моделям и методам прогнозирования рисков и обоснования допустимых рисков;
- требования к методам определения существенных угроз и условий;
- требования к методам поддержки принятия решений в жизненном цикле системы.
7.1.3 При обосновании и формулировании требований к методам системного анализа руковод
ствуются положениями 7.2— 7.6 с учетом специфики системы и рекомендаций ГОСТ Р ИСО 2859-1,
ГОСТ Р ИСО 2859-3, ГОСТ 2.114, ГОСТ 15.016, ГОСТ 34.602, ГОСТ 33981, ГОСТ IEC 61508-3, ГОСТ
Р ИСО 3534-1, ГОСТ Р ИСО 3534-2, ГОСТ Р ИСО 7870-1, ГОСТ Р ИСО 7870-2, ГОСТ Р ИСО 9001, ГОСТР
ИСО/МЭК 12207, ГОСТ Р ИСО 13379-1,ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО/МЭК 15026,
ГОСТ Р ИСО 17359, ГОСТ Р ИСО/МЭК 27001,ГОСТ Р ИСО/МЭК 27002, ГОСТ Р ИСО 31000,
ГОСТ Р 50779.41, ГОСТ Р 50779.70, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 56939, ГОСТ Р 57102,
ГОСТР 57193, ГОСТ Р 57272.1, ГОСТ Р 57839, ГОСТ Р 58045, ГОСТ Р 58412, ГОСТ Р 59339, ГОСТ Р
59349, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-6, ГОСТ Р МЭК 61508-7.
7.2 Требования к моделям и методам оценки специальных показателей
Модели и методы оценки специальных показателей должны быть связаны с целями рассматрива
емой системы, ее масштабами, имеющими место вызовами и возможными угрозами. В качестве исход
ных используются данные, получаемые по факту (например, в процессе функционирования системы)
и гипотетичные данные (например, в сравнении с системами-аналогами). В общем случае с использо
ванием расчетных специальных показателей применение моделей и методов должно способствовать
рациональному решению задач системной инженерии (см. 4.1.2).
7.3 Требования к моделям и методам прогнозирования рисков
7.3.1 Выбираемые и/или разрабатываемые модели и методы прогнозирования рисков должны
обеспечивать достижение сформулированных целей системного анализа для условий неопределен
ности и практичное решение задач, поставленных для достижения этих целей (см. 4.3 и приложение А).
7.3.2 Прогнозирование рисков используют для формального решения задач системного анализа,
связанных с ранним распознаванием и оценкой развития предпосылок к нарушению качества, безопас
ности и/или эффективности системы, обоснованием эффективных предупреждающих мер по снижению
рисков или удержанию рисков в допустимых пределах, определением существенных угроз, поддержкой
принятия решений в системной инженерии (в том числе по выполнению системных процессов). В зави
симости от целей решаемых задач прогнозируемый риск связывают с заранее определенным периодом
прогноза (например, на месяц, год, на несколько лет), с возможными сценариями возникновения и раз
вития угроз, ожидаемых для этого периода.
7.3.3 Для прогнозирования рисков при решении поставленных задач должны быть:
- определены потенциально существенные угрозы или условия, для которых при том или ином
развитии событий возможно негативное воздействие на свойства рассматриваемых системных про
цессов, системы (и/или ее элементов) и/или проекта (см. приложение Б);
13