ar-net.ru b) количественно оцениваются вероятности и последствия осуществления рисков;
c) устанавливается стратегия реакции на каждый из рисков;
d) определяется и объявляется статус риска;
е) принимаются соответствующие меры в случае, если риск вышел за пределы приемлемых значений.
5.4.6.3 Деятельность процесса управления рисками
В процессе управления рисками организация должна осуществлять следующие действия в соответствии с принятой политикой и процедурами:
a) утвердить систематический подход к определению рисков, их оценке и обработке.
Примечание - К данному действию относят определение событий, которые неблагоприятно влияют на систему, проект или организацию, а также классификацию рисков (при необходимости). В отношении качества, затрат, сроков или технических характеристик определяют способ выражения рисков в соответствующих терминах, включая показатели там, где это возможно;
b) идентифицировать и определять риски.
Примечание - К этому действию относят определение исходных событий, связанных с каждым риском в каждой из категорий рисков, а также выявление взаимосвязей между источниками возникновения рисков. Определяют способ выражения рисков в соответствующих терминах и, при возможности, в показателях;
c) определять вероятности событий, связанных с рисками, используя установленные критерии.
Примечание - Критерии могут учитывать затраты, официальные и предписанные требования, социально-экономические аспекты и факторы внешней среды, интересы правообладателей, приоритеты и иные исходные данные для оценки;
d) оценивать риски в терминах их возможных последствий, используя установленные критерии;
e) определять градации рисков по их вероятности и последствиям;
f) определять стратегии реакции на риски.
Примечание - К этому действию относятся:
1) предупреждение риска путем принятия решения об уклонении от вовлечения в опасную ситуацию либо выхода из нее;
2) оптимизация риска, включая его уменьшение, для снижения негативных последствий и значений соответствующих вероятностей. Оптимизация риска зависит от критериев риска, в том числе затрат и утвержденных требований;
3) передача риска путем разделения ответственности за несение ущерба с другой стороной;
4) удержание риска в границах приемлемого ущерба;
g) определять значения допустимых границ для каждого идентифицированного риска;
h) определять действия по обработке рисков в случае превышения ими допустимых границ.
Примечание - Для рисков с тяжелыми последствиями необходимо составлять чрезвычайные планы, которые будут реализовываться, если меры по уменьшению риска не привели к приемлемым результатам;
i) сообщать о мерах по обработке рисков и их статусе в соответствии с действующими соглашениями, политикой и процедурами;
j) вести учет рисков в течение всего жизненного цикла.
Примечание - Учет включает определение текущего понимания рисков и отношения к мерам и ресурсам, связанным с реакцией на риски. Такой учет позволяет отслеживать историю рисков, что помогает при принятии решений и может оказаться примером для проектирования будущих систем.
5.4.7 Процесс управления конфигурацией
5.4.7.1 Цель процесса управления конфигурацией
Цель процесса управления конфигурацией состоит в установлении и поддержании целостности всех идентифицированных выходных результатов проекта или процесса обеспечения доступа к ним любой заинтересованной стороны.
5.4.7.2 Результаты процесса управления конфигурацией
В результате успешного осуществления процесса управления конфигурацией:
a) определяется стратегия управления конфигурацией;
b) определяются элементы, нуждающиеся в управлении конфигурацией;
c) устанавливается базовая линия конфигурации;
d) контролируются изменения элементов, нуждающихся в управлении конфигурацией;
е) контролируется конфигурация выделенных элементов;
f) становится доступным на протяжении всего жизненного цикла статус элементов конфигурации, на которые распространяется управление.
5.4.7.3 Деятельность в процессе управления конфигурацией
При реализации процесса управления конфигурацией организация должна осуществлять следующие действия в соответствии с принятой политикой и процедурами:
a) определять стратегию управления конфигурацией.
Примечание - К этому действию относят: определение полномочий на запрет или разрешение доступа, реализацию и контроль изменений элементов конфигурации; определение места и условий хранения элементов конфигурации, включая требования к окружающей среде, а в случае информации - требования к хранению носителей информации в соответствии с назначенными уровнями целостности, защищенности и безопасности; определение критериев или событий, соответствующих началу контроля конфигурации и сопровождения базовых линий в процессе эволюции конфигураций; определение стратегии аудита и ответственности за гарантии непрерывной целостности и защищенности информации, описывающей конфигурацию. Деятельность по управлению конфигурацией должна быть совместима с [11];
b) идентифицировать элементы, которые необходимо контролировать в процессе управления конфигурацией.
Примечание - Элементы, где это необходимо, различаются уникальными устойчивыми идентификаторами или маркировками. Идентификаторы должны соответствовать стандартам и соглашениям производственного сектора так, чтобы контролируемые элементы конфигурации однозначно соответствовали своим спецификациям или эквивалентным документальным описаниям;
c) поддерживать информацию о конфигурации на приемлемом уровне целостности и защищенности.
Примечание - При реализации этого действия необходимо учитывать особенности контролируемых элементов конфигурации. Описания конфигурации должны соответствовать производственным или технологическим стандартам там, где это возможно. Необходимо гарантировать прямую и обратную прослеживаемость информации о конфигурации по отношению к другим состояниям базовой линии конфигурации. Следует также объединять в процессе развития конфигурации состояния ее элементов для формирования документированной базовой линии на определенный момент времени или при определенных обстоятельствах, регистрировать обоснования для базовой линии конфигурации и связанные с этим данные о соответствующих разрешениях. Необходимо поддерживать записи о конфигурации в течение всего жизненного цикла и архивировать их в соответствии с соглашениями, законодательством или передовым производственным опытом;
d) гарантировать, что изменения базовой линии конфигурации соответствующим образом идентифицируются, записываются, оцениваются, утверждаются, проводятся и верифицируются.
Примечание - Эти действия также могут включать объединение в процессе развития конфигурации состояний ее элементов для формирования документированной базовой линии на определенный момент времени или при определенных обстоятельствах; регистрировать этапы конфигурации, обоснования для базовой линии и связанные с этим данные о соответствующих разрешениях; поддерживать записи о конфигурации в течение жизненного цикла и архивировать их в соответствии с соглашениями, законами или наилучшей производственной практикой; управлять выполнением записей, изменениями и утверждениями текущего статуса конфигурации и статуса всех предыдущих конфигураций для подтверждения корректности, своевременности, целостности и защищенности информации; проводить аудит для проверки соответствия базовой линии чертежам, документам по контролю интерфейсов и другим требованиям, указанным в соглашении.
5.4.8 Процесс управления информацией
5.4.8.1 Цель процесса управления информацией
Цель процесса управления информацией состоит в своевременном предоставлении заинтересованным сторонам необходимой полной, достоверной и, если требуется, конфиденциальной информации в течение и, соответственно, после завершения жизненного цикла системы.