allgosts.ru35.020 Информационные технологии (ИТ) в целом35 ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

ГОСТ Р 71438-2024 Информационные технологии. Оценка процессов. Система измерения процессов для оценки их возможностей

Обозначение:
ГОСТ Р 71438-2024
Наименование:
Информационные технологии. Оценка процессов. Система измерения процессов для оценки их возможностей
Статус:
Действует
Дата введения:
30.09.2024
Дата отмены:
-
Заменен на:
-
Код ОКС:
35.020

Текст ГОСТ Р 71438-2024 Информационные технологии. Оценка процессов. Система измерения процессов для оценки их возможностей

ФЕДЕРАЛЬНОЕ АГЕНТСТВО

ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ГОСТР

71438— 2024

Информационные технологии

ОЦЕНКА ПРОЦЕССОВ

Система измерения процессов для оценки их возможностей

(ISO/IEC 33020:2019, NEQ)

Издание официальное

Москва

Российский институт стандартизации 2024

ГОСТ Р 71438—2024

Предисловие

1 РАЗРАБОТАН Обществом с ограниченной ответственностью «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) и Комиссией Российской академии наук по техногенной безопасности

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 «Информационные технологии»

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 7 июня 2024 г. № 738-ст

4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта ИСО/МЭК 33020:2019 «Информационные технологии. Оценка процесса. Система измерения процесса для оценки возможностей процесса» (ISO/IEC 33020:2019 «Information technology — Process assessment — Process measurement framework for assessment of process capability», NEQ)

5 ВЗАМЕН ГОСТ P ИСО/МЭК 33020—2017

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

©Оформление. ФГБУ «Институт стандартизации», 2024

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

ГОСТ Р 71438—2024

Содержание

1 Область применения..................................................................1

2 Нормативные ссылки..................................................................1

3 Термины и определения................................................................4

4 Основные положения..................................................................7

5 Система измерения процессов..........................................................7

5.1 Общее описание..................................................................7

5.2 Уровни возможностей..............................................................7

5.3 Шкала рейтингов.................................................................12

5.4 Способ определения рейтингов.....................................................13

5.5 Способ обобщения рейтингов......................................................14

5.6 Модель уровня возможностей на основе рейтингов....................................15

5.7 Модель уровня возможностей на основе прогнозирования рисков........................16

Приложение А (справочное) Согласованность положений системы измерения процесса для метода экспертной оценки..............................................21

Приложение Б (справочное) Пример набора показателей для оценки возможностей..............23

Приложение В (справочное) Рекомендации для метода экспертной оценки......................30

Приложение Г (справочное) Пример перечня угроз нарушения нормальной реализации процесса................................................................35

Приложение Д (справочное) Типовые показатели, модели и методы прогнозирования рисков (по методу количественной оценки)..........................................36

Приложение Е (справочное) Рекомендации по определению допустимых значений рисков.........42

Библиография........................................................................44

III

ГОСТ Р 71438—2024

Введение

В общем случае проблематика оценки возможностей процессов, реализуемых в различных организациях и системах (см. [1] — [15]), актуальна для решения задач создания, эффективного функционирования и развития сложных систем, включая следующие задачи:

- функционирование и развитие сложных народнохозяйственных, инженерно-технических, энергетических, транспортных систем, систем связи и коммуникаций;

- защита населения и территорий от чрезвычайных ситуаций природного и техногенного характера;

- развитие критических технологий (например, базовых технологий силовой электротехники; компьютерного моделирования; информационных и когнитивных технологий; технологий атомной энергетики; технологий информационных, управляющих, навигационных систем; технологий и программного обеспечения распределенных и высокопроизводительных вычислительных систем; технологий мониторинга и прогнозирования состояния окружающей среды, предотвращения и ликвидации ее загрязнения; технологий поиска, разведки, разработки месторождений полезных ископаемых и их добычи);

- техническая диагностика, управления ресурсом эксплуатации критически значимых объектов и систем;

- функционирование и развитие топливно-энергетического комплекса, нефтяной, газовой и нефтехимической промышленности, электроэнергетики, трубопроводного транспорта;

- качество и безопасность строительного комплекса, в том числе обоснование прочности и устойчивости создаваемых объектов и конструкций;

- снижение экономических, экологических и социальных ущербов от природных и природно-техногенных катастроф и нарушений качества, безопасности и эффективности критически и стратегически значимых систем.

Представленная в настоящем стандарте система измерения процессов:

- может быть использована в любых областях, системах и организациях любого размера применительно к процессам различного функционального назначения;

- определяет набор показателей возможностей процессов;

- обеспечивает качественную и количественную оценку возможностей процессов и направлений их совершенствования;

- определяет уровень возможностей процессов.

В приложениях А—Е отражены примеры тех наборов показателей, которые могут быть использованы в моделях для оценки возможностей и повышения результативности процессов, а также рекомендации по прогнозированию рисков, обеспечению достижения необходимых свойств процессов и по определению уровня возможностей процессов.

В настоящем стандарте представлены два метода системы измерения процессов для оценки их возможностей с учетом требований ГОСТ Р ИСО/МЭК 33002, ГОСТ Р ИСО/МЭК 33003, ГОСТ Р ИСО/МЭК 33004, ГОСТ Р 57193, ГОСТ Р 58606, ГОСТ Р 59342, ГОСТ Р 59990, ГОСТ Р 59991, ГОСТ Р 59992, ГОСТ Р 59994, ГОСТ Р МЭК 61069-1 — ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, регламентирующих возможности процессов в интересах достижения текущих или планируемых бизнес-целей.

Цель разработки настоящего стандарта состоит в обеспечении понимания возможностей всех процессов, происходящих в организации, и применяемых в жизненном цикле сложных систем.

Настоящий стандарт адресован сторонам, заинтересованным в определении рейтингов и измерении рисков в реализуемых в организации процессах при изучении их возможностей.

IV

ГОСТ Р 71438—2024

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

ОЦЕНКА ПРОЦЕССОВ

Система измерения процессов для оценки их возможностей

Information technology. Processes assessment.

Processes measurement framework for assessment of their capabilities

Дата введения — 2024—09—30

1 Область применения

Настоящий стандарт определяет систему измерения процессов для оценки их возможностей с учетом требований ГОСТ Р ИСО/МЭК 33002, ГОСТ Р ИСО/МЭК 33003, ГОСТ Р ИСО/МЭК 33004, ГОСТ Р 57193, ГОСТ Р 58606, ГОСТ Р 59342, ГОСТ Р 59990, ГОСТ Р 59991, ГОСТ Р 59992, ГОСТ Р 59994, ГОСТ Р МЭК 61069-1 — ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2.

Настоящий стандарт предназначен для использования организациями, участвующими в создании (модернизации, развитии), эксплуатации систем и программных средств, а также при их выведении из эксплуатации.

Настоящий стандарт также может быть использован разработчиками методов и инструментариев, поддерживающих оценку процессов, а также специалистами организаций, проводящих анализ текущей ситуации.

2 Нормативные ссылки

В настоящем стандарте применены нормативные ссылки на следующие стандарты:

ГОСТ 27.002 Надежность в технике. Термины и определения

ГОСТ IEC 61508-3 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению

ГОСТ Р 2.601 Единая система конструкторской документации. Эксплуатационные документы

ГОСТ Р 27.101 Надежность в технике. Надежность выполнения задания и управление непрерывностью деятельности. Термины и определения

ГОСТ Р 27.102—2021 Надежность в технике. Надежность объекта. Термины и определения

ГОСТ Р 51275 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

ГОСТ Р 51583 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения

ГОСТ Р 51901.1 Менеджмент риска. Анализ риска технологических систем

ГОСТ Р 51901.7/ISO/TR 31004:2013 Менеджмент риска. Руководство по внедрению ИСО 31000

ГОСТ Р 51901.16 (МЭК 61164:2004) Менеджмент риска. Повышение надежности. Статистические критерии и методы оценки

ГОСТ Р 54124 Безопасность машин и оборудования. Оценка риска

ГОСТ Р 56939 Защита информации. Разработка безопасного программного обеспечения. Общие требования

ГОСТ Р 57193 Системная и программная инженерия. Процессы жизненного цикла систем

Издание официальное

1

ГОСТ Р 71438—2024

ГОСТ Р 58412 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

ГОСТ Р 58494 Оборудование горно-шахтное. Многофункциональные системы безопасности угольных шахт. Система дистанционного контроля опасных производственных объектов

ГОСТ Р 58606/ISO/IEC/IEEE 15939:2017 Системная и программная инженерия. Процесс измерения

ГОСТ Р 58771 Менеджмент риска. Технологии оценки риска

ГОСТ Р 59329—2021 Системная инженерия. Защита информации в процессах приобретения и поставки продукции и услуг для системы

ГОСТ Р 59330—2021 Системная инженерия. Защита информации в процессе управления моделью жизненного цикла системы

ГОСТ Р 59331—2021 Системная инженерия. Защита информации в процессе управления инфраструктурой системы

ГОСТ Р 59332—2021 Системная инженерия. Защита информации в процессе управления портфелем проектов

ГОСТ Р 59333—2021 Системная инженерия. Защита информации в процессе управления человеческими ресурсами системы

ГОСТ Р 59334—2021 Системная инженерия. Защита информации в процессе управления качеством системы

ГОСТ Р 59335—2021 Системная инженерия. Защита информации в процессе управления знаниями о системе

ГОСТ Р 59336—2021 Системная инженерия. Защита информации в процессе планирования проекта

ГОСТ Р 59337—2021 Системная инженерия. Защита информации в процессе оценки и контроля проекта

ГОСТ Р 59338—2021 Системная инженерия. Защита информации в процессе управления решениями

ГОСТ Р 59339—2021 Системная инженерия. Защита информации в процессе управления рисками для системы

ГОСТ Р 59340—2021 Системная инженерия. Защита информации в процессе управления конфигурацией системы

ГОСТ Р 59341—2021 Системная инженерия. Защита информации в процессе управления информацией системы

ГОСТ Р 59342—2021 Системная инженерия. Защита информации в процессе измерений системы

ГОСТ Р 59344—2021 Системная инженерия. Защита информации в процессе анализа бизнеса или назначения системы

ГОСТ Р 59345—2021 Системная инженерия. Защита информации в процессе определения потребностей и требований заинтересованной стороны для системы

ГОСТ Р 59346—2021 Системная инженерия. Защита информации в процессе определения системных требований

ГОСТ Р 59347—2021 Системная инженерия. Защита информации в процессе определения архитектуры системы

ГОСТ Р 59348—2021 Системная инженерия. Защита информации в процессе определения проекта

ГОСТ Р 59349—2021 Системная инженерия. Защита информации в процессе системного анализа

ГОСТ Р 59350—2021 Системная инженерия. Защита информации в процессе реализации системы

ГОСТ Р 59351—2021 Системная инженерия. Защита информации в процессе комплексирования системы

ГОСТ Р 59352—2021 Системная инженерия. Защита информации в процессе верификации системы

ГОСТ Р 59353—2021 Системная инженерия. Защита информации в процессе передачи системы

ГОСТ Р 59354—2021 Системная инженерия. Защита информации в процессе аттестации системы

ГОСТ Р 59355—2021 Системная инженерия. Защита информации в процессе функционирования системы

2

ГОСТ Р 71438—2024

ГОСТ Р 59356—2021 Системная инженерия. Защита информации в процессе сопровождения системы

ГОСТ Р 59357—2021 Системная инженерия. Защита информации в процессе изъятия и списания системы

ГОСТ Р 59793 Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания

ГОСТ Р 59853 Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения

ГОСТ Р 59989—2022 Системная инженерия. Системный анализ процесса управления качеством системы

ГОСТ Р 59990—2022 Системная инженерия. Системный анализ процесса оценки и контроля проекта

ГОСТ Р 59991—2022 Системная инженерия. Системный анализ процесса управления рисками для системы

ГОСТ Р 59992—2022 Системная инженерия. Системный анализ процесса управления моделью жизненного цикла системы

ГОСТ Р 59993—2022 Системная инженерия. Системный анализ процесса управления инфраструктурой системы

ГОСТ Р 59994—2022 Системная инженерия. Системный анализ процесса гарантии качества для системы

ГОСТ Р ИСО 9000 Системы менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО 13379-1 Контроль состояния и диагностика машин. Методы интерпретации данных и диагностирования. Часть 1. Общее руководство

ГОСТ Р ИСО 13381-1 Контроль состояния и диагностика машин. Прогнозирование технического состояния. Часть 1. Общее руководство

ГОСТ Р ИСО 15704 Моделирование и архитектура предприятия. Требования к стандартным архитектурам и методологиям предприятия

ГОСТ Р ИСО 17359 Контроль состояния и диагностика машин. Общее руководство

ГОСТ Р ИСО/МЭК 15026 Информационная технология. Уровни целостности систем и программных средств

ГОСТ Р ИСО/МЭК 15026-4 Системная и программная инженерия. Гарантирование систем и программного обеспечения. Часть 4. Гарантии жизненного цикла

ГОСТ Р ИСО/МЭК 16085 Менеджмент риска. Применение в процессах жизненного цикла систем и программного обеспечения

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ГОСТ Р ИСО/МЭК 27002 Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности

ГОСТ Р ИСО/МЭК 27005—2010 Информационная технологии. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

ГОСТ Р ИСО/МЭК 33001 Информационные технологии. Оценка процесса. Понятия и терминология

ГОСТ Р ИСО/МЭК 33002 Информационные технологии. Оценка процесса. Требования к проведению оценки процесса

ГОСТ Р ИСО/МЭК 33003 Информационные технологии. Оценка процесса. Требования к системам измерения процесса

ГОСТ Р ИСО/МЭК 33004 Информационные технологии. Оценка процесса. Требования к эталонным моделям процесса, моделям оценки процесса и моделям зрелости

ГОСТ Р МЭК 61069-1 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 1. Терминология и общие концепции

ГОСТ Р МЭК 61069-2 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 2. Методология оценки

ГОСТ Р МЭК 61069-3 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 3. Оценка функциональности системы

ГОСТ Р МЭК 61069-4 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 4. Оценка производительности системы

3

ГОСТ Р 71438—2024

ГОСТ Р МЭК 61069-5 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 5. Оценка надежности системы

ГОСТ Р МЭК 61069-6 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 6. Оценка эксплуатабельности системы

ГОСТ Р МЭК 61069-7 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 7. Оценка безопасности системы

ГОСТ Р МЭК 61069-8 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 8. Оценка других свойств системы

ГОСТ Р МЭК 61508-1 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования

ГОСТ Р МЭК 61508-2 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам

ГОСТ Р МЭК 61508-4 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения

ГОСТ Р МЭК 61508-5 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности

ГОСТ Р МЭК 61508-6 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3

ГОСТ Р МЭК 61508-7 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства

ГОСТ Р МЭК 62264-1 Интеграция систем управления предприятием. Часть 1. Модели и терминология

ГОСТ Р МЭК 62508 Менеджмент риска. Анализ влияния на надежность человеческого фактора

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 27.101, ГОСТ 27.002, ГОСТ Р 59853, ГОСТ Р ИСО 9000, ГОСТ Р ИСО/МЭК 15026, ГОСТ Р ИСО/МЭК 15026-4, ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 33001, ГОСТ Р 59989, ГОСТ Р МЭК 61508-4, ГОСТ Р МЭК 62264-1, а также следующие термины с соответствующими определениями:

3.1

вероятностное пространство: Тройка, состоящая из пространства элементарных событий, заданной на нем сигма-алгебры событий и вероятностной меры.

[ГОСТ Р ИСО 3534-1—2019, статья 2.68]

3.2

вероятность события: Действительное число из замкнутого промежутка [0, 1], приписываемое событию.

[ГОСТ Р ИСО 3534-1—2019, статья 2.5]

4

ГОСТ Р 71438—2024

Примечание — Вероятность события оценивается с помощью вероятностной меры, устанавливаемой в рамках вероятностного пространства.

3.3

допустимый риск: Риск, который в данной ситуации считают приемлемым при существующих общественных ценностях.

[ГОСТ Р 51898—2002, пункт 3.7]

3.4

качество используемой информации в системе: Совокупность свойств используемой информации, обусловливающих ее пригодность для последующего использования в соответствии с целевым назначением в системе.

[ГОСТ Р 59341—2021, пункт 3.1.13]

качество функционирования системы: Совокупность свойств, обусловливающих пригодность системы в соответствии с ее целевым назначением.

[ГОСТ Р 59341—2021, пункт 3.1.14]

3.6

моделируемая система: Система, для которой решение задач системного анализа осуществляется с использованием ее формализованной модели, позволяющей исследовать критичные сущности системы в условиях ее создания и/или применения, учитывающей структурные связи между переменными или постоянными элементами формализованного представления, задаваемые условия и ограничения.

Примечание — В качестве модели системы могут выступать формализованные сущности, объединенные целевым назначением. Например, при проведении системного анализа в принимаемых допущениях, ограничениях и предположениях модель может формально описывать функциональные подсистемы и элементы, процессы, реализуемые действия, множество активов и/или выходных результатов или множество этих или иных сущностей в их целенаправленном применении в задаваемых условиях.

[ГОСТ Р 59994—2022, пункт 3.1.4]

3.7 математическая модель рассматриваемой системы: Формализованное описание реальной рассматриваемой системы с предположениями и допущениями, позволяющее математическими методами исследовать критичные сущности этой системы в условиях ее создания и/или применения, учитывая структурные связи между переменными или постоянными элементами формализованного представления, задаваемые условия и ограничения.

3.8

ограничение: Составная часть требования или самостоятельное требование, описывающее внешнее ограничивающее условие (связанное с внешними по отношению к объекту воздействующими факторами), наложенное на объект, его конструкцию, процесс разработки, изготовления, эксплуатации, ремонта или утилизации.

[ГОСТ Р 59194—2020, пункт 3.1.14]

3.9 определение рисков в процессе: Систематическая оценка и анализ выбранных процессов в соответствии с целевым профилем процесса, проводимые с целью выявления рисков, связанных с процессом.

3.10

риск: Влияние неопределенности на достижение поставленных целей.

Примечание 1 — Под влиянием неопределенности понимается несоответствие от ожидаемого результата. Оно может быть положительным и/или отрицательным, может создавать или приводить к возникновению возможностей и угроз.

5

ГОСТ Р 71438—2024

Примечание 2 — Цели могут иметь различные аспекты и категории и определяться на различных уровнях.

Примечание 3 — Риск часто выражается через его источники, потенциальные события, их последствия и вероятность.

[ГОСТ Р 51897—2021, статья 2.1]

3.11 риск, связанный с процессом: Риск, возникающий из-за недостатков в выполнении, менеджменте или развертывании процесса.

3.12

система-эталон: Реальная или гипотетичная система, которая по своим показателям интегрального риска нарушения реализации рассматриваемого процесса с учетом требований по защите информации принимается в качестве эталона для полного удовлетворения требований заинтересованных сторон системы и рационального решения задач системного анализа, связанных с обоснованием допустимых рисков, обеспечением нормы эффективности защиты информации, обоснованием мер, направленных на достижение целей процесса, противодействие угрозам и определение сбалансированных решений при средне- и долгосрочном планировании, а также с обоснованием предложений по совершенствованию и развитию системы защиты информации.

[ГОСТ Р 59343—2021, пункт 3.1.14]

3.13

системный анализ процесса управления рисками для системы: Научный метод системного познания, предназначенный для решения практических задач системной инженерии путем представления рассматриваемых системных процессов, системы и/или соответствующего проекта в виде приемлемой моделируемой системы.

Примечания

1 Метод включает:

- измерение и оценку специальных показателей, связанных с критичными сущностями рассматриваемой системы, прогнозирование рисков, интерпретацию и анализ приемлемости получаемых результатов для рассматриваемых системных процессов, системы (и/или ее элементов) и/или проекта;

- определение с использованием моделирования существенных угроз и условий, способных при том или ином развитии событий негативно повлиять на свойства рассматриваемых системных процессов, системы (и/или ее элементов) и/или проекта;

- обоснование с использованием моделирования упреждающих мер противодействия угрозам, обеспечивающих желаемые свойства рассматриваемых процесса, системы (и/или ее элементов) и/или проекта при задаваемых ограничениях в задаваемый период времени;

- обоснование с использованием моделирования предложений по обеспечению и повышению качества, безопасности и/или эффективности рассматриваемой системы (и/или ее элементов) и достижению целей системной инженерии при задаваемых ограничениях в задаваемый период времени.

2 К специальным критичным сущностям системы могут быть отнесены отдельные характеристики (например, физические параметры, характеристики качества, безопасности, размеры, стоимость), достигаемые эффекты, выполняемые функции, действия или защищаемые активы. При этом в состав рассматриваемых могут быть включены характеристики, эффекты, функции, действия и активы, свойственные не только самой системе, но и иным системам (подсистемам), не вошедшим в состав рассматриваемой системы. Например, это могут быть характеристики, эффекты, функции, действия и активы, свойственные обеспечивающим системам, привлекаемым информационным системам и/или базам данных, охватываемым по требованиям заказчика.

[ГОСТ Р 59991—2022, пункт 3.1.9]

3.14

требование: Требуемая (ожидаемая) количественная или качественная характеристика или свойство объекта, а также связанные ограничения и условия.

[ГОСТ Р 59194—2020, пункт 3.1.21]

6

ГОСТ Р 71438—2024

3.15

целостность моделируемой системы: Состояние моделируемой системы, которое отвечает целевому назначению модели системы в течение задаваемого периода прогноза.

[ГОСТ Р 59991—2022, пункт 3.1.10]

4 Основные положения

Система измерения процессов, описываемая в настоящем стандарте, включает два метода оценки возможностей процессов:

- первый метод экспертной оценки основан на формировании набора свойств, вербально характеризующих качество реализации процесса, применения экспертных методов анализа этих свойств и механизма экспертного рейтингования;

- второй метод количественной оценки основан на использовании набора вероятностных показателей прогнозируемых рисков в условиях разнородных угроз нормальной реализации конкретного процесса и на применении математического моделирования процесса.

Рассматриваемые свойства конкретного процесса отражаются в различных уровнях его возможностей, начиная с уровня «Незавершенный процесс» (при котором процесс не достигает ожидаемых результатов) и заканчивая уровнем «Инновационный процесс» (при котором процесс постоянно совершенствуется в соответствии с происходящими в организации изменениями). В методе экспертной оценки свойств использован механизм рейтингования (см. 5.3—5.6). В методе количественной оценки уровень возможностей процесса определен расчетными вероятностными значениями прогнозируемых рисков в условиях угроз рассматриваемым свойствам в сравнении с допустимым уровнем рисков.

Оценка возможностей процессов может быть построена на основе применения либо одного из методов, либо обоих методов.

В случае применения обоих методов требования к системам измерения процессов изложены в ГОСТ Р ИСО/МЭК 33003, ГОСТ Р 59342, ГОСТ Р 59991. В приложении А приведено объяснение согласованности положений системы измерений процессов при применении метода экспертной оценки. В приложении Б содержится пример набора свойств для оценки возможностей, в том числе общие примеры действий по некоторым свойствам процесса. В приложении В приведены рекомендации по применению системы измерений процессов с использованием экспертной оценки возможностей. В приложении Г представлен пример перечня угроз, способных привести к нарушению общепринятой реализации процесса, а в приложении Д перечислены типовые показатели и ссылки на математические модели и методы прогнозирования рисков для количественной оценки возможностей процессов. В приложении Е изложены рекомендации по определению допустимых количественных значений рисков для нормальной реализации процессов.

5 Система измерения процессов

5.1 Общее описание

В 5.2—5.6 описан метод экспертной оценки возможностей процессов, применимый для вербального анализа с учетом требований ГОСТ Р ИСО/МЭК 33002, ГОСТ Р ИСО/МЭК 33003, ГОСТ Р ИСО/МЭК 33004.

Другой метод количественной оценки возможностей процесса с использованием вероятностного прогнозирования рисков использует общие положения по наборам свойств согласно 5.2—5.6 (за исключением механизма рейтингования) и положения 5.7. При наличии исходных данных именно метод по 5.7 в комбинации с методом экспертной характеристики свойств в соответствии с 5.2 рекомендуется в качестве наиболее полного метода оценки возможностей стандартизованных процессов.

5.2 Уровни возможностей

5.2.1 Общая информация

Метод экспертной оценки, применимый в системе измерения, основан на анализе набора свойств процесса, характеризующих качество его выполнения. Каждое из свойств подлежит анализу при оценке возможностей процесса. Степень соответствия свойства предъявляемым требованиям определяют по вводимой шкале рейтингов. Уровень возможностей оцениваемого процесса определяется рейтингами,

7

ГОСТ Р 71438—2024

представленными в профиле процесса. Шкала рейтингов отражает возможности реализуемого процесса, начиная с несоответствия цели процесса и проходя пункты его непрерывного улучшения с достижением того уровня, при котором процесс более эффективно реагирует на изменения, происходящие в организации.

По методу количественной оценки с использованием вероятностного прогнозирования рисков все свойства подвержены угрозам негативного воздействия на них, ведущим к нарушению нормальной реализации процесса (см. приложение Г). Применение экспертной шкалы рейтингов при этом избыточно, поэтому данную шкалу заменяют более объективной вероятностной шкалой, на которой отражены количественные значения рисков нарушения нормальной реализации процесса (в сопоставлении с возможными последствиями).

В общем случае возможности процесса оценивают по шестизначной порядковой шкале, начиная с нижнего уровня («Незавершенный процесс») и заканчивая верхним уровнем («Инновационный процесс»).

Примечание — По решению ведущего аналитика экспертная шкала рейтингов на содержательном уровне может быть привязана к вероятностной шкале рисков, рассчитываемых применительно к каждому из уровней возможностей процесса с учетом множества угроз, характерных для составных свойств этого уровня (см. 5.7). Это способствует более полной оценке возможностей процесса в различных условиях его реализации.

5.2.2 0-й уровень возможностей процесса «Незавершенный процесс»

Процесс не реализован либо не соответствует своей цели.

На этом уровне свидетельства систематического достижения цели процесса доступны в незначительном количестве или отсутствуют.

5.2.3 1-й уровень возможностей процесса «Выполняемый процесс»

5.2.3.1 Общая информация

Реализованный процесс достигает своей цели. Достижение этого уровня демонстрируется свойством РА1.1, именуемым «Результативность процесса».

5.2.3.2 РА 1.1 Свойство «Результативность процесса»

Свойство «Результативность процесса» позволяет оценить степень достижения цели процесса. В результате полного соответствия этого свойства предъявляемым требованиям аналитикам следует констатировать: «Выполнение процесса обеспечивает достижение ожидаемых результатов».

5.2.4 2-й уровень возможностей процесса «Управляемый процесс»

5.2.4.1 Общая информация

1-й уровень «Выполняемый процесс» на 2-м уровне реализуется с возможностями управления (т. е. с возможностями планирования, отслеживания и корректировки), а создание, контроль и обновление документируемой информации обеспечиваются соответствующим образом.

Наряду с ранее определенным свойством «Результативность процесса» соответствие 2-му уровню возможностей демонстрируют свойства процесса, приведенные в 5.2.4.2, 5.2.4.3.

5.2.4.2 РА 2.1 Свойство «Управление результативностью процесса»

Свойство «Управление результативностью процесса» характеризует степень управляемости с помощью необходимых ресурсов и компетенций. В результате полного соответствия этого свойства предъявляемым требованиям аналитикам необходимо констатировать следующее:

а) определение и предоставление ожидаемых результатов;

б) определение и принятие мер для снижения до допустимого уровня рисков, негативно влияющих на выполнение процесса;

в) планирование, контроль, измерение, анализ и корректирование (при необходимости) выполнения процесса;

г) определение, назначение и доведение до сведения ответственных за выполнение процесса обязанностей и полномочий по выполнению процесса;

д) определение, предоставление и восполнение ресурсов, необходимых для реализации процесса (по мере необходимости);

е) наличие необходимых компетенций в виде соответствующего образования, обучения и опыта у ответственных за выполнение процесса;

ж) осуществление управления элементами взаимодействия сторон с целью обеспечения обмена информацией и необходимого контроля.

8

ГОСТ Р 71438—2024

Примечания

1 Среди ожидаемых результатов могут быть определены: критерии качества документируемой информации; длительность цикла процесса или частота его выполнения; использование ресурсов и границы процесса. Эти результаты также могут быть использованы для формирования исходных данных при количественной оценке возможностей с применением методов вероятностного прогнозирования рисков (см. ГОСТ Р 58494, ГОСТ Р 59341).

2 В набор методов мониторинга и оценки результатов могут входить: показатели достижения основных этапов и процента завершения следующих этапов; затраченное время в сравнении с расчетным временем работ; показатели фактического использования ресурсов в сравнении с запланированными потребностями; диаграммы выполнения работ по шкале времени. Эти результаты также могут быть применены для формирования исходных данных при количественной оценке возможностей с применением методов вероятностного прогнозирования рисков (см. ГОСТ Р 59329 — ГОСТ Р 59357, ГОСТ Р 59989 — ГОСТ Р 59994).

3 В качестве ресурсов выступают, в первую очередь, человеческие ресурсы (специалисты, обслуживающий персонал, пользователи), инфраструктура и среда для реализации процесса. Под инфраструктурой могут подразумеваться здания и связанные с ними коммунальные услуги, оборудование (включая аппаратное и программное обеспечение), транспортные ресурсы и информационно-коммуникационное оборудование и технологии. Требуемая среда может представлять собой сочетание человеческого фактора и техногенных факторов, включая социальные и психологические факторы среды. Ресурсы могут быть внутренними и внешними. Эти результаты также могут быть использованы для формирования исходных данных при количественной оценке возможностей процесса с применением методов вероятностного прогнозирования рисков (см., например, подходы, рекомендуемые ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59334, ГОСТ Р 59993).

4 Меры по обеспечению необходимых компетенций могут включать в себя также проведение тренингов, наставничество или переаттестацию, а также наем/привлечение по контракту компетентных лиц.

5 Снижение различных рисков до уровней, не превышающих допустимых значений, является основой для достижения существенных результатов, предотвращения или смягчения негативных последствий. Действия, предпринимаемые для снижения рисков, следует соизмерять с затратами на их выполнение и с потенциальными последствиями реализации соответствующих угроз. Вариантами реагирования на риски могут быть: избегание рисковых ситуаций (если возможно); принятие риска для реализации возможностей процесса, устранение источников угроз; снижение вероятности реализации угроз или смягчение негативных последствий; распределение рисков (если возможно) или удержание рисков в допустимых пределах путем принятия решений, обосновываемых с применением методов вероятностного прогнозирования рисков или иных адекватных методов моделирования (см. приложения Г, Д, Е, а также модели и методы по ГОСТ Р 58494, ГОСТ Р 59329 — ГОСТ Р 59357, ГОСТ Р 59989 — ГОСТ Р 59994).

5.2.4.3 РА 2.2 Свойство «Управление документируемой информацией»

Свойство процесса «Управление документируемой информацией» характеризует правильность документирования внутренней или полученной от внешнего источника информации при выполнении процесса. Для количественной оценки качества используемой информации рекомендованы методы и модели согласно ГОСТ Р 59341. В результате полного соответствия этого свойства предъявляемым требованиям аналитикам необходимо констатировать следующее:

а) определение требований, предъявляемых к документируемой информации процесса;

б) определение требований к контролю документируемой информации;

в) идентификация и контроль документируемой информации надлежащим образом в соответствии с требованиями;

г) анализ и утверждение на предмет пригодности, качества и адекватности в соответствии с запланированными мероприятиями и корректировка по мере необходимости документируемой информации для выполнения требований;

д) обновление и сохранение документируемой информации в объеме, необходимом для запланированной реализации процесса, а также для подтверждения соответствия продукции и (или) услуг предъявляемым к ним требованиям;

е) обеспечение требований по защите информации. Определение мер по защите информации осуществляют по ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 51275, ГОСТ Р 51583, ГОСТ Р 56939, ГОСТ Р 58412, ГОСТ Р МЭК 61508-7 с учетом специфики системы и реализуемой стадии жизненного цикла. Количественная оценка приведена в ГОСТ Р 59329 — ГОСТ Р 59357.

Примечание — В набор требований к контролю документируемой информации могут входить требования к идентификации и описанию, формату и носителям, контролю изменений (например, контроль версий), к распространению, поиску и использованию, хранению и сохранению, к срокам хранения и утилизации, а также к доступности и пригодности для использования в требуемом месте и в нужное время.

9

ГОСТ Р 71438—2024

5.2.5 3-й уровень возможностей процесса «Установленный процесс»

5.2.5.1 Общая информация

Реализуется «Управляемый процесс» 2-го уровня на 3-м уровне возможностей с помощью контролируемого и постоянно совершенствуемого процесса.

Наряду с определенными выше свойствами соответствие 3-му уровню возможностей демонстрируют следующие свойства процесса, именуемые как: РА 3.1 «Определение процесса», РА 3.2 «Развертывание процесса», РА 3.3 «Гарантии процесса» (см. 5.2.5.2—5.2.5.4).

5.2.5.2 РА 3.1 Свойство «Определение процесса»

Свойство «Определение процесса» характеризует степень внедрения и обновления процесса. В результате полного соответствия этого свойства предъявляемым требованиям аналитикам необходимо констатировать следующее:

а) внедрение и обновление процесса с соответствующими инструкциями по его доработке, в рамках свойства описание основных элементов, включаемых в определение процесса;

б) определение необходимых входов и ожидаемых выходов для процесса;

в) определение последовательности действий и взаимодействия процесса с другими процессами;

г) определение ролей, компетенций, ответственности и полномочий для реализации процесса;

д) определение ресурсов для реализации процесса;

е) определение и поддержка знаний, необходимых для реализации процесса.

Примечание — Знания могут быть основаны как на внутренних источниках (например, интеллектуальная собственность, накопленный опыт, усвоенные уроки и результаты усовершенствования процесса), так и на внешних источниках (например, стандарты, материалы научных сообществ, результаты конференций, требования заказчиков и предложения внешних поставщиков).

В процессе проработки меняющихся потребностей и тенденций следует учитывать необходимость приобретения или обеспечения доступа к соответствующим дополнительным знаниям и требуемым обновлениям.

5.2.5.3 РА 3.2 Свойство «Развертывание процесса»

Свойство «Развертывание процесса» характеризует ту степень, с которой рассматриваемый процесс разворачивается организацией в качестве процесса, определенного в достаточной степени для его реализации. В результате полного соответствия этого свойства предъявляемым требованиям аналитикам необходимо констатировать следующее:

а) определенный процесс разворачивается на базе соответствующим образом доработанного процесса;

б) распределение и доведение до участников соответствующих ролей, обязанностей и полномочий, необходимых для реализации определенного процесса;

в) подтверждение компетенций на базе соответствующего образования, подготовки и опыта у лиц, необходимых для реализации определенного процесса;

г) предоставление, контроль и измерение ресурсов, необходимых для реализации определенного процесса;

д) доступность документируемой информации для достижения ожидаемых результатов определенного процесса.

Примечание — Ответственность и полномочия распределяют по ролям или участникам процессов.

5.2.5.4 РА 3.3 Свойство «Гарантии процесса»

Свойство «Гарантии процесса» характеризует ту степень, с которой определенный процесс обеспечивает гарантии и свое непрерывное усовершенствование. В результате полного соответствия этого свойства предъявляемым требованиям аналитикам необходимо констатировать следующее:

а) выполнение сбора и анализа соответствующих данных и информации по результатам мониторинга и измерения процесса для оценки эффективности и рисков в процессе, а также для выявления потребностей и возможностей в интересах усовершенствования (при количественной оценке возможностей и их улучшения с применением методов вероятностного прогнозирования рисков согласно ГОСТ Р 59994);

б) определение и анализ критериев и методов, необходимых для обеспечения работы и гарантий, а также для пригодности, адекватности, эффективности и для удержания рисков в допустимых пределах;

10

ГОСТ Р 71438—2024

в) объективно обеспечивается соответствие определенного процесса установленным требованиям (а также связанной с ним деятельности, выходных данных и документируемой информации);

г) принятие мер в отношении любого несоответствия с учетом его характера и последствий, после чего отслеживаются вплоть до полного устранения выявленного несоответствия (с последующим контролем в установленные временные интервалы на предмет отсутствия повторения несоответствия);

д) непрерывное совершенствование рассматриваемого процесса на основе выявленных потребностей и возможностей.

Необходимо хранить документируемую информацию о любых выявленных несоответствиях с описанием предпринятых действий, полученных разрешительных документов и с указанием органа, принимающего решение о действиях в отношении несоответствия. В анализ документируемой информации входит анализ возможностей для последующего управления. Управление любыми действиями по корректировке результативности процесса осуществляется в рамках свойства «Управление результативностью процесса».

Примечание — Для устранения несоответствия может выполняться любое из следующих действий: исправление; разделение, ограничение или приостановка производства продукции или предоставления услуг; информирование заказчика; получение разрешения на приемку с несоответствиями; оценка необходимости и устранение причин с целью предотвращения повторного возникновения несоответствия.

5.2.6 4-й уровень возможностей процесса «Прогнозируемый процесс»

5.2.6.1 Общая информация

На 4-м уровне возможностей «Установленный процесс» 3-го уровня выполняется с использованием статистических методов и методов прогнозирования. В рамках 4-го уровня «Прогнозируемый процесс» необходимо идентифицировать количественные параметры управления, провести сбор и анализ данных измерения с целью выявления несоответствий и объяснения причин их возникновения. После определения причин несоответствий предпринимают необходимые корректирующие действия.

Наряду с определенными выше свойствами соответствие 4-му уровню возможностей процесса демонстрируют свойства, именуемые как РА 4.1 «Количественный анализ» и РА 4.2 «Количественный контроль» (см. 5.2.6.2, 5.2.6.3).

5.2.6.2 РА 4.1 Свойство «Количественный анализ»

Свойство «Количественный анализ» характеризует степень определения потребности в информации, выявления связей между элементами процесса и наличия собранных данных. В результате полного соответствия этого свойства предъявляемым требованиям аналитикам необходимо констатировать следующее:

а) определение потребности в информации о процессе для достижения заданных количественных бизнес-целей;

б) формулирование целей измерения процесса на базе потребности в информации;

в) определение отношений между теми элементами процесса, которые влияют на его результативность;

г) установление количественных целей реализации процессов для достижения соответствующих бизнес-целей;

д) определение необходимых измерений и частоты их проведения в соответствии с целями измерения процесса и количественными ориентирами в обеспечении результативности процесса;

е) выбор методов анализа собранных данных;

ж) сбор и проверка результатов измерений с последующей подготовкой отчетности для отслеживания степени достижения поставленных количественных целей.

Примечания

1 Как правило, информация должна отражать потребности, относящиеся к области управления, техническим вопросам, проектам, процессам и/или продукции.

2 Измерения можно проводить в отношении системы, процессов и/или продукции.

3 Для количественного анализа данных могут быть применены различные методы, используемые при количественной оценке возможностей процесса согласно ГОСТ Р 59341, ГОСТ Р 59989 — ГОСТ Р 59994.

5.2.6.3 РА 4.2 Свойство «Количественный контроль»

Свойство «Количественный контроль» характеризует степень объективности данных, используемых для управления предсказуемой результативностью процесса и ее контроля. В результате полно-

11

ГОСТ Р 71438—2024

го соответствия этого свойства предъявляемым требованиям аналитикам необходимо констатировать следующее:

а) определение посредством анализа собранных данных объективных причин несоответствий в ходе реализации процесса;

б) установление соответствующих показателей, которые характеризуют результативность процесса;

в) принятие для проработки причин несоответствий, корректирующих действий;

г) определение при необходимости отдельных показателей для анализа процесса под влиянием объективных причин несоответствий;

д) использование данных о результативности процесса для разработки прогнозируемых значений параметров процесса.

5.2.7 5-й уровень возможностей процесса «Инновационный процесс»

5.2.7.1 Общая информация

На 5-м уровне возможностей «Прогнозируемый процесс» 4-го уровня выполняется с использованием найденных инновационных подходов для непрерывного совершенствования.

Примечание — В ходе использования инноваций возможно внедрение новых процессов и методов, новых технологий, требующих иных процессов.

Наряду с определенными выше свойствами соответствие 5-му уровню возможностей процесса демонстрирует свойство, именуемое как РА 5.1 «Инновационность процесса».

5.2.7.2 РА 5.1 Свойство «Инновационность процесса»

Свойство «Инновационность процесса» характеризует ту степень, с которой изменения в определении и выполнении процесса, а также в контроле и управлении процессом эффективно реализованы на основе найденных инновационных подходов с использованием внутренних ресурсов и/или внешних идей в соответствии с определенными целями инноваций в процессе.

В результате полного соответствия этого свойства предъявляемым требованиям аналитикам необходимо констатировать следующее:

а) определение целей инноваций в процессе в соответствии с соответствующими бизнес-целями;

б) проведение анализа соответствующих данных с целью выявления возможностей для внедрения передовой практики и инноваций;

в) выявление возможностей для инноваций на базе новых технологий и идей по развитию процесса;

г) ввод стратегии реализации инноваций для достижения целей внедрения инноваций в процессе;

д) анализ влияния всех предполагаемых изменений с учетом целей процессов;

е) управление реализацией всех согласованных изменений с целью обеспечения понимания и проработки любых прерываний реализации процесса;

ж) оценка эффективности изменений процесса на базе фактического выполнения с учетом определенных требований к продукции, целей процесса и внедряемых инноваций.

5.3 Шкала рейтингов

В рамках описанной системы измерения свойство процесса характеризует его возможности. При экспертной оценке рейтинг свойства представляет собой некоторое субъективное суждение о степени возможностей процесса.

Свойство процесса оценивает эксперт на качественном уровне с использованием нижеприведенной порядковой шкалы.

N — обозначение рейтинга «Несоответствие»: наличие соответствия определенного свойства оцениваемого процесса указанным требованиям в незначительном количестве или их отсутствие. Рейтинг «Несоответствие» устанавливается, когда степень соответствия составляет от 0 % до 15 % включительно.

Р — обозначение рейтинга «Частичное соответствие»: наличие метода оценки и некоторых свидетельств соответствия свойства определенного процесса указанным требованиям в ходе его оценки. Некоторые аспекты соответствия свойства процесса требованиям могут быть непрогнозируемыми. Рейтинг «Частичное соответствие» устанавливается, когда степень соответствия составляет от 15 % до 50 % включительно.

12

ГОСТ Р 71438—2024

L — обозначение рейтинга «Значительная степень соответствия»: наличие системного метода оценки и значительного соответствия свойства определенного процесса указанным требованиям в ходе его оценки. В данном свойстве могут присутствовать некоторые недостатки. Рейтинг «Значительная степень соответствия» устанавливается, когда степень соответствия составляет от 50 % до 85 % включительно.

F — обозначение рейтинга «Полное соответствие»: наличие системного метода оценки и полного соответствия свойства определенного процесса указанным требованиям в ходе его оценки. В данном свойстве оцениваемого процесса отсутствуют недостатки. Рейтинг «Полное соответствие» устанавливается, когда степень соответствия составляет от 85 % до 100 %.

Примечание — Для преемственности с международными и национальными стандартами, разработанными с учетом стандартов, объектом стандартизации которых является оценка процессов, в порядковой шкале рейтингов сохранены задействованные ранее обозначения первых букв от англоязычных терминов: N (Not achieved), Р (Partially achieved), L (Largely achieved), F (Fully achieved).

Для определенных ниже рейтингов Р и L порядковая шкала может быть расширена, например:

Р- — обозначение рейтинга «Частичное соответствие-»: наличие метода оценки и частичного соответствия свойства определенного процесса указанным требованиям в ходе его оценки. Многие аспекты соответствия свойства процесса могут быть непрогнозируемыми. Рейтинг «Частичное соответствие-» устанавливается, когда степень соответствия составляет от 15,0 % до 32,5 % включительно;

Р+ — обозначение рейтинга «Частичное соответствие+»: наличие метода оценки и частичного соответствия свойства определенного процесса требованиям в ходе его оценки. Некоторые аспекты соответствия свойства процесса могут быть непрогнозируемыми. Рейтинг «Частичное соответствие+» устанавливается, когда степень соответствия составляет от 32,5 % до <50,0 % включительно;

L- — обозначение рейтинга «Значительная степень соответствия-»: наличие системного метода оценки и значительного соответствия свойства определенного процесса требованиям в ходе его оценки. В данном свойстве оцениваемого процесса могут присутствовать многочисленные недостатки. Рейтинг «Значительная степень соответствия-» устанавливается, когда степень соответствия составляет от 50,0 % до 67,5 % включительно;

L+ — обозначение рейтинга «Значительная степень соответствия+»: наличие системного метода оценки и значительного соответствия свойства определенного процесса требованиям в ходе его оценки. В данном свойстве оцениваемого процесса могут присутствовать некоторые недостатки. Рейтинг «Значительная степень соответствия+» устанавливается, когда степень соответствия составляет от 67,5 % до 85,0 % включительно.

Примечание — С учетом специфики организации и выпускаемой продукции или оказываемых услуг количественные границы рейтингов могут отличаться от приведенных в 5.3. В этом случае границы устанавливаются, утверждаются и оформляются документально непосредственно организацией.

5.4 Способ определения рейтингов

5.4.1 Общая информация

Способ определения рейтингов свойств применим для оценки возможностей процесса методом экспертной оценки.

Результат реализации процесса — это наблюдаемый результат достигнутой цели процесса. Результат измерения свойства процесса — это наблюдаемый результат соответствия свойства предъявляемым требованиям, характеризующий возможности процесса.

Результаты реализации процесса и результаты измерения свойств процесса могут быть использованы как исходные данные для формирования рейтинга свойств процесса.

В зависимости от класса по ГОСТ Р ИСО/МЭК 33002, охвата и контекста оценки могут быть использованы различные способы экспертного присвоения рейтингов. Ведущий аналитик должен принять решение о том, какой способ присвоения рейтинга применяют. Выбранный способ указывают в исходных данных оценки и в отчете об оценке.

5.4.2 Рейтинговый способ R1

Этот способ оценки свойства процесса должен удовлетворять следующим условиям:

а) результат процесса характеризуется для каждого варианта процесса на основе подтвержденных данных;

13

ГОСТ Р 71438—2024

б) результат каждого свойства характеризуется для каждого варианта процесса на основе подтвержденных данных;

в) характеристики результатов процесса для всех оцениваемых вариантов процесса обобщаются с целью получения оценки соответствия свойства требованиям по результативности процесса;

г) характеристики свойств процесса для всех оцениваемых вариантов процесса обобщаются с целью получения оценки соответствия свойств процесса предъявляемым требованиям.

5.4.3 Рейтинговый способ R2

Этот способ оценки свойства процесса должен удовлетворять следующим условиям:

а) свойство процесса характеризуется для каждого варианта процесса на основе подтвержденных данных;

б) характеристики свойств процесса для всех оцениваемых вариантов процесса обобщаются с целью получения оценки соответствия свойств процесса предъявляемым требованиям.

5.4.4 Рейтинговый способ R3

Присвоение рейтингов свойствам процесса в вариантах оцениваемых процессов проводят без обобщения.

5.5 Способ обобщения рейтингов

5.5.1 Общая информация

При обобщении рейтинги могут быть суммированы по одному или двум измерениям. Например, при присвоении рейтинга свойству рассматриваемого процесса можно обобщить рейтинги соответствующих результатов оценки свойства, и такое обобщение будет выполнено вертикально (одно измерение). При присвоении рейтинга результату рассматриваемого процесса по нескольким вариантам его построения и реализации можно обобщить рейтинги соответствующих вариантов процесса для данного свойства, и такое обобщение будет выполнено горизонтально (одно измерение). При присвоении рейтинга свойству рассматриваемого процесса можно обобщать рейтинги всех результатов для всех вариантов процесса, и такое обобщение будет выполнено матрично для всех рейтингов (два измерения).

В зависимости от класса по ГОСТ Р ИСО/МЭК 33002, охвата и контекста оценки могут быть использованы различные способы обобщения рейтингов. Ведущий аналитик должен принять решение о том, какой способ обобщения рейтинга используется. Выбранный метод обобщения указывают в исходных данных оценки и в отчете об оценке.

При присвоении рейтингов свойствам процесса используют порядковую шкалу. Аналитик может принять решение о вынесении экспертного суждения относительно обобщения рейтингов.

Примечание — Способ обобщения предусматривает преобразование порядковых рейтингов в значения интервала. Обоснованность такого преобразования из порядковых рейтингов в значения интервала зависит от двух условий:

а) порядковая шкала должна быть ограничена таким образом, чтобы порядковые значения были распределены равномерно. Шкала рейтингов, определяемая настоящим стандартом, должна соответствовать требованию о равномерном распределении;

б) должны быть предоставлены свидетельства достаточности размера выборки с целью получения объективной точности порядковых значений. Это условие выполняется для оценок класса 1 и класса 7 по ГОСТ Р ИСО/МЭК 33002, жесткие параметры которых требуют использования выборки достаточного размера.

Когда эти условия удовлетворяются, порядковые рейтинги можно преобразовать в значения интервалов следующим образом: N>0;P>1;L>2;F>3 или N > 0; Р- > 1; Р+ > 2; L- > 3; L+ > 4; F > 5.

5.5.2 Одномерные способы обобщения

5.5.2.1 Общая информация

После преобразования порядковых рейтингов в значения интервалов с целью получения обобщенного рейтинга можно применить один из нижеприведенных способов обобщения по измерениям.

5.5.2.2 Обобщение по одному измерению с использованием среднего арифметического значения

Обобщение можно провести путем расчета среднего арифметического (среднего) значения рейтингов значений интервала, округления результата до ближайшего целого числа и преобразования результата обратно в соответствующий рейтинг. При округлении значение интервала будет округлено до ближайшего меньшего целого числа, если среднее значение меньше срединного значения между идущими подряд целыми числами. Среднее значение будет округлено в большую сторону, если оно равно срединному значению между двумя идущими подряд целыми числами или превышает его.

14

ГОСТ Р 71438—2024

5.5.2.3 Обобщение по одному измерению с использованием медианы

Обобщение может быть проведено путем расчета медианы рейтингов значений интервалов. При этом данные распределяют по порядку от меньших к большим. Если количество чисел в данных нечетное, то медианой будет срединное значение. Если количество чисел в данных четное, то в качестве среднего арифметического (среднего) значения выбирают два срединных значения. Если количество рейтингов четное, а процесс получения среднего значения двух срединных чисел дает вещественное число, то округление проводят до целого числа с применением описанных выше правил.

5.5.3 Двухмерные способы обобщения

5.5.3.1 Общая информация

Если анализируют несколько вариантов процесса, то может оказаться необходимым суммировать рейтинги по двум измерениям.

Для конкретного процесса результаты нескольких его вариантов можно обобщить и сформировать общий рейтинг свойств процесса.

Этого можно достичь либо путем вынесения экспертной оценки аналитиками, либо с использованием способа обобщения.

Примечание — Не следует исключать вынесение экспертной оценки незамедлительно, так как возможны ситуации, когда при незначительном количестве вариантов процесса могут возникать существенно отклоняющиеся значения (например, если проекты инициированы до запуска проекта совершенствования процесса, либо если некоторые проекты не отвечают жестким требованиям формального процесса).

После преобразования порядковых рейтингов в значения интервалов можно применить один из следующих способов обобщения по двум измерениям с целью получения обобщенного рейтинга (см. 5.5.3.2, 5.5.3.3).

5.5.3.2 Обобщение по двум измерениям с использованием среднего арифметического значения

Обобщение можно осуществить путем расчета среднего арифметического значения по матрице всех рейтингов (выраженных с помощью значений числовых интервалов) и преобразования результата обратно в имеющийся порядковый рейтинг. При выполнении обобщения не допускается использования средних значений, которые были сформированы от средних значений, так как этот способ может оказаться статистически некорректным.

5.5.3.3 Обобщение по двум измерениям с использованием эвристических правил

Обобщение рейтингов может быть выполнено с помощью определенного набора правил.

5.6 Модель уровня возможностей на основе рейтингов

По методу оценки достигнутый процессом уровень его возможностей определяют по рейтингам свойств рассматриваемого процесса в соответствии с принятой вербальной моделью уровня возможностей. Пример уровня возможностей процесса на основе рейтинга представлен в таблице 1.

Таблица 1 — Пример уровня возможностей процесса на основе рейтинга

Шкала

Свойства процесса

Рейтинг

Уровень 1

«Выполняемый процесс»

Результативность процесса

Значительная или полная

Уровень 2

«Управляемый процесс»

Результативность процесса

Управление результативностью

Управление документируемой информацией

Полная

Значительное или полное

Значительное или полное

Уровень 3

«Установленный процесс»

Результативность процесса

Управление результативностью

Управление документируемой информацией

Определение процесса

Развертывание процесса

Контроль процесса

Полная

Полное

Полное

Значительное или полное

Значительное или полное

Значительный или полный

15

ГОСТ Р 71438—2024

Окончание таблицы 1

Шкала

Свойства процесса

Рейтинг

Уровень 4

«Прогнозируемый процесс»

Результативность процесса

Управление результативностью

Управление документируемой информацией

Определение процесса

Развертывание процесса

Контроль процесса

Количественный анализ

Количественный контроль

Полная

Полное

Полное

Полное

Полное

Полный

Значительный или полный

Значительный или полный

Уровень 5

«Инновационный процесс»

Результативность процесса

Управление результативностью

Управление документируемой информацией

Определение процесса

Развертывание процесса

Контроль процесса

Количественный анализ

Количественный контроль

Инновационность процесса

Полная

Полное

Полное

Полное

Полное

Полный

Полный

Полный

Значительная или полная

5.7 Модель уровня возможностей на основе прогнозирования рисков

5.7.1 Общее описание метода количественной оценки с использованием вероятностного прогнозирования рисков

Метод основан на математическом моделировании процесса и построении вероятностного пространства для прогнозирования возможных событий с учетом требований ГОСТ Р 57193, ГОСТ Р 58606, ГОСТ Р 59329 — ГОСТ Р 59342, ГОСТ Р 59344 — ГОСТ Р 59357, ГОСТ Р 59989 — ГОСТ Р 59994, ГОСТ Р МЭК 61069-1 — ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2. В этом случае процесс формализуется как моделируемая система и строится математическая модель этой рассматриваемой системы (т. е. модель рассматриваемого процесса). Для этой моделируемой системы решение задач анализа возможностей процесса осуществляют с использованием формализованной модели, позволяющей оценивать качество ее функционирования (т. е. по сути в рамках формализации проводят анализ качества реализации процесса), исследовать критичные сущности процесса в условиях его создания и/или применения, а также учитывающей структурные связи между элементами формализованного представления и задаваемые условия и ограничения (см. 3.6). За основу формализации рекомендуется использовать (в общем случае не ограничиваясь только ими) модели для стандартных процессов по ГОСТ Р 59329 — ГОСТ Р 59357, ГОСТ Р 59989 — ГОСТ Р 59994. При этом процесс может быть охарактеризован набором свойств по 5.2 в условиях угроз этим свойствам, ведущим к нарушению нормальной реализации процесса (см. приложение Г).

Применение метода позволяет поддерживать аналитическое решение следующих задач по ГОСТ Р 59989 — ГОСТ Р 59994:

- прогнозирования рисков, интерпретации и анализа приемлемости получаемых результатов, включая сравнение достигаемых или прогнозируемых значений показателей с допустимым уровнем на предмет выполнения задаваемых ограничений;

- определения с использованием моделирования существенных угроз и условий, способных при различном развитии событий в жизненном цикле негативно повлиять на свойства рассматриваемой системы;

- определения и обоснования с использованием моделирования в жизненном цикле системы упреждающих мер противодействия угрозам и условий, обеспечивающих достижение свойств рассматриваемой системы при задаваемых ограничениях в задаваемый период прогноза;

- обоснования с использованием моделирования предложений по обеспечению и повышению качества и/или эффективности рассматриваемой системы в ее жизненном цикле.

При наличии исходных данных метод принимают в качестве основного для оценки возможностей стандартизованных процессов.

Типовые показатели и ссылки на математические модели и методы прогнозирования рисков для количественной оценки возможностей процессов приведены в приложении Д, рекомендации по опре-16

ГОСТ Р 71438—2024

делению допустимых значений рисков для оценивания достижимости нормальной реализации процессов — в приложении Е.

5.7.2 Математическое моделирование уровня возможностей процесса

Модель распространяется на стандартизованные процессы, реализуемые в жизненном цикле системы согласно ГОСТ Р 57193, ГОСТ Р 59329 — ГОСТ Р 59357, ГОСТ Р 59989 — ГОСТ Р 59994. В общем случае применительно к системам различного функционального назначения математическому моделированию подлежат следующие стандартные процессы:

- процессы соглашения — процессы приобретения и поставки продукции и услуг для системы;

- процессы организационного обеспечения проекта — процессы управления моделью жизненного цикла, инфраструктурой, портфелем проектов, человеческими ресурсами, качеством, знаниями;

- процессы технического управления — процессы планирования проекта, оценки и контроля проекта, управления решениями, рисками, конфигурацией, информацией, измерений, гарантии качества;

- технические процессы — процессы анализа бизнеса или назначения, определения потребностей и требований заинтересованной стороны, определения: системных требований, архитектуры, проекта, а также процесса системного анализа, реализации, комплексирования, верификации, передачи системы, аттестации, функционирования, сопровождения, изъятия и списания системы.

При моделировании уровня возможностей процесса по методу количественной оценки с использованием вероятностного прогнозирования рисков в дополнение к выявлению наборов свойств по 5.2 основные усилия сосредоточивают:

- на определении потенциальных угроз и возможных сценариев возникновения и развития угроз для рассматриваемого процесса в системе (процесс может дополнительно характеризоваться свойствами согласно 5.2 ) — пример перечня угроз приведен в приложении Г;

- определении и прогнозировании частных и интегрального рисков для рассматриваемого процесса, подлежащих системному анализу — перечень частных и интегрального рисков или ссылки на них приведен в приложении Д;

- определении допустимых значений рисков для оценивания достижимости нормальной реализации процесса — ссылки на допустимые уровни рисков приведен в приложении Е;

- оценивании достижимости нормальной реализации возможностей процесса путем сравнения прогнозируемых и допустимых рисков.

Примечание — На практике получаемые результаты используют также при решении задач системной инженерии, включая обоснование мер, направленных на практическое противодействие угрозам и достижение поставленных целей.

Критерии для определения уровня возможностей процесса основаны на сравнении прогнозируемых рисков со значениями допустимых рисков в их вероятностном выражении по ГОСТ Р 59329 — ГОСТ Р 59357, ГОСТ Р 59989 — ГОСТ Р 59994 (ссылки на риски и допустимые уровни см. в приложениях Д, Е). Предельные значения допустимых рисков могут быть обоснованы по прецедентному принципу (см. ГОСТ Р 59339, ГОСТ Р 59991) или с ориентацией на реальную или гипотетичную систему-эталон (см. приложение Е).

Требования к целостности системы при принимаемых рисках, свойственных системе-эталону, являются наиболее жесткими, они не учитывают специфики рассматриваемой системы, так как ориентированы на мировые технические и технологические достижения для удовлетворения требований заинтересованных сторон. Полной проверке на соответствие этим требованиям подлежат система в целом, составляющие ее подсистемы и реализуемые процессы жизненного цикла. Выполнение этих требований является гарантией обеспечения качества и безопасности рассматриваемой системы. Вместе с тем, проведение работ по оценке возможностей процессов и непосредственно системы с ориентацией на риски, свойственные системе-эталону, характеризуется существенно большими затратами по сравнению с требованиями, ориентируемыми на допустимые риски, обоснованные по прецедентному принципу. Это заведомо удорожает разработку системы, увеличивает время до ее принятия в эксплуатацию и, как следствие, возрастает стоимость эксплуатации системы.

Требования к целостности системы при допустимых рисках, свойственных конкретной системе или ее аналогу и обоснованных по исключительному принципу, являются менее жесткими, а их реализация — менее дорогостоящей по сравнению с требованиями для рисков, свойственных системе-эталону. Использование данного типа требований обусловлено тем, что на практике может оказаться нецелесообразной (из-за использования ранее зарекомендовавших себя технологий, по экономическим или по иным соображениям) или невозможной ориентация на допустимые риски, свойственные

17

ГОСТ Р 71438—2024

системе-эталону. Вследствие этого минимальной гарантией достаточности уровня возможностей процессов и целостности всей системы является выполнение требований при допустимом риске заказчика, обосновываемом по прецедентному принципу.

При этом период прогноза для расчетных показателей подбирают таким образом, чтобы вероятностные значения рисков не превышали допустимые; более того, в этот период должна существовать возможность упреждающего управления для снижения рисков. В этом случае для задаваемых при моделировании условий имеет место гарантия нормальной реализации системных процессов в течение задаваемого периода прогноза.

Достигаемый процессами уровень их возможностей по методу количественной оценки с использованием вероятностного прогнозирования рисков определяют по формальным критериям путем сравнения прогнозируемых рисков с допустимыми значениями (см. таблицу 2). При этом учитывают, что по мере повышения уровня возможностей, начиная с уровня «Незавершенный процесс» (при котором процесс не достигает ожидаемых результатов) и заканчивая уровнем «Инновационный процесс» (при котором процесс постоянно совершенствуется в соответствии с происходящими в организации изменениями), появляются не только новые свойства, но и более эффективные способы противодействия угрозам, в том числе благодаря внедрению инновационных решений. Именно за счет этого логично ожидать снижения рисков нарушения нормальной реализации процессов.

Таблица 2 — Уровень возможностей процесса на основе прогнозируемых рисков

Шкала

Критерии для определения уровня возможностей процесса путем сравнения прогнозируемых рисков с допустимыми в вероятностном выражении по ГОСТ Р 59329 — ГОСТ Р 59357, ГОСТ Р 59989 — ГОСТ Р 59994 (ссылки на риски и допустимые уровни см. в приложениях Д, Е)

для частных рисков

для интегрального риска

Уровень 1 «Выполняемый процесс»

Отдельные частные риски не превышают допустимого уровня при ориентации на обоснование по прецедентному принципу для периода прогноза, обеспечивающего возможность управления. Некоторые возможности управления для снижения отдельных частных рисков в этот период сохраняются. Отдельные показатели, характеризующие качество используемой информации (надежность и своевременность предоставления, полноту, достоверность и безопасность информации) не хуже допустимого уровня при ориентации на обоснование по прецедентному принципу. Некоторые возможности управления по усовершенствованию отдельных показателей качества используемой информации сохраняются.

По остальным показателям расчетные значения показателей качества используемой информации хуже по сравнению с допустимыми, при этом упреждающее управление невозможно

Интегральный риск превышает допустимый уровень при ориентации на обоснование по прецедентному принципу за период прогноза, обеспечивающего возможность упреждающего управления и совпадающего с периодом прогноза для частных рисков. При существенном сокращении периода прогноза (например, в несколько раз меньше по сравнению с периодом прогноза для частных рисков) риски уменьшаются, но оказывается невозможным упреждающее управление в этот период, или интегральный риск по-прежнему превышает допустимый уровень при ориентации на обоснование по прецедентному принципу

18

ГОСТ Р 71438—2024

Продолжение таблицы 2

Шкала

Критерии для определения уровня возможностей процесса путем сравнения прогнозируемых рисков с допустимыми в вероятностном выражении по ГОСТ Р 59329 — ГОСТ Р 59357, ГОСТ Р 59989 — ГОСТ Р 59994 (ссылки на риски и допустимые уровни см. в приложениях Д, Е)

для частных рисков

для интегрального риска

Уровень 2 «Управляемый процесс»

Все частные риски не превышают допустимого уровня при ориентации на обоснование по прецедентному принципу для периода прогноза, обеспечивающего возможность упреждающего управления.

Все показатели, характеризующие качество используемой информации (надежность и своевременность предоставления, полноту, достоверность и безопасность информации) не хуже допустимого уровня при ориентации на обоснование по исключительному принципу. Имеют место возможности упреждающего управления по улучшению показателей качества используемой информации

Интегральный риск превышает допустимый уровень при ориентации на обоснование по прецедентному принципу за период прогноза, обеспечивающего возможность упреждающего управления и совпадающего с периодом прогноза для частных рисков. Но при существенном сокращении периода прогноза до такой длительности (например, в несколько раз меньше по сравнению с периодом прогноза для частных рисков), при которой еще возможно упреждающее управление в этот период, интегральный риск снижается до уровня, не превышающего допустимый уровень при ориентации на обоснование по прецедентному принципу

Уровень 3 «Установленный процесс»

Все частные риски не превышают допустимого уровня при ориентации на обоснование по прецедентному принципу для периода прогноза, обеспечивающего возможность упреждающего управления и совпадающего с периодом прогноза для интегрального риска.

Все показатели, характеризующие качество используемой информации (надежность и своевременность предоставления, полноту, достоверность и безопасность информации) не хуже допустимого уровня при ориентации на обоснование по прецедентному принципу. Имеют место возможности упреждающего управления по улучшению показателей качества используемой информации

Интегральный риск не превышает допустимого уровня при ориентации на обоснование по прецедентному принципу за период прогноза, обеспечивающего возможность упреждающего управления и совпадающего с периодом прогноза для частных рисков

Уровень 4 «Прогнозируемый процесс»

Все частные риски не превышают допустимого уровня при ориентации на обоснование по прецедентному принципу для периода прогноза, обеспечивающего возможность упреждающего управления и совпадающего с периодом прогноза для интегрального риска.

Все показатели, характеризующие качество используемой информации (надежность и своевременность предоставления, полноту, достоверность и безопасность информации) не хуже допустимого уровня при ориентации на обоснование для системы-эталона. Имеют место возможности упреждающего управления по улучшению показателей качества используемой информации

Интегральный риск не превышает допустимого уровня при ориентации на обоснование по прецедентному принципу за период прогноза, обеспечивающего возможность упреждающего управления и совпадающего с периодом прогноза для частных рисков

19

ГОСТ Р 71438—2024

Окончание таблицы 2

Шкала

Критерии для определения уровня возможностей процесса путем сравнения прогнозируемых рисков с допустимыми в вероятностном выражении по ГОСТ Р 59329 — ГОСТ Р 59357, ГОСТ Р 59989 — ГОСТ Р 59994 (ссылки на риски и допустимые уровни см. в приложениях Д, Е)

для частных рисков

для интегрального риска

Уровень 5 «Инновационный процесс»

Все частные риски не превышают допустимого уровня при ориентации на обоснование для системы-эталона за период прогноза, обеспечивающего возможность упреждающего управления и совпадающего с периодом прогноза для интегрального риска.

Все показатели, характеризующие качество используемой информации (надежность и своевременность предоставления, полноту, достоверность и безопасность информации) не хуже допустимого уровня при ориентации на обоснование для системы-эталона

Интегральный риск не превышает допустимого уровня при ориентации на обоснование для системы-эталона за период прогноза, обеспечивающего возможность упреждающего управления и совпадающего с периодом прогноза для частных рисков

Показатели, необходимые для применения формальных критериев, приведенные в таблице 2, модели и методы их расчета ссылочно представлены в приложении Д, а допустимые значения рисков для оценивания достижимости нормальной реализации процессов приведены в приложении Е.

20

ГОСТ Р 71438—2024

Приложение А (справочное)

Согласованность положений системы измерения процесса для метода экспертной оценки

А.1 Требования соответствия

А.1.1 Общие положения

В настоящем приложении рассмотрена согласованность положений системы измерения процесса при использовании метода экспертной оценки возможностей процесса. Представленные ниже требования приведены в ГОСТ Р ИСО/МЭК 33003.

А.1.2 Основная идея

Свойства процесса необходимы для формирования тех возможностей процесса, которые дают представление относительно их уровня. Свойства процесса проявляются путем оценки и демонстрации соответствующих достигаемых результатов (см. рисунок А.1).

Информационные

Результаты проявления свойств процесса

Рисунок А.1 — Формирующие и информационные оценки возможностей процесса

Основной вопрос заключается в том, что возможности процесса в большей степени определены его свойствами. Так, например, с помощью возможностей процесса не представляется возможным сделать вывод о чем-либо, что касается результативности организации.

Характеристика качества процесса в системе измерения определяется как набор свойств процесса. Система измерения процесса представляет собой набор элементов для измерения девяти свойств процесса. Характеристики, определяемые каждым свойством процесса, описаны в разделе 5.

Примечание — В ГОСТ Р ИСО/МЭК 33003 для описания набора свойств использовано понятие «конструкция».

Свойства процесса в рассматриваемой системе измерения являются формирующими. Система измерения процессов документирует политики и допущения, определяющие ее применение (см. разделы 1,4, 5).

А.1.3 Описание элементов

Элементы измерения наполняются значениями характеристик качества процесса и свойств процесса в системе измерения процесса. Значения характеристик и практическое применение характеристик качества процесса и его свойств, а также шкалы составных измерений в системе измерений приведены в разделе 5.

21

ГОСТ Р 71438—2024

По меньшей мере одно из свойств результативности процесса включает в себя достижение определенной цели и результата процесса. Свойство результативности процесса (РА 1.1) включает в себя соответствие определенной цели процесса за счет достижения результатов процесса.

А.1.4 Практическое применение

Определения свойств процесса приведены в 5.2 и соответствуют общему подходу, описанному в 5.1.

В рамках свойства результативности процесса соответствие результатов процесса требованиям может демонстрироваться объективными свидетельствами. Для других свойств процесса соответствие может демонстрироваться на основе объективных свидетельств с привлечением результатов оценки.

А.1.5 Проверка свойств

Характеристики качества реализации процесса и соответствующих свойств процесса проверяют путем практического использования и логического обоснования.

Каждое свойство процесса анализируют на практике за счет набора базовых и производных измерений исходя из класса оценки по ГОСТ Р ИСО/МЭК 33002 (см. 5.4.1).

А.1.6 Рейтингование

Свойствам процесса присваивают рейтинги по шкале рейтингов. Для базовых измерений может быть использована порядковая шкала. Определяют тот метод измерения, с помощью которого проводят объективное присвоение значения каждому измерению (см. 5.3).

А.1.7 Обобщение

Следует указывать все обобщения, необходимые в рамках системы измерений, а также методы обобщения. Методы обобщения должны быть проверены статистически. В методах обобщения должны быть использованы согласованные шкалы. Методы обобщения должны отвечать политикам и допущениям системы измерения, а также спецификациям характеристик качества процесса (см. 5.5).

А.2 Требования к надежности и обоснованности систем измерения процессов

Планирование степени надежности и обоснованности систем измерения процессов осуществляют на начальных этапах ее формирования.

Согласованность в системе измерения процесса анализируют в приложении к свойствам процесса. Обоснованность проверяют для характеристик качества процесса и свойств процесса. Выполнение требований к характеристикам качества процесса и соответствующих свойств процесса проверяют эмпирически.

А.З Соответствие

Система измерения процесса должна соответствовать требованиям и рекомендациям настоящего стандарта.

22

ГОСТ Р 71438—2024

Приложение Б (справочное)

Пример набора показателей для оценки возможностей

Б.1 Уровни возможностей процесса

Возможности процесса оценивают по шестизначной порядковой шкале, начиная с нижнего уровня («Незавершенный процесс») и заканчивая уровнем («Инновационный процесс»). Шкала отражает расширение возможностей реализованного процесса, начиная с несоответствия цели процесса, проходя стадии его непрерывного улучшения и достижения того уровня, при котором процесс получает способность реагировать на происходящие в организации изменения.

Б.2 0-й уровень возможностей процесса «Незавершенный процесс» (см. 5.2.2)

Процесс не реализован либо не соответствует своей цели.

На этом уровне свидетельства систематического достижения цели процесса доступны в незначительном количестве или отсутствуют.

Б.З 1-й уровень возможностей процесса «Выполняемый процесс» (см. 5.2.3)

РА 1.1 свойство «Результативность процесса» демонстрирует достижение этого уровня (см. 5.2.3.2).

Общепринятое действие для РА 1.1 следующее:

РА. 1.1 Действие 1 связано с достижением результатов процесса и включает определение соответствующих свидетельств, подтверждающих достижение целевых результатов процесса.

Б.4 2-й уровень возможностей процесса «Управляемый процесс» (см. 5.2.4)

Б.4.1 Наряду со свойством «Результативность процесса» соответствие 2-му уровню возможностей демонстрируют свойства РА 2.1 «Управление результативностью процесса» и РА 2.2 «Управление документируемой информацией» (см. 5.2.4.2, 5.2.4.3, Б.4.2, Б.4.3).

Б.4.2 Общепринятые действия 1—7 для РА 2.1 свойство «Управление результативностью процесса» приведены ниже.

РА 2.1 Действия 1 связаны с определением ожидаемых результатов и включают:

- определение ожидаемых результатов;

- определение целей для достижения результативности процесса с учетом допущений и ограничений;

- доведение ожидаемых результатов до сведения вовлеченных сторон.

Примечание — Цели процесса (для достижения результативности) обычно задают для ресурсов, объема усилий, графика выполнения и непосредственного результата.

РА 2.1 Действия 2 связаны с определением и снижением рисков и включают:

- идентификацию тех рисков, которые могут повлиять на выполнение процесса, оценка рисков на предмет потенциала их воздействия;

- планирование и выполнение действий по снижению рисков;

- отслеживание рисков и документирование действий по противодействию угрозам на протяжении всего процесса.

РА 2.1 Действия 3 связаны с планированием реализации процесса и включают:

- формирование одного или нескольких планов реализации процесса;

- определение выполняемых задач;

- определение графиков и этапов выполнения, согласование;

- планирование анализа документируемой информации.

РА 2.1 Действия 4 связаны с контролем реализации процесса и включают:

- задание показателей результативности процесса;

- осуществление мониторинга результативности процесса, контроль результатов;

- принятие действий реагирования в случае недостижения ожидаемых результатов;

- корректировка плана(ов), при необходимости корректировка графиков.

РА 2.1 Действия 5 связаны с назначениями и включают:

- определение обязанностей и полномочий по выполнению процесса и доведение их до сведения соответствующих лиц (определение необходимых компетенций на основе обязанностей);

- обеспечение компетенций для управления процессом и его выполнения.

РА 2.1 Действия 6 связаны с обеспечением ресурсами и включают:

- определение способов обеспечения человеческих и инфраструктурных ресурсов, необходимых для реализации процесса согласно планам;

- определение и предоставление информации, необходимой для реализации процесса;

23

ГОСТ Р 71438—2024

- проведение измерений и осуществление мониторинга использования ресурсов для выявления возможных несоответствий.

РА 2.1 Действия 7 связаны с управлением взаимодействиями и включают:

- определение лиц и групп, участвующих в выполнении процесса;

- распределение обязанностей среди участвующих сторон;

- обеспечение связей и эффективной коммуникации между участвующими сторонами.

Б.4.3 Общепринятые действия 1—5 для РА 2.2 свойство «Управление документируемой информацией» приведены ниже.

РА 2.2 Действия 1 связаны с определением общих требований и включают:

- определение требований к формируемой документируемой информации (в т. ч. определение содержания и структуры);

- определение показателей качества документируемой информации;

- определение соответствующих критериев оценки качества и утверждения документируемой информации.

РА 2.2 Действия 2 связаны с требованиями к контролю и включают:

- определение требований к контролю документируемой информации (в т. ч. требований к ее распространению, идентификации и прослеживаемости);

- определение зависимостей в рамках документируемой информации;

- определение требований к утверждению документируемой информации, подлежащей контролю.

РА 2.2 Действия 3 связаны с идентификацией и контролем качества и включают:

- определение документируемой информации, подлежащей контролю;

- контроль изменений;

- идентификацию и контроль документируемой информации в соответствии с требованиями;

- управление конфигурацией документируемой информации (если применимо);

- отслеживание пересмотра документируемой информации.

РА 2.2 Действия 4 связаны с анализом информации и включают:

- проверку документируемой информации на соответствие установленным требованиям;

- решение вопросов, возникающих в результате анализа документируемой информации.

РА 2.2 Действия 5 связаны с сохранением и использованием для демонстрации и включают:

- определение документируемой информации, необходимой для подтверждения результативности процесса;

- использование документируемой информации для демонстрации соответствия продукции и (или) услуг соответствующим требованиям.

Б.5 3-й уровень возможностей процесса «Установленный процесс» (см. 5.2.5)

Б.5.1 Наряду с определенными свойствами по Б.2 — Б.4 соответствие 3-му уровню возможностей демонстрируют свойства: РА 3.1 «Определение процесса»; РА 3.2 «Развертывание процесса»; РА 3.3 «Гарантии процесса» (см. 5.2.5.2 — 5.2.5.4, Б.5.2 — Б.5.4).

Б.5.2 Общепринятые действия 1—6 для РА 3.1 свойство «Определение процесса» приведены ниже.

РА 3.1 Действия 1 связаны с созданием и поддержкой для развертывания процесса и включают:

- разработку рассматриваемого процесса;

- определение потребностей в развертывании процесса и условий развертывания;

- формирование рекомендаций и (или) процедур для развертывания процесса, его адаптации и поддержки.

РА 3.1 Действия 2 связаны с определением элементов и ожидаемых результатов и включают:

- определение необходимых элементов, включая требуемую информацию;

- определение ожидаемых результатов;

- определение критериев запуска и остановки процесса (по мере необходимости).

РА 3.1 Действия 3 связаны с интеграцией процессов и включают:

- определение последовательности реализации процесса и его взаимодействие с другими процессами;

- развертывание определенного процесса для поддержки целостности системы.

РА 3.1 Действия 4 связаны с установлением ролей и включают:

- определение ролей и соответствующих компетенций для реализации процесса;

- определение полномочий, необходимых для выполнения обязанностей.

РА 3.1 Действия 5 связаны с установлением ресурсов и включают:

- определение состава соответствующих ресурсов;

- определение требований к качеству ресурсов:

- определение компонентов инфраструктуры процесса (средств и оборудования, инструментариев, сетей, методов и т. д.);

- определение требований к рабочей среде.

РА 3.1 Действия 6 связаны с обеспечением знаний и включают определение и поддержание знаний на уровне, необходимом и достаточном для реализации процесса.

24

ГОСТ Р 71438—2024

Примечание — Под «знаниями» подразумеваются теоретическое и/или практическое понимание предмета, факты, информация и навыки, приобретенные в результате накопленного опыта или образования.

Б.5.3 Общепринятые действия 1—4 для РА 3.2 «Развертывание процесса» приведены ниже.

РА 3.2 Действия 1 связаны с ориентацией процесса на результаты и включают:

- адаптацию определенного процесса надлежащим образом на достижимые цели;

- установление критериев проверки соответствия определенного процесса нормативным требованиям;

- использование определенного процесса для достижения ожидаемых результатов.

РА 3.2 Действия 2 связаны с назначениями и включают:

- определение критериев компетентности для необходимых ролей в процессе;

- распределение и доведение соответствующих ролей до участников для реализации определенного процесса;

- распределение и доведение обязанностей и полномочий до участников для реализации определенного процесса;

- контроль и поддержание с помощью соответствующего образования, обучения или опыта надлежащего уровня компетентности участников процесса.

РА 3.2 Действия 3 связаны с предоставлением ресурсов и информации и включают:

- предоставление, распределение и использование необходимых человеческих ресурсов;

- обеспечение доступности, распределения и использования информации, необходимой для реализации процесса;

- оценку и контроль расходования ресурсов для обеспечения их эффективного использования.

РА 3.2 Действия 4 связаны с сохранением информации и включают:

- документирование информации;

- обеспечение доступности документируемой информации, в т. ч. для проверки реализации ее документирования;

- проверку информации независимо от выполняющих процесс лиц.

Б.5.4 Общепринятые действия 1—5 для РА 3.3 «Гарантии процесса» приведены ниже.

РА 3.3 Действия 1 связаны со сбором и анализом данных о результативности и включают:

- определение, сбор и анализ данных, необходимых для понимания динамики, пригодности и результативности процесса;

- использование результатов анализа для выявления возможностей и постоянного улучшения процесса.

РА 3.3 Действия 2 связаны с мониторингом и оценкой процесса и включают:

- определение методов и мер контроля пригодности, результативности и адекватности процесса;

- определение критериев оценки и данных, необходимых для мониторинга процесса;

- проведение внутреннего аудита, аудита/проверки соответствия процессов и проверки со стороны руководства (при необходимости);

- анализ пригодности, адекватности и результативности процесса с использованием соответствующих методов;

- оценку выявляемых рисков и управление рисками.

РА 3.3 Действия 3 связаны с обеспечением соответствия и включают:

- оценку сопутствующих видов деятельности, результатов и документируемой информации;

- проверку соответствия определенного процесса предъявляемым требованиям;

- выявление и документирование несоответствий.

Примечание — Для обеспечения объективности деятельность по контролю выполняется независимо от варианта процесса.

РА 3.3 Действия 4 связаны с устранением несоответствий и включают:

- анализ типа и влияния несоответствий для планирования мер реагирования на несоответствия;

- внедрение необходимых изменений для достижения намеченных результатов процесса;

- управление действиями, которые отслеживаются, до их завершения.

РА 3.3 Действия 5 связаны с совершенствованием и включают:

- оценку и анализ влияния усовершенствований на пригодность, адекватность и результативность процесса с использованием соответствующих методов;

- проведение внутреннего аудита, аудита/проверки соответствия процессов и проверки со стороны руководства по результатам усовершенствований (при необходимости);

- внедрение обоснованных усовершенствований для поддержания процесса.

Б.6 4-й уровень возможностей процесса «Прогнозируемый процесс» (см. 5.2.6)

Б.6.1 Наряду с определенными свойствами по Б.2 — Б.5 соответствие 4-му уровню возможностей демонстрируют свойства РА 4.1 «Количественный анализ» и РА 4.2 «Количественный контроль» (см. 5.2.6.2, 5.2.6.3, Б.6.2, Б.6.3).

25

ГОСТ Р 71438—2024

Б.6.2 Общепринятые действия 1—7 для РА 4.1 свойство «Количественный анализ» приведены ниже.

РА 4.1 Действия 1 связаны с определением потребностей в информации и включают:

- определение количественных бизнес-целей, относящихся к процессу;

- выявление заинтересованных сторон, определение и согласование с ними бизнес-целей и соответствующего измеряемого процесса;

- определение информационных потребностей.

РА 4.1 Действие 2 связано с определением целей измерения и включает установление целей измерения процесса для удовлетворения определенных информационных потребностей.

РА 4.1 Действие 3 связано с определением взаимосвязей и включает выявление взаимосвязей между теми элементами процесса, которые способствуют достижению установленных целей измерения процесса.

РА 4.1 Действия 4 связаны с установлением количественных целей и включают:

- определение взаимосвязи целей, относящихся к результативности процесса, с определенными количественными бизнес-целями;

- согласование целей результативности процесса с заинтересованными сторонами процесса на предмет их реалистичности и полезности.

РА 4.1 Действия 5 связаны с определением показателей и включают:

- выработку детальных мер для поддержки мониторинга, анализа и проверки достижения количественных целей;

- определение периодичности сбора данных;

- определение алгоритмов и методов создания производных результатов измерений на основе базовых показателей (при необходимости);

- определение способов верификации при использовании базовых и производных показателей.

Примечание — Как правило, стандартное определение процесса расширяется с учетом собираемых данных для измерения процесса.

РА 4.1 Действия 6 связаны с выбором методов анализа и включают:

- определение методов анализа управления процессом;

- проверку выбранных методов на предмет соответствия целям управления процессом.

РА 4.1 Действия 7 связаны со сбором результатов измерений и включают:

- создание механизма сбора данных для всех определенных показателей;

- обеспечение надежного сбора и качества требуемых данных (например, по требованиям и показателям, рекомендуемым ГОСТ Р 59341);

- периодический анализ результатов измерений;

- доведение результатов измерений до сведения ответственных за осуществление мониторинга для достижения количественных целей.

Примечание — Результаты измерения качества продукции могут влиять на результаты измерения процесса.

Б.6.3 Общепринятые действия 1—5 для РА 4.2 свойство «Количественный контроль» приведены ниже.

РА 4.2 Действия 1 связаны с определением причин несоответствий и включают:

- объяснение причин несоответствий для результативности процесса;

- выявление случайных несоответствий.

РА 4.2 Действия 2 связаны с характеристикой результативности и включают:

- изучение отклонений в результатах измерений для анализа результативности процесса;

- выявление потенциальных причин несоответствий;

- определение тенденций в достижении результативности процесса.

РА 4.2 Действия 3 связаны с выработкой и внедрением корректирующих действий и включают:

- предоставление результатов лицам, ответственным за принятие решений;

- принятие корректирующих действий для ожидаемых причин несоответствий;

- контроль корректирующих действий и оценку их эффективности.

РА 4.2 Действия 4 связаны с анализом процесса и включают:

- анализ последствий несоответствий в процессе;

- количественную оценку результативности процесса при возникновении ожидаемых несоответствий.

РА 4.2 Действия 5 связаны с прогнозированием результатов и включают:

- использование полученных данных о результативности процесса;

- прогнозирование результатов процесса.

Б.7 5-й уровень возможностей процесса «Инновационный процесс» (см. 5.2.7)

Б.7.1 Наряду с определенными свойствами по Б.2—Б.6 соответствие 5-му уровню возможностей демонстрирует свойство РА 5.1 «Инновационность процесса» (см. 5.2.7.2, Б.7.2).

26

ГОСТ Р 71438—2024

Б.7.2 Общепринятые действия 1—7 для РА 5.1 свойство «Инновационность процесса» приведены ниже.

РА 5.1 Действия 1 связаны с определением целей и включают:

- анализ новых перспектив и целей бизнеса для выработки новых целей процесса и выявления возможностей при внедрении инноваций в рамках процесса;

- определение и документирование количественных и качественных целей инновационного процесса.

РА 5.1 Действия 2 связаны с анализом данных и включают:

- организацию обратной связи о возможностях внедрения инноваций, включая анализ результатов измерений процесса;

- определение возможности внедрения инноваций;

- выявление и оценку лучших практик.

РА 5.1 Действия 3 связаны с определением возможностей для внедрения инноваций и включают:

- определение и оценку возможностей для внедрения инноваций в рамках процесса на базе новых технологий;

- определение и оценку влияния новых технологий на результативность процесса;

- анализ возникающих рисков при оценке возможностей для внедрения инноваций.

РА 5.1 Действия 4 связаны с определением стратегии внедрения инноваций и включают:

- демонстрацию приверженности инновациям для руководства организации и других заинтересованных сторон;

- определение мер, подтверждающих результаты изменений процесса и ожидаемое влияние на определенные бизнес-цели;

- анализ вариантов приоритетности в инновационных изменениях процесса.

РА 5.1 Действия 5 связаны с влиянием изменений на цели и включают:

- определение приоритетности для внедрения инноваций в рамках процесса;

- оценку изменений с учетом требований и целей в отношении качества продукции и результативности процесса;

- анализ влияния изменений на другие процессы.

РА 5.1 Действия 6 связаны с управлением внедрением изменений и включают:

- создание механизмов для эффективного и полного включения принятых изменений в рассматриваемый процесс;

- выявление и контроль факторов, влияющих на результативность и полное внедрение изменений процесса, таких как: экономические факторы (результативность, прибыль, рост, эффективность, качество, конкуренция, ресурсы и потенциал); человеческие факторы (удовлетворенность работой, мотивация, моральное состояние, конфликтность/сплоченность коллектива, согласованность целей, участие, обучение, сфера контроля); факторы управления (навыки, самоотдача, лидерство, знания, способности, организационная культура и риски); технологические факторы (сложность системы, профессиональная компетенция, методология разработки, потребность в новых технологиях);

- обучение пользователей процесса;

- доведение до сведения всех заинтересованных сторон изменений в процессах;

- учет внедрения изменений.

РА 5.1 Действия 7 связаны с оценкой эффективности изменения процесса и включают:

- оценку и сравнение с более ранними данными результативности и возможностей измененного процесса;

- документирование и представление результатов анализа руководству и ответственным за процессы;

- оценку эффективности изменений процесса;

- учет возможностей и обратной связи.

Б.8 Сопоставление общепринятых действий и выходных результатов для свойств процесса

Сопоставление общепринятых действий и выходных результатов для свойств процесса приведено в таблице Б.1.

Таблица Б.1 — Сопоставление общепринятых действий и выходных результатов

Пункт

Действия

Соответствие требованиям по 5.2.3—5.2.7

1-й уровень возможностей процесса «Выполняемый процесс»

РА.1.1 Свойство «Результативность процесса»

РА 1.1 Действие 1

Достижение результатов процесса

РА.1.1

2-й уровень возможностей процесса «Управляемый процесс»

27

ГОСТ Р 71438—2024

Продолжение таблицы Б. 1

Пункт

Действия

Соответствие требованиям по 5.2.3—5.2.7

РА.2.1 Свойство «Управление результативностью процесса»

РА 2.1 Действия 1

Определение ожидаемых результатов

РА 2.1 а)

РА 2.1 Действия 2

Определение и снижение рисков

РА.2.1 б)

РА 2.1 Действия 3

Планирование реализации процесса

РА.2.1 в)

РА 2.1 Действия 4

Контроль реализации процесса

РА.2.1 г)

РА 2.1 Действия 5

Назначения

РА.2.1 д)

РА 2.1 Действия 6

Обеспечение ресурсами

РА.2.1 е)

РА 2.1 Действия 7

Управление взаимодействиями

РА.2.1 ж)

РА.2.2 Свойство «Управление документируемой информацией»

РА.2.2 Действия 1

Определение общих требований

РА.2.2 а)

РА.2.2 Действия 2

Определение требований к контролю

РА.2.2 б)

РА.2.2 Действия 3

Идентификация и контроль качества

РА.2.2 в)

РА.2.2 Действия 4

Анализ информации

РА.2.2 г)

РА.2.2 Действия 5

Сохранение и использование для демонстрации

РА.2.2 д)

3-й уровень возможностей процесса «Установленный процесс»

РА.3.1 Свойство «Определение процесса»

РА.3.1 Действия 1

Создание и поддержка для развертывания процесса

РА.3.1 а)

РА.3.1 Действия 2

Определение элементов и ожидаемых результатов

РА.3.1 б)

РА.3.1 Действия 3

Интеграция процессов

РА.3.1 в)

РА.3.1 Действия 4

Определение ролей

РА.3.1 г)

РА.3.1 Действия 5

Определение ресурсов

РА.3.1 д)

РА.3.1 Действия 6

Обеспечение знаний

РА.3.1 е)

РА.3.2 Свойство «Развертывание процесса»

РА.3.2 Действия 1

Ориентация на результаты

РА.3.2 а)

РА.3.2 Действия 2

Назначения

РА.3.2 б), в)

РА.3.2 Действия 3

Предоставление ресурсов и информации

РА.3.2 г)

РА.3.2 Действия 4

Сохранение информации

РА.3.2 д)

РА.3.3 Свойство «Гарантии процесса»

РА.3.3 Действия 1

Сбор и анализ данных о результативности

РА.3.3 а)

РА.3.3 Действия 2

Мониторинг и оценка процесса

РА.3.3 б)

РА.3.3 Действия 3

Обеспечение соответствия

РА.3.3 в)

РА.3.3 Действия 4

Устранение несоответствий

РА.3.3 г)

РА.3.3 Действия 5

Совершенствование

РА.3.3 д)

28

Окончание таблицы Б. 1

ГОСТ Р 71438—2024

Пункт

Действия

Соответствие требованиям по 5.2.3—5.2.7

4-й уровень возможностей процесса «Прогнозируемый процесс»

РА.4.1 Свойство «Количественный анализ»

РА.4.1 Действия 1

Определение потребностей в информации

РА.4.1 а)

РА.4.1 Действия 2

Определение целей измерения

РА.4.1 б)

РА.4.1 Действия 3

Определение взаимосвязей

РА.4.1 в)

РА.4.1 Действия 4

Установление количественных целей

РА.4.1 г)

РА.4.1 Действия 5

Определение показателей

РА.4.1 д)

РА.4.1 Действия 6

Выбор методов анализа

РА.4.1 е)

РА.4.1 Действия 7

Сбор результатов измерений

РА.4.1 ж)

РА.4.2 Свойство «Количественный контроль»

РА.4.2 Действия 1

Определение причин несоответствий

РА.4.2 а)

РА.4.2 Действия 2

Характеристика результативности

РА.4.2 б)

РА.4.2 Действия 3

Выработка и внедрение корректирующих действий

РА.4.2 в)

РА.4.2 Действия 4

Анализ процесса

РА.4.2 г)

РА.4.2 Действия 5

Прогнозирование результатов

РА.4.2 д)

5-й уровень возможностей процесса «Инновационный процесс»

РА.5.1 Свойство «Инновационность процесса»

РА.5.1 Действия 1

Определение целей

РА.5.1 а)

РА.5.1 Действия 2

Анализ данных

РА.5.1 б)

РА.5.1 Действия 3

Определение возможностей для внедрения инноваций

РА.5.1 в)

РА.5.1 Действия 4

Определение стратегии внедрения инноваций

РА.5.1 г)

РА.5.1 Действия 5

Оценка влияния изменений на цели

РА.5.1 д)

РА.5.1 Действия 6

Управление внедрением изменений

РА.5.1 е)

РА.5.1 Действия 7

Оценка эффективности изменения процесса

РА.5.1 ж)

29

ГОСТ Р 71438—2024

Приложение В (справочное)

Рекомендации для метода экспертной оценки

В.1 Система измерения возможностей процессов

Система измерения возможностей процессов основана на концептуальном рассмотрении процессов как имеющих общие свойства, связанные со степенью достижения определенных целей. Эти свойства определены и распределены по уровням возможностей рассматриваемого процесса, а также для формирования порядковой шкалы измерения процесса.

Далее изложены рекомендации для метода экспертной оценки относительно содержания уровней возможностей процесса и характеристики соответствующих свойств.

В.2 0-й уровень возможностей процесса «Незавершенный процесс»

Незавершенный процесс — это процесс, который либо не выполняется вообще, либо систематическое достижение его цели не подтверждается значимыми или какими-либо свидетельствами. Достижение цели не характеризуется повседневным выполнением базовых действий и наличием соответствующих элементов входящей и исходящей информации, которые в совокупности призваны обеспечивать достижение цели процесса.

0-й уровень возможностей — это единственный уровень возможностей процесса, не имеющий свойств. По сути, 0-й уровень можно рассматривать как состояние отсутствия уровня возможностей 1 и более высоких уровней. Соответственно, отнесение процесса к 0-му уровню возможностей будет в значительной степени основано на отсутствии адекватных объективных свидетельств, позволяющих считать его функционирующим на более высоком уровне возможностей.

В.З 1-й уровень возможностей процесса «Выполняемый процесс»

В.3.1 Общая информация

Выполняемый процесс достигает своей цели повседневным выполнением базовых действий и наличием соответствующих элементов входящей и исходящей информации.

Несмотря на то что свойство процесса на 1-м уровне возможностей указывается как общее для всех процессов (как и все свойства процесса), в действительности свойство процесса связано с результативностью процесса и достижением результатов, которые отличаются в зависимости от конкретного процесса. Другими словами, показатели оценки результативности процесса, которые демонстрируют свидетельство достижения свойства процесса на 1-м уровне возможностей, являются не общими для всех процессов, а специфическими для оцениваемого процесса.

Характеристикой 1-го уровня возможностей является исключительно некоторая степень достижения результатов процесса.

В.3.2 РА 1.1 Свойство «Результативность процесса»

Результат процесса представляет собой один или более элементов из следующего списка:

- производство артефакта;

- значительное изменение состояния;

- соответствие заданным ограничениям, например требованиям, целям и т. д.

Аналитикам рекомендуется сосредоточить внимание на информационных элементах и применяемой практике в зависимости от характера конкретного рассматриваемого результата процесса.

Аналитикам надлежит убедиться в том, что лица, выполняющие процесс, понимают цель процесса и осуществляют базовые действия. Информационные элементы, полученные в результате выполнения соответствующих действий, наряду со входящими информационными элементами являются дополнительным свидетельством реализации процесса. Однако наличия этих информационных элементов недостаточно, их задача заключается в том, чтобы способствовать достижению цели процесса.

В.4 2-й уровень возможностей процесса «Управляемый процесс»

В.4.1 Общая информация

Управляемый процесс планируют, контролируют и корректируют с целью достижения определенных результатов, а также для создания надлежащим образом контролируемой и обновляемой документируемой информации.

Основное отличие от 1-го уровня возможностей процесса заключается в том, что выполнение процесса планируют, контролируют и корректируют с целью предоставления документируемой информации, соответствующей установленным требованиям. Таким образом, существенными элементами управляемого процесса являются управление его результативностью и четкая направленность на управление документируемой информацией. Важнейшая роль, которую выполняет упреждающее управление этими двумя аспектами процесса, заключается в повышении уверенности в том, что производится нечто необходимое и что процесс выполняется более предсказуемым образом.

30

ГОСТ Р 71438—2024

Упреждающее управление процессом ведет к появлению информационных элементов и (или) к выполнению действий, которые поддаются проверке, например: планирование и (или) конкретные планы, механизмы мониторинга и (или) корректировки процесса на основе результатов сравнения запланированных и фактических показателей процесса.

В.4.2 РА 2.1 Свойство «Управление результативностью процесса»

Свойство «Управление результативностью процесса» связано с применением основных методов управления для подтверждения определенности и достижения запланированных результатов.

Осведомленность об определенных запланированных результатах является критическим требованием для достижения этого свойства процесса. Как правило, в качестве ожидаемых результатов рассматривают качество производимых артефактов, длительность цикла процесса и использование ресурсов. Другое ключевое требование — это выявление и снижение рисков, которые могут повлиять на результативность.

На этом уровне возможностей процесса его результативность может контролироваться либо в качественном измерении (например, простые в понимании и проведении экспертные оценки), либо в количественном измерении (например, в ходе экспертных оценок будет выявляться в среднем не менее 80 % дефектов продукции).

Для некоторых процессов (например, вспомогательных, организационных и управленческих) планирование каждого варианта процесса может не потребоваться, вместо этого могут действовать непрерывные договоренности.

Без четкого определения обязанностей и распределения полномочий любая совместная работа изначально подвергается угрозам недопонимания. Следовательно, значимым аспектом управляемого процесса является четкое распределение ответственности и полномочий для реализации процесса. Наиболее важными аспектами, требующими рассмотрения, являются определение, распределение и передача ответственности и полномочий для реализации процесса. Следует отметить, что все заинтересованные стороны процесса (например, ответственные за процесс, исполнители процесса и т. д.) должны быть проинформированы об этих мероприятиях.

Компетентность выполняющих процесс сотрудников определяется на основании соответствующего образования, подготовки или опыта. Необходимые для реализации процесса в соответствии с установленными целями ресурсы и информация определены, доступны, распределены и используются. Особенно важна готовность к внесению корректировок в имеющиеся ресурсы и информацию, так как на этом этапе осуществляется управление процессом с возможностью его корректировки по мере необходимости для реагирования на несоответствия от запланированных показателей.

С управлением ресурсами, необходимыми для реализации процесса, связано управление элементами взаимодействия между участвующими сторонами для обеспечения эффективной коммуникации и четкого распределения ответственности. Как правило, существует несколько типов заинтересованных сторон: ответственные за процесс, исполнители процесса; стороны, предоставляющие необходимые ресурсы и информацию; стороны, вовлеченные в процесс уровнем выше или ниже, а также другие возможные стороны. Поскольку даже незначительные изменения в работе процесса могут оказать существенное влияние на одну или несколько заинтересованных сторон, крайне важно, чтобы взаимодействие между этими сторонами планировалось, контролировалось и корректировалось по мере необходимости и чтобы информация об этом предоставлялась четко и своевременно.

В.4.3 РА 2.2 Свойство «Управление документируемой информацией»

Свойство «Управление документируемой информацией» связано с применением основных методов управления для подтверждения того, что созданная документируемая информация надлежащим образом идентифицирована и контролируется. Документируемая информация является результатом достижения цели процесса (например, документируемая информация, полученная в результате достижения процессом 1-го уровня возможностей).

Документируемая информация представляет собой артефакты, связанные с выполнением процесса. Соответственно, характер документируемой информации будет варьироваться в зависимости от цели процесса. Одна документируемая информация может быть частью конечного продукта, а другая — такой не является (например, учет показателей качества в виде отзывов персонала или протоколы совещаний).

Требования к документируемой информации процесса определяют с целью формирования базы для ее создания и верификации. Следует иметь в виду, что требования к документируемой информации, вероятно, окажут значительное влияние на требования к результативности самого процесса. Таким образом, требования данного процесса на 2-м уровне возможностей окажутся взаимозависимыми.

Требования к документируемой информации процесса могут быть функциональными, относящимися к характеристикам документируемой информации (результативность, объем и т. д.), либо нефункциональными и относящимися к соглашениям или ограничениям, которые не связаны напрямую с характеристиками документируемой информации (сроки поставки, упаковка и т. д.). Возможна комбинация обоих этих типов требований.

Также определяют требования к контролю документируемой информации процесса. Они рассматриваются как отличные от требований к самой информации. Могут оказаться уместными различные степени контроля изменений или управления конфигурацией в зависимости от конкретных аспектов документируемой информации и (или) проекта.

Требования к идентификации и контролю документируемой информации процесса применяют в качестве основы для соответствующей идентификации и контроля документируемой информации.

31

ГОСТ Р 71438—2024

Документируемую информацию процесса, полученную в результате его внедрения, проверяют в соответствии с запланированными мероприятиями и корректируют по мере необходимости для соответствия требованиям. Степень и характер проверки будут зависеть от многих факторов, все из которых необходимо рассмотреть в рамках планирования управления документируемой информацией.

Документируемую информацию необходимо сохранить для проведения независимой проверки.

В.5 3-й уровень возможностей процесса «Установленный процесс»

В.5.1 Общая информация

Установленный процесс базируется на определенном процессе, который выстраивается на базе набора стандартных процессов организации для достижения результатов процесса. Рассматриваемый процесс определяет ресурсы (человеческие и инфраструктурные), необходимые для реализации процесса. Для выявления возможностей осмысления и улучшения процесса проводят сбор соответствующих данных.

Основное отличие от 2-го уровня возможностей заключается в том, что установленный процесс 3-го уровня возможностей представляет собой определенный процесс, разработанный на базе набора стандартных процессов организации.

3-й уровень возможностей процесса обеспечивает основу для перехода на следующий уровень возможностей путем создания адаптированного и эффективно внедренного процесса, а также инфраструктуры, необходимой для создания основы для замкнутого цикла обратной связи в интересах улучшения процесса.

В.5.2 РА 3.1 Свойство «Определение процесса»

Свойство «Определение процесса» связано с его использованием в качестве основы для реализации определенного процесса, а также со сбором и оценкой данных о выполнении процесса для более адекватного понимания и улучшения процесса.

Рассматриваемый процесс определяет необходимые входящие элементы и ожидаемые результаты, а также требуемые действия и необходимые роли, обязанности и компетенции. Последовательность и взаимодействие процессов может не подразумевать последовательного выполнения. Это может означать параллельное выполнение, циклическую обратную связь или иное взаимодействие.

Сбор данных в отношении использования процесса отражает наличие/отсутствие процесса. Этот объем знаний обеспечивает основу для совершенствования процесса.

В.5.3 РА 3.2 Свойство «Развертывание процесса»

Свойство «Развертывание процесса» связано с эффективным практическим развертыванием определенного процесса.

Определенный процесс соответствующим образом выстраивается на базе набора стандартных процессов организации в соответствии с инструкциями по адаптации. В отношении него следует иметь обновляемое описание. В результате реализации процесса организация получает документируемую информацию, результаты измерений и иную информацию для улучшения процесса. Определенный процесс обеспечивает основу для планирования и повышения качества запланированных задач и действий.

В ходе доработки процесса могут быть осуществлены создание, изменение или адаптация описания процесса для достижения определенного результата. Например, в рамках проекта может быть создан собственный определенный процесс путем доработки стандартных процессов организации с учетом целей, ограничений и среды реализации проекта.

Рекомендации по адаптации используют для того, чтобы организация могла развертывать стандартные процессы в различных контекстах. Стандартные процессы организации могут быть представлены общим описанием, а такое описание может оказаться непригодным для непосредственного использования при реализации процесса. С помощью инструкции по доработке сотрудники могут определить процессы для соответствующих проектов, а также получить указания относительно того, что можно и что невозможно изменить, а также тех компонентов процессов, применение которых может потребовать изменений.

С практической точки зрения проявление этого свойства процесса зависит от степени определенности и доступности процесса и надлежащего руководства для адаптации, а также от той степени, в которой соответствующие инструкции содержат рекомендации относительно корректной адаптации процесса к вариантам его применения.

Свойство процесса демонстрирует приверженность стандартному процессу, адаптированному для применения в каждом конкретном случае, а также отражает эффективное распределение ресурсов для реализации определенного процесса, сбор и анализ данных для понимания и уточнения его динамики.

Существенным аспектом данного свойства является обеспечение благоприятных условий для результативного внедрения определенного процесса. К благоприятным условиям относят:

- определение специфических характеристик кадровых ресурсов, посредством которых реализуется процесс;

- понимание инфраструктуры процесса и рабочей среды, необходимой для реализации определенного процесса;

- продуманное распределение и развертывание необходимых человеческих ресурсов и инфраструктуры процесса;

32

ГОСТ Р 71438—2024

- общее конкретизированное понимание ролей, обязанностей и компетенций для реализации определенного процесса.

Инфраструктура процесса включает в себя инструменты, методы и специальные средства, необходимые для реализации определенного процесса.

В.5.4 РА 3.3 Свойство «Контроль процесса»

Свойство «Контроль процесса» связано с гарантией эффективной реализации определенного процесса в соответствии требованиями, предъявляемыми к качеству процесса. Для контроля процесса выделяют ресурсы и используют соответствующие методы. Очевидным условием для получения значимой обратной связи по процессу является добросовестная реализация определенного процесса его исполнителями. Даже качественно сформированные процессы не имеют долговременной эффективности, если отсутствует адекватное отражение хода выполняемых работ.

Усовершенствование процесса достигается за счет сбора и анализа показателей результативности процесса. Задачи результативности процесса корректируют с помощью контролируемых действий, гарантирующих соблюдение политик и процедур организации или отдельных вариантов процесса, минимизацию рисков и непрерывное улучшение процесса.

В.6 4-й уровень возможностей процесса «Прогнозируемый процесс»

В.6.1 Общая информация

Прогнозируемый процесс последовательно выполняется в заданных пределах для достижения ожидаемых результатов. Кроме того, его реализация поддерживается и управляется с помощью количественной информации, полученной в результате проведения соответствующих измерений. Результативность процесса, который функционирует на 4-м уровне возможностей процесса, управляется количественно и является прогнозируемой в рамках реализации общих бизнес-целей. Происходит проработка закономерных причин изменения результативности.

В.6.2 РА 4.1 Свойство «Количественный анализ»

Свойство «Количественный анализ» связано с наличием эффективной системы сбора показателей, относящихся к выполнению процесса, и с качеством документируемой информации. Эти показатели применяют для определения степени достижения бизнес-целей организации. Процесс измерения может быть сформирован на основе рекомендаций ГОСТ Р 58606, ГОСТ Р 59342 для содействия в достижении этого уровня возможностей. Рекомендуемые подходы к количественному анализу отражены в ГОСТ IEC 61508-3, ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р 54124, ГОСТ Р 58771, ГОСТ Р 58494, ГОСТ Р 59329 — ГОСТ Р 59357, ГОСТ Р 59989 — ГОСТ Р 59994, ГОСТ Р МЭК 61069-1 — ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-5 — ГОСТ Р МЭК 61508-7. Примеры количественного анализа в стандартных процессах разобраны в ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59341, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59356.

В.6.3 РА 4.2 Свойство «Количественный контроль»

Свойство «Количественный контроль» связано с использованием объективных данных для управления и контроля предсказуемых показателей процесса.

Количественный контроль подразумевает эффективную реализацию корректирующих действий, предпринятых для устранения выявленных поддающихся определению причин несоответствий. Применяют собранные методы анализа. На основе анализа собранных данных определяют возможные причины вариативности процесса. Закономерные причины несоответствий процесса относят к тем дефектам, которые являются его побочным эффектом вследствие неразрешенных задач реализации и, как правило, связаны с результативностью процесса вне пределов контрольных границ, устанавливаемых для нормальной реализации процесса. Эти границы можно определить либо на основе опыта, либо путем указания целевых показателей результативности (см. также приложения Г, Д, Е).

Организация может эффективно использовать измерения и анализ для обоснования принятых решений на основе их влияния на достижение бизнес-целей.

В.7 5-й уровень возможностей процесса «Инновационный процесс»

В.7.1 Общая информация

Инновационный процесс изменяется и адаптируется упорядоченным и целенаправленным способом, чтобы обеспечить эффективное реагирование на меняющиеся бизнес-цели на постоянной основе. Оптимизация процесса включает в себя апробацию инновационных идей и технологий, а также изменение неэффективных процессов для достижения определенных целей или задач.

Процесс, функционирующий на 5-м уровне возможностей процесса, демонстрирует три критически значимых динамики, которые отличают его от предсказуемого процесса. Во-первых, это упреждающий акцент на постоянном совершенствовании в выполнении как текущих, так и ожидаемых бизнес-целей, т. е. принятие целенаправленных и запланированных усилий по повышению эффективности и результативности процесса. Во-вторых, это упорядоченный и спланированный подход к определению соответствующих изменений в процессе и к их внедрению для сведения к минимуму непреднамеренных нарушений при выполнении процесса. И, наконец, в-третьих, это эффективность изменений оценивается в сравнении с фактическими результатами. При необходимости вносят коррективы для достижения установленных целей в отношении процесса, а также промежуточной и конечной продукции.

33

ГОСТ Р 71438—2024

Основное отличие инновационных процессов от прогнозируемых процессов заключается в том, что определенные и стандартные процессы динамически меняются и адаптируются для эффективного достижения текущих и прогнозируемых бизнес-целей. Этот уровень возможностей процесса зависит в основном от адекватного количественного понимания динамики процесса.

В.7.2 РА 5.1 Свойство «Инновационность процесса»

Свойство «Инновационность процесса» связано с наличием упреждающего акцента при постоянном усовершенствовании при выполнении как текущих, так и ожидаемых бизнес-целей организации.

Инновации являются ключевым фактором совершенствования процессов. Они могут внедряться в результате анализа данных, связанных с передовыми практиками, или появления новых технологий. Сбор и анализ данных проводят с целью выяснения общих отличий в результатах работы. В ходе анализа можно определить возможности для внедрения надлежащих инноваций и передовой практики.

Сложность организационного развертывания и долгосрочный характер постоянного совершенствования требуют тщательно продуманной стратегии и определенных целей внедрения инноваций в процессе. Исследования, направленные на выявление потенциальных усовершенствований в разработке процессов и вспомогательных технологий, подкрепленные результатами анализа данных, будут способствовать определению возможностей для внедрения эффективных инноваций.

Для достижения максимально возможного усовершенствования в условиях имеющихся ресурсов анализируют влияние предлагаемых изменений. Количественное понимание прогнозируемого процесса способствует оценке влияния предлагаемых изменений. Результативность прогнозируемого процесса следует непрерывно повышать для достижения текущих и прогнозируемых бизнес-целей. Формулируют количественные цели по усовершенствованию результативности процесса, основанные на соответствующих бизнес-целях организации.

Сроки внедрения и последовательность согласованных изменений тщательно планируют таким образом, чтобы нарушение штатного выполнения процесса было минимальным. При таком планировании обычно учитывают такие факторы, как значимость и статус проекта, оценка эффективности изменений процесса и создание нового бизнеса.

Эффективность изменений анализируют по фактическим результатам, при необходимости вносят коррективы для достижения целей инновационного процесса.

Понимание фактического влияния изменений процесса является критически значимым аспектом 5-го уровня возможностей процесса.

34

ГОСТ Р 71438—2024

Приложение Г (справочное)

Пример перечня угроз нарушения нормальной реализации процесса

Перечень угроз, способных привести к нарушению нормальной реализации процесса в системе, может включать (в части, свойственной этому процессу):

- природные и природно-техногенные угрозы — по ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 51901.1, ГОСТ Р 54124, ГОСТ Р МЭК 61069-5, ГОСТ Р МЭК 61069-6, ГОСТ Р МЭК 61069-7;

- угрозы со стороны человеческого фактора — по ГОСТ Р МЭК 62508;

- угрозы качеству и безопасности информации, программного обеспечения, оборудования и коммуникаций, используемых в процессе работы, — по ГОСТ Р ИСО/МЭК 15026, ГОСТ Р ИСО/МЭК 15026-4, ГОСТ Р ИСО/МЭК 16085, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 51275, ГОСТ Р 51583, ГОСТ Р 54124, ГОСТ Р 56939, ГОСТ Р 58412, ГОСТ Р 59334, ГОСТ Р 59339, ГОСТ Р 59341;

- угрозы компрометации информационной безопасности приобретающей стороны (заказчика) — по ГОСТ Р ИСО/МЭК 27002, ГОСТ Р ИСО/МЭК 27005—2010 (см. приложение С);

- угрозы возникновения ущерба репутации и/или потери доверия поставщика (производителя) к конкретному заказчику, системы которого были скомпрометированы;

- прочие соответствующие угрозы качеству, безопасности и эффективности системы, связанные с процессом.

Угрозы могут быть реализованы с соответствующим негативным воздействием на свойства процесса, приведенные в 5.2 и приложении В, что приводит к нарушению реализации рассматриваемого процесса.

Перечень угроз характеризуется исходными данными (собранными по факту или гипотетическими), необходимыми для применения математических моделей и методов прогнозирования рисков для количественной оценки возможностей процессов (см. приложение Д).

35

ГОСТ Р 71438—2024

Приложение Д (справочное)

Типовые показатели, модели и методы прогнозирования рисков (по методу количественной оценки)

Для прогнозирования рисков могут быть применены любые возможные модели и методы, обеспечивающие приемлемое достижение поставленных целей. В настоящем приложении приведены ссылки по ГОСТ Р 59994 на стандарты системной инженерии, содержащие рекомендации по типовым показателям, моделям и методам прогнозирования рисков во всех стандартных процессах, свойственных жизненному циклу систем по ГОСТ Р 57193 (см. таблицу Д.1). Эти показатели, методы и модели в полной мере применимы для решения задач системного анализа и оценки возможностей рассматриваемых процессов.

Таблица Д.1 — Ссылки на типовые модели и методы прогнозирования рисков

Системный процесс

Вероятностные показатели риска

Типовые модели и методы

Процессы приобретения и поставки продукции и услуг для системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59329—2021 (приложение В)

Процесс управления моделью жизненного цикла системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- обобщенный риск нарушения реализации процесса с учетом дополнительных специфических системных требований (в том числе на примере требований по защите информации)

По ГОСТ Р 59330—2021 (приложение В); ГОСТ Р 59992—2022 (приложение В)

Процесс управления инфраструктурой системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- обобщенный риск нарушения реализации процесса с учетом дополнительных специфических системных требований (в том числе на примере требований по защите информации)

По ГОСТ Р 59331—2021 (приложение В); ГОСТ Р 59993—2022, приложение В

Процесс управления портфелем проектов

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59332—2021 (приложение В)

Процесс управления человеческими ресурсами системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59333—2021 (приложение В)

36

ГОСТ Р 71438—2024

Продолжение таблицы Д. 1

Системный процесс

Вероятностные показатели риска

Типовые модели и методы

Процесс управления качеством системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- обобщенный риск нарушения реализации процесса с учетом дополнительных специфических системных требований (в том числе на примере требований по защите информации)

По ГОСТ Р 59334—2021 (приложение В); ГОСТ Р 59989—2022 (приложение В)

Процесс управления знаниями о системе

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59335—2021 (приложение В)

Процесс планирования проекта

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59336—2021 (приложение В)

Процесс оценки и контроля проекта

Для системных процессов риски по ГОСТ Р 59337—2021 (6.3) (с учетом дополнительных специфических системных требований на примере требований по защите информации) и по ГОСТ Р 59990—2022 (6.3)

По ГОСТ Р 59337—2021 (приложение В), ГОСТ Р 59990—2022 (приложение В)

Процесс управления решениями

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59338—2021 (приложение В)

Процесс управления рисками для системы

Для системных процессов риски по ГОСТ Р 59339—2021 (6.3) (с учетом дополнительных специфических системных требований на примере требований по защите информации);

- интегральные риски нарушения качества системы в сценарных условиях комбинации используемых системных процессов в течение задаваемого периода прогноза по ГОСТ Р 59991—2022 (6.3)

По ГОСТ Р 59339—2021 (приложение В); ГОСТ Р 59991—2022 (приложение В)

Процесс управления конфигурацией системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59340—2021 (приложение В)

37

ГОСТ Р 71438—2024

Продолжение таблицы Д. 1

Системный процесс

Вероятностные показатели риска

Типовые модели и методы

Процесс управления информацией системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примерах требований к надежности и своевременности представления, полноты и достоверности выходной информации, требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примерах требований к надежности и своевременности представления, полноты и достоверности выходной информации, требований по защите информации)

По ГОСТ Р 59341—2021 (приложение В)

Процесс измерений системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59342—2021 (приложение В)

Процесс гарантии качества для системы

Для системных процессов риски по ГОСТ Р 59339—2021 (6.3);

- интегральные риски нарушения качества системы по ГОСТ Р 59991—2022 (6.3)

По ГОСТ Р 59994—2022 (приложение В)

Процесс анализа бизнеса или назначения системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59344—2021 (приложение В)

Процесс определения потребностей и требований заинтересованной стороны для системы

Риск нарушения надежности реализации процесса как такового (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59345—2021 (приложение В)

Процесс определения системных требований (на примере требований по защите информации)

Частные показатели риска реализации угроз безопасности информации, направленных на нарушение функционирования системы, в условиях отсутствия мер защиты, предлагаемых к применению в ходе формирования системных требований, и в условиях их применения (показатели остаточного риска нарушения функционирования системы);

- частные показатели риска реализации угроз утечки конфиденциальной информации в условиях отсутствия мер защиты, предлагаемых к применению в ходе формирования системных требований, и в условиях их применения (показатели остаточного риска нарушения требований по защите конфиденциальной информации в системе или о системе);

По ГОСТ Р 59346—2021 (приложения В, Д)

38

ГОСТ Р 71438—2024

Продолжение таблицы Д. 1

Системный процесс

Вероятностные показатели риска

Типовые модели и методы

- интегральные показатели риска реализации угроз, направленных на нарушение функционирования системы в течение ее жизненного цикла, в условиях отсутствия и применения мер защиты, предлагаемых в ходе формирования системных требований.

Примечание — Приведенные показатели демонстрируют возможности модификации показателей прогнозируемых рисков.

Процесс определения архитектуры системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59347—2021 (приложение В)

Процесс определения проекта

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59348—2021 (приложение В)

Процесс системного анализа

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59349—2021 (приложение В)

Процесс реализации системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59350—2021 (приложение В)

Процесс комплексирования системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59351—2021 (приложение В)

39

ГОСТ Р 71438—2024

Окончание таблицы Д. 1

Системный процесс

Вероятностные показатели риска

Типовые модели и методы

Процесс верификации системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59352—2021 (приложение В)

Процесс передачи системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59353—2021 (приложение В)

Процесс аттестации системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59354—2021 (приложение В)

Процесс функционирования системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59355—2021 (приложение В)

Процесс сопровождения системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59356—2021 (приложение В)

Процесс изъятия и списания системы

Риск нарушения надежности реализации процесса (без учета дополнительных требований);

- риск нарушения дополнительных специфических системных требований (на примере требований по защите информации);

- риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)

По ГОСТ Р 59357—2021 (приложение В)

Пример практического подхода к прогнозированию рисков представлен в ГОСТ Р 58494, в котором положения по оценке процессов адаптированы к системам дистанционного контроля промышленной безопасности в опасном производстве.

40

ГОСТ Р 71438—2024

Примечания

1 Другие возможные показатели, модели, методы и рекомендации по оценке рисков приведены в ГОСТ IEC 61508-3, ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р 54124, ГОСТ Р 58771, ГОСТ Р МЭК 61069-1 — ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-5 — ГОСТ Р МЭК 61508-7.

2 Примеры прогнозирования рисков и решения задач системного анализа, связанные с прогнозированием рисков в процессах, приведены в ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59341, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59356.

41

ГОСТ Р 71438—2024

Приложение Е (справочное)

Рекомендации по определению допустимых значений рисков

Рекомендации по определению допустимых значений показателей рисков по ГОСТ Р 59994 отражены в таблице Е.1 (дополнительные специфические системные требования в ссылочных стандартах приведены с учетом требований по защите информации).

Таблица Е.1 — Определение допустимых значений рисков

Системный процесс

Определение допустимых значений рисков при ориентации на обоснование по прецедентному принципу и обоснование для системы-эталона

Процессы приобретения и поставки продукции и услуг для системы

ПО ГОСТ Р 59329—2021 (приложение Г)

Процесс управления моделью жизненного цикла системы

По ГОСТ Р 59330—2021 (приложение Г), ГОСТ Р 59992—2022, приложение Г

Процесс управления инфраструктурой системы

По ГОСТ Р 59331—2021 (приложение Д), ГОСТ Р 59993—2022 (приложение Г)

Процесс управления портфелем проектов

По ГОСТ Р 59332—2021 (приложение Г)

Процесс управления человеческими ресурсами системы

По ГОСТ Р 59333—2021 (приложение Д)

Процесс управления качеством системы

По ГОСТ Р 59334—2021 (приложение Г), ГОСТ Р 59989—2022 (приложение Г)

Процесс управления знаниями о системе

По ГОСТ Р 59335—2021 (приложение Д)

Процесс планирования проекта

По ГОСТ Р 59336—2021 (приложение Г)

Процесс оценки и контроля проекта

По ГОСТ Р 59337—2021 (приложение), ГОСТ Р 59990—2022 (приложение Г)

Процесс управления решениями

По ГОСТ Р 59338—2021 (приложение Д)

Процесс управления рисками для системы

По ГОСТ Р 59339—2021 (приложение Д), ГОСТ Р 59991—2022 (приложение Д)

Процесс управления конфигурацией системы

По ГОСТ Р 59340—2021 (приложение Г)

Процесс управления информацией системы

По ГОСТ Р 59341—2021 (приложение Д)

Процесс измерений системы

По ГОСТ Р 59342—2021 (приложение Г)

Процесс гарантии качества для системы

По ГОСТ Р 59343 (приложение Д), настоящая таблица

Процесс анализа бизнеса или назначения системы

По ГОСТ Р 59344—2021 (приложение Г)

Процесс определения потребностей и требований заинтересованной стороны для системы

По ГОСТ Р 59345—2021 (приложение Д)

Процесс определения системных требований

По ГОСТ Р 59346—2021 (приложение Е)

Процесс определения архитектуры системы

По ГОСТ Р 59347—2021 (приложение Д)

Процесс определения проекта

По ГОСТ Р 59348—2021 (приложение Г)

Процесс системного анализа

По ГОСТ Р 59349—2021 (приложение Д)

Процесс реализации системы

По ГОСТ Р 59350—2021 (приложение Г)

Процесс комплексирования системы

По ГОСТ Р 59351—2021 (приложение Г)

Процесс верификации системы

По ГОСТ Р 59352—2021 (приложение Г)

42

Окончание таблицы Е. 1

ГОСТ Р 71438—2024

Системный процесс

Определение допустимых значений рисков при ориентации на обоснование по прецедентному принципу и обоснование для системы-эталона

Процесс передачи системы

По ГОСТ Р 59353—2021 (приложение Г)

Процесс аттестации системы

По ГОСТ Р 59354—2021 (приложение Г)

Процесс функционирования системы

По ГОСТ Р 59355—2021 (приложение Д)

Процесс сопровождения системы

По ГОСТ Р 59356—2021 (приложение Д)

Процесс изъятия и списания системы

По ГОСТ Р 59357—2021 (приложение Г)

43

ГОСТ Р 71438—2024

Библиография

[1] Федеральный закон от 21 декабря 1994 г. № 68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера»

[2] Федеральный закон от 21 июля 1997 г. № 116-ФЗ «О промышленной безопасности опасных производственных объектов»

[3] Федеральный закон от 21 июля 1997 г. № 117-ФЗ «О безопасности гидротехнических сооружений»

[4] Федеральный закон от 2 января 2000 г. № 29-ФЗ «О качестве и безопасности пищевых продуктов»

[5] Федеральный закон от 10 января 2002 г. № 7-ФЗ «Об охране окружающей среды»

[6] Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании»

[7] Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о

защите информации»

[8] Федеральный закон от 9 февраля 2007 г. № 16-ФЗ «О транспортной безопасности»

[9] Федеральный закон от 22 июля 2008 г. № 123-ФЗ «Технический регламент о требованиях пожарной безопасности»

[10] Федеральный закон от 30 декабря 2009 г. № 384-ФЗ «Технический регламент о безопасности зданий и сооружений»

[11] Федеральный закон от 28 декабря 2010 г. № 390-ФЗ «О безопасности»

[12] Федеральный закон от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса»

[13] Федеральный закон от 28 декабря 2013 г. № 426-ФЗ «О специальной оценке условий труда»

[14] Федеральный закон от 28 июня 2014 г. № 172-ФЗ «О стратегическом планировании в Российской Федерации»

[15] Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

44

ГОСТ Р 71438—2024

УДК 006.34:004.056:004.056.5:004.056.53:006.354 ОКС 35.020

Ключевые слова: безопасность, возможности, качество, модель, оценка, риск, свойство, система, управление

45

Редактор Л. С. Зимилова

Технический редактор В.Н. Прусакова

Корректор С.И. Фирсова

Компьютерная верстка Е.А. Кондрашовой

Сдано в набор 11.06.2024. Подписано в печать 25.06.2024. Формат 60x84%. Гарнитура Ариал.

Усл. печ. л. 5,58. Уч.-изд. л. 4,46.

Подготовлено на основе электронной версии, предоставленной разработчиком стандарта

Создано в единичном исполнении в ФГБУ «Институт стандартизации» , 117418 Москва, Нахимовский пр-т, д. 31, к. 2.