"ГОСТ Р 71998-2025. Национальный стандарт Российской Федерации. Информационные технологии. Требования и оценка качества систем и программного обеспечения. Определение качества ИТ-услуг" (утв. и введен в действие Приказом Росстандарта от 25.03.2025 N 213-ст)

Главная // Актуальные документы // Актуальные документы (обновление 2025.04.26-2025.05.31) // ГОСТ Р (Государственный стандарт)

СПРАВКА

Источник публикации

М.: ФГБУ "Институт стандартизации", 2025

Примечание к документу

Документ вводится в действие с 30.06.2025.

Название документа

"ГОСТ Р 71998-2025. Национальный стандарт Российской Федерации. Информационные технологии. Требования и оценка качества систем и программного обеспечения. Определение качества ИТ-услуг"

(утв. и введен в действие Приказом Росстандарта от 25.03.2025 N 213-ст)

Содержание

ГОСТ Р 71998-2025. Национальный стандарт Российской Федерации. Информационные технологии. Требования и оценка качества систем и программного обеспечения. Определение качества ИТ-услуг

3 Термины и определения

4 Общие положения

4.1 Цель определения качества

4.2 Примеры показателей качества ИТ-услуг и их применения

Приложение А. Типовые показатели, модели и методы прогнозирования рисков

Приложение Б. Рекомендации по определению допустимых вероятностных значений рисков

Приложение В. Рекомендации по перечню методик системного анализа

Библиография

Утвержден и введен в действие

Приказом Федерального агентства

по техническому регулированию

и метрологии

от 25 марта 2025 г. N 213-ст

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

ТРЕБОВАНИЯ И ОЦЕНКА КАЧЕСТВА СИСТЕМ

И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

ОПРЕДЕЛЕНИЕ КАЧЕСТВА ИТ-УСЛУГ

Information technologies. Systems and software quality

requirements and evaluation. Measurement

of IT-service quality

(ISO/IEC TS 25025:2021, NEQ)

ГОСТ Р 71998-2025

ОКС 35.020

Дата введения

30 июня 2025 года

Предисловие

1 РАЗРАБОТАН Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) и Комиссией Российской академии наук по техногенной безопасности

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 25 марта 2025 г. N 213-ст

4 Настоящий стандарт разработан с учетом основных нормативных положений международного документа ISO/IEC TS 25025:2021 "Информационные технологии. Требования и оценка качества систем и программного обеспечения (SQuaRE). Измерения качества ИТ-услуг" [ISO/IEC TS 25025:2021 "Information technology - Systems and software Quality Requirements and Evaluation (SQuaRE) - Measurement of IT service quality", NEQ]

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

Настоящий стандарт может быть использован самостоятельно, а также во взаимосвязи с другими национальными стандартами в области информационных технологий (ИТ), а также с международными стандартами по системной и программной инженерии.

Цель разработки стандарта состоит в обеспечении оценки показателей качества систем, оказывающих соответствующие ИТ-услуги, их программного обеспечения (ПО) и реализуемых процессов, применяемых при оказании ИТ-услуг. Получаемые результаты применения стандарта предназначены к использованию при проведении системного анализа и обосновании мер поддержания качества оказываемых ИТ-услуг на приемлемом уровне.

Настоящий стандарт предназначен для использования организациями, оказывающими и использующими ИТ-услуги и участвующими в создании (модернизации, развитии), эксплуатации систем и ПО, а также для специалистов оценивающих организаций и разработчиков методов и инструментариев, поддерживающих измерения качества ИТ-услуг и системный анализ рисков.

1 Область применения

Настоящий стандарт устанавливает основные положения по измерению качества ИТ-услуг при формировании требований и оценке качества систем различного функционального назначения, оказывающих ИТ-услуги, и их программного обеспечения (ПО).

В общем случае проблематика определения и измерения качества ИТ-услуг, его отслеживания в жизненном цикле систем и ПО и поддержания приемлемого качества на должном уровне связана с решением задач создания, эффективного функционирования и развития сложных систем (например, согласно требованиям федеральных законов (см. [1] - [10]):

- при разработке, функционировании и развитии народнохозяйственных, инженерно-технических, энергетических, транспортных систем, систем связи и коммуникаций;

- развитии критических технологий (например, компьютерного моделирования; информационных и когнитивных технологий; технологий информационных, управляющих, навигационных систем; технологий и программного обеспечения распределенных и высокопроизводительных вычислительных систем; технологий мониторинга и прогнозирования состояния окружающей среды);

- технической диагностике, управлении ресурсом эксплуатации критически важных объектов и систем;

- разработке, функционировании и развитии топливно-энергетического комплекса, нефтяной, газовой и нефтехимической промышленности, электроэнергетики, трубопроводного транспорта;

- проведении исследований по снижению экономических, экологических и социальных ущербов от природных и природно-техногенных катастроф и нарушений качества, безопасности и эффективности критически и стратегически важных систем.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ IEC 61508-3 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению

ГОСТ Р 27.101 Надежность в технике. Надежность выполнения задания и управление непрерывностью деятельности. Термины и определения

ГОСТ Р 27.102 Надежность в технике. Надежность объекта. Термины и определения

ГОСТ Р 51901.1 Менеджмент риска. Анализ риска технологических систем

ГОСТ Р 51901.7/ISO/TR 31004:2013 Менеджмент риска. Руководство по внедрению ИСО 31000

ГОСТ Р 51901.16 (МЭК 61164:2004) Менеджмент риска. Повышение надежности. Статистические критерии и методы оценки

ГОСТ Р 54124 Безопасность машин и оборудования. Оценка риска

ГОСТ Р 57193 Системная и программная инженерия. Процессы жизненного цикла систем

ГОСТ Р 58494 Оборудование горно-шахтное. Многофункциональные системы безопасности угольных шахт. Система дистанционного контроля опасных производственных объектов

ГОСТ Р 58606/ISO/IEC/IEEE 15939:2017 Системная и программная инженерия. Процесс измерения

ГОСТ Р 58771 Менеджмент риска. Технологии оценки риска

ГОСТ Р 59329-2021 Системная инженерия. Защита информации в процессах приобретения и поставки продукции и услуг для системы

ГОСТ Р 59330-2021 Системная инженерия. Защита информации в процессе управления моделью жизненного цикла системы

ГОСТ Р 59331-2021 Системная инженерия. Защита информации в процессе управления инфраструктурой системы

ГОСТ Р 59332-2021 Системная инженерия. Защита информации в процессе управления портфелем проектов

ГОСТ Р 59333-2021 Системная инженерия. Защита информации в процессе управления человеческими ресурсами системы

ГОСТ Р 59334-2021 Системная инженерия. Защита информации в процессе управления качеством системы

ГОСТ Р 59335-2021 Системная инженерия. Защита информации в процессе управления знаниями о системе

ГОСТ Р 59336-2021 Системная инженерия. Защита информации в процессе планирования проекта

ГОСТ Р 59337-2021 Системная инженерия. Защита информации в процессе оценки и контроля проекта

ГОСТ Р 59338-2021 Системная инженерия. Защита информации в процессе управления решениями

ГОСТ Р 59339-2021 Системная инженерия. Защита информации в процессе управления рисками для системы

ГОСТ Р 59340-2021 Системная инженерия. Защита информации в процессе управления конфигурацией системы

ГОСТ Р 59341-2021 Системная инженерия. Защита информации в процессе управления информацией системы

ГОСТ Р 59342-2021 Системная инженерия. Защита информации в процессе измерений системы

ГОСТ Р 59343-2021 Системная инженерия. Защита информации в процессе гарантии качества для системы

ГОСТ Р 59344-2021 Системная инженерия. Защита информации в процессе анализа бизнеса или назначения системы

ГОСТ Р 59345-2021 Системная инженерия. Защита информации в процессе определения потребностей и требований заинтересованной стороны для системы

ГОСТ Р 59346-2021 Системная инженерия. Защита информации в процессе определения системных требований

ГОСТ Р 59347-2021 Системная инженерия. Защита информации в процессе определения архитектуры системы

ГОСТ Р 59348-2021 Системная инженерия. Защита информации в процессе определения проекта

ГОСТ Р 59349-2021 Системная инженерия. Защита информации в процессе системного анализа

ГОСТ Р 59350-2021 Системная инженерия. Защита информации в процессе реализации системы

ГОСТ Р 59351-2021 Системная инженерия. Защита информации в процессе комплексирования системы

ГОСТ Р 59352-2021 Системная инженерия. Защита информации в процессе верификации системы

ГОСТ Р 59353-2021 Системная инженерия. Защита информации в процессе передачи системы

ГОСТ Р 59354-2021 Системная инженерия. Защита информации в процессе аттестации системы

ГОСТ Р 59355-2021 Системная инженерия. Защита информации в процессе функционирования системы

ГОСТ Р 59356-2021 Системная инженерия. Защита информации в процессе сопровождения системы

ГОСТ Р 59357-2021 Системная инженерия. Защита информации в процессе изъятия и списания системы

ГОСТ Р 59853 Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения

ГОСТ Р 59989-2022 Системная инженерия. Системный анализ процесса управления качеством системы

ГОСТ Р 59990-2022 Системная инженерия. Системный анализ процесса оценки и контроля проекта

ГОСТ Р 59991-2022 Системная инженерия. Системный анализ процесса управления рисками для системы

ГОСТ Р 59992-2022 Системная инженерия. Системный анализ процесса управления моделью жизненного цикла системы

ГОСТ Р 59993-2022 Системная инженерия. Системный анализ процесса управления инфраструктурой системы

ГОСТ Р 59994-2022 Системная инженерия. Системный анализ процесса гарантии качества для системы

ГОСТ Р ИСО 9000 Системы менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО 13379-1 Контроль состояния и диагностика машин. Методы интерпретации данных и диагностирования. Часть 1. Общее руководство

ГОСТ Р ИСО 13381-1 Контроль состояния и диагностика машин. Прогнозирование технического состояния. Часть 1. Общее руководство

ГОСТ Р ИСО 17359 Контроль состояния и диагностика машин. Общее руководство

ГОСТ Р ИСО/МЭК 12207 Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств

ГОСТ Р ИСО/МЭК 15026 Информационная технология. Уровни целостности систем и программных средств

ГОСТ Р ИСО/МЭК 15026-4 Системная и программная инженерия. Гарантирование систем и программного обеспечения. Часть 4. Гарантии жизненного цикла

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ГОСТ Р ИСО/МЭК 27002 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности

ГОСТ Р ИСО/МЭК 27005 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

ГОСТ Р ИСО/МЭК 33001 Информационные технологии. Оценка процессов. Понятия и терминология

ГОСТ Р МЭК 61069-1 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 1. Терминология и общие концепции

ГОСТ Р МЭК 61069-2 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 2. Методология оценки

ГОСТ Р МЭК 61069-3 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 3. Оценка функциональности системы

ГОСТ Р МЭК 61069-4 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 4. Оценка производительности системы

ГОСТ Р МЭК 61069-5 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 5. Оценка надежности системы

ГОСТ Р МЭК 61069-6 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 6. Оценка эксплуатабельности системы

ГОСТ Р МЭК 61069-7 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 7. Оценка безопасности системы

ГОСТ Р МЭК 61069-8 Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 8. Оценка других свойств системы

ГОСТ Р МЭК 61508-1 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования

ГОСТ Р МЭК 61508-2 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам

ГОСТ Р МЭК 61508-4 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения

ГОСТ Р МЭК 61508-5 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности

ГОСТ Р МЭК 61508-6 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3

ГОСТ Р МЭК 61508-7 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства

ГОСТ Р МЭК 62264-1 Интеграция систем управления предприятием. Часть 1. Модели и терминология

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 27.101, ГОСТ Р 27.102, ГОСТ Р ИСО 9000, ГОСТ Р ИСО/МЭК 15026, ГОСТ Р ИСО/МЭК 15026-4, ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 33001, ГОСТ Р 59853, ГОСТ Р 59989, ГОСТ Р МЭК 61508-4, ГОСТ Р МЭК 62264-1, а также следующие термины с соответствующими определениями:

3.1

вероятностное пространство: Тройка, состоящая из пространства элементарных событий, заданной на нем сигма-алгебры событий и вероятностной меры.

[ГОСТ Р ИСО 3534-1-2019, статья 2.68]

3.2

вероятность события: Действительное число из замкнутого промежутка [0, 1], приписываемое событию.

[ГОСТ Р ИСО 3534-1-2019, статья 2.5]

Примечание - Вероятность события оценивается с помощью вероятностной меры, устанавливаемой в рамках вероятностного пространства.

3.3

допустимый риск: Риск, который в данной ситуации считают приемлемым при существующих общественных ценностях.

[ГОСТ Р 51898-2002, пункт 3.7]

3.4

измерение: Набор операций, предназначенных для определения значения показателя.

[ГОСТ Р 58606-2019, пункт 3.17]

3.5 ИТ-услуга: Услуга с использованием средств ИТ.

3.6

качество используемой информации в системе: Совокупность свойств используемой информации, обусловливающих ее пригодность для последующего использования в соответствии с целевым назначением в системе.

[ГОСТ Р 59341-2021, пункт 3.1.13]

3.7

качество ИТ-услуги: Совокупность свойств, обусловливающих пригодность ИТ-услуги в соответствии с ее целевым назначением.

[Адаптировано из ГОСТ Р 59341-2021, пункт 3.1.14]

3.8

моделируемая система: Система, для которой решение задач системного анализа осуществляется с использованием ее формализованной модели, позволяющей исследовать критичные сущности системы в условиях ее создания и/или применения, учитывающей структурные связи между переменными или постоянными элементами формализованного представления, задаваемые условия и ограничения.

Примечание - В качестве модели системы могут выступать формализованные сущности, объединенные целевым назначением. Например, при проведении системного анализа в принимаемых допущениях, ограничениях и предположениях модель может формально описывать функциональные подсистемы и элементы, процессы, реализуемые действия, множество активов и/или выходных результатов или множество этих или иных сущностей в их целенаправленном применении в задаваемых условиях.

[ГОСТ Р 59994-2022, пункт 3.1.4]

3.9 модель рассматриваемой системы: Формализованное описание реальной рассматриваемой системы с предположениями и допущениями, позволяющее исследовать критичные сущности этой системы в условиях ее создания и/или применения, учитывающей структурные связи между переменными или постоянными элементами формализованного представления, задаваемые условия и ограничения.

3.10

риск: Влияние неопределенности на достижение поставленных целей.

Примечания

1 Под влиянием неопределенности понимается отклонение от ожидаемого результата. Оно может быть положительным и/или отрицательным, может создавать или приводить к возникновению возможностей и угроз.

2 Цели могут иметь различные аспекты и категории и определяться на различных уровнях.

3 Риск часто выражается через его источники, потенциальные события, их последствия и вероятность.

[ГОСТ Р 51897-2021, статья 2.1]

3.11

системная инженерия: Междисциплинарный подход, управляющий полным техническим и организаторским усилием, требуемым для преобразования ряда потребностей заинтересованных сторон, ожиданий и ограничений в решение и для поддержки этого решения на протяжении его жизненного цикла.

[ГОСТ Р 57193-2025, пункт 3.1.42]

3.12

система-эталон: Реальная или гипотетичная система, которая по своим интегральным показателям прогнозируемых рисков нарушения качества и/или безопасности принимается в качестве эталона для полного удовлетворения требований заинтересованных сторон рассматриваемой системы и рационального решения задач системного анализа.

[Адаптировано из ГОСТ Р 59343-2021, пункт 3.1.14]

3.13

системный анализ процесса управления рисками для системы: Научный метод системного познания, предназначенный для решения практических задач системной инженерии путем представления рассматриваемых системных процессов, системы и/или соответствующего проекта в виде приемлемой моделируемой системы.

Примечания

1 Метод включает:

- измерение и оценку специальных показателей, связанных с критичными сущностями рассматриваемой системы, прогнозирование рисков, интерпретацию и анализ приемлемости получаемых результатов для рассматриваемых системных процессов, системы (и/или ее элементов) и/или проекта;

- определение с использованием моделирования существенных угроз и условий, способных при том или ином развитии событий негативно повлиять на свойства рассматриваемых системных процессов, системы (и/или ее элементов) и/или проекта;

- обоснование с использованием моделирования упреждающих мер противодействия угрозам, обеспечивающих желаемые свойства рассматриваемых процесса, системы (и/или ее элементов) и/или проекта при задаваемых ограничениях в задаваемый период времени;

- обоснование с использованием моделирования предложений по обеспечению и повышению качества, безопасности и/или эффективности рассматриваемой системы (и/или ее элементов) и достижению целей системной инженерии при задаваемых ограничениях в задаваемый период времени.

2 К специальным критичным сущностям системы могут быть отнесены отдельные характеристики (например, физические параметры, характеристики качества, безопасности, размеры, стоимость), достигаемые эффекты, выполняемые функции, действия или защищаемые активы. При этом в состав рассматриваемых могут быть включены характеристики, эффекты, функции, действия и активы, свойственные не только самой системе, но и иным системам (подсистемам), не вошедшим в состав рассматриваемой системы. Например, это могут быть характеристики, эффекты, функции, действия и активы, свойственные обеспечивающим системам, привлекаемым информационным системам и/или базам данных, охватываемым по требованиям заказчика.

[ГОСТ Р 59991-2022, пункт 3.1.9]

3.14

требование: Требуемая (ожидаемая) количественная или качественная характеристика или свойство объекта, а также связанные ограничения и условия.

[ГОСТ Р 59194-2020, пункт 3.1.21]

3.15

услуга: Способ предоставления ценности заказчику через содействие ему в получении конечных результатов, которых заказчик хочет достичь.

Примечания

1 Услуга, как правило, нематериальна.

2 Услуга также может предоставляться поставщику услуг подрядчиком, внутренней группой или заказчиком, выступающим в качестве подрядчика.

[ГОСТ Р 57392-2017/ISO/IEC TR 20000-10:2015, статья 2.26]

3.16

целостность моделируемой системы: Состояние моделируемой системы, которое отвечает целевому назначению модели системы в течение задаваемого периода прогноза.

[ГОСТ Р 59991-2022, пункт 3.1.10]

4 Общие положения

4.1 Цель определения качества

Цель определения качества ИТ-услуг заключается в оценке показателей качества систем, оказывающих соответствующие услуги, ПО и реализуемых процессов, применяемых при оказании услуг. Получаемые при этом официальные отчеты об объективных данных и информации по оказанию услуг, результаты измерений предназначены для использования при демонстрации достигаемого качества ИТ-услуг, проведении системного анализа и обосновании мер поддержания качества оказываемых ИТ-услуг на приемлемом уровне. Измерения качества ИТ-услуг осуществляют в процессе измерений с учетом положений ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 57193, ГОСТ Р 58606, ГОСТ Р 59342.

4.2 Примеры показателей качества ИТ-услуг и их применения

Качество ИТ-услуг определяют степенью удовлетворения заявленных и подразумеваемых потребностей. Используемые при этом показатели должны количественно характеризовать качество ИТ-услуг. Допускается использование любых показателей качества ИТ-услуг, с помощью которых возможно проведение системного анализа и обоснование мер поддержания качества оказываемых ИТ-услуг на приемлемом уровне.

Показатели качества ИТ-услуг определяют с учетом специфики систем, требований заказчика и потребностей пользователей систем. Примеры некоторых показателей качества ИТ-услуг (показателей соответствия, практичности, безопасности, надежности, восприятия, оперативности реагирования, адаптируемости, сопровождаемости), их краткая характеристика, типовые практические вопросы при измерениях и варианты упрощенной оценки показателей приведены в таблице 1.

Таблица 1

Пример показателей качества ИТ-услуг

Показатели качества ИТ-услуги	Характеристика составных показателей	Типовые вопросы при измерениях и примеры оценки показателей
Показатели соответствия
Полнота	Функциональный охват	Какая доля указанных функций (X) реализуется? X = 1 - A/B, A - количество отсутствующих функций ИТ-услуги; B - количество востребованных функций ИТ-услуги. Примечания 1 Функции могут быть приведены в соглашении об ИТ-обслуживании, техническом задании на разработку системы (ПО), спецификации проекта, руководстве пользователя или во всех этих документах. 2 Отсутствующие функции ИТ-услуги выявляются в случае, когда услуга неспособна реализовать требуемую функцию.
	Достижение поставленных целей, решение подлежащих решению задач	Какая доля поставленных целей (X) достигается? Какая доля поставленных задач (X) решается? X = 1 - A/B, A - количество целей, которые не достигнуты и/или задач, которые не решены в рамках ИТ-услуги; B - количество целей, которые поставлены, и/или задач, которые подлежат решению в рамках реализованной ИТ-услуги
	Заполнение элементов данных	Какая доля востребованных элементов данных (X) была заполнена данными? X = A/B A - количество отражаемых элементов данных; B - количество востребованных элементов данных Примечание - "Отражаемые элементы данных" - это набор данных, которые должны быть занесены в базу данных для каждого элемента данных, необходимого для предоставления пользователям ИТ-услуги
Корректность	Корректность реализации ИТ-услуги	Какая доля функций ИТ-услуги (X) дает корректные результаты? X = 1 - A/B, A - количество функций ИТ-услуги, в результате выполнения которых получаются некорректные данные; B - количество востребованных функций ИТ-услуги. Примечания 1 Функция услуги является некорректной, если она не обеспечивает получения разумных и приемлемых результатов для достижения конкретной поставленной цели. 2 В числе рассматриваемых для оценки функций услуги могут быть все функции, предоставляемые ИТ-услугой, или определенный набор функций, необходимых для конкретного варианта использования результатов ИТ-услуги. 3 Поставщик услуг может оценить отдельную функцию путем ее проверки или тестирования и определить, успешно ли она обеспечивает получение разумных и приемлемых результатов для конкретных целей или нет.
Корректность	Соответствие определенному процессу	Какая доля функций ИТ-услуги (X) использует заданный процесс? X = A/B, A - количество функций ИТ-услуги, использующих определенный процесс; B - общее количество функций ИТ-услуги
Приемлемость	Приемлемость функций ИТ-услуги к условиям использования	Какая доля реализуемых ИТ-услугой функций (X) соответствует условиям использования? X = A/B, A - количество функций ИТ-услуги, удовлетворяющих потребностям пользователей услуги; B - общее количество функций ИТ-услуги
Приемлемость	Соответствие функций ИТ-услуги потребностям пользователей	Какая доля функций ИТ-услуги (X) соответствует уровню образованности, навыкам, опыту и квалификации пользователей, получающих ИТ-услугу? X = A/B, A - количество функций ИТ-услуги, соответствующих уровню образованности, навыкам, опыту и квалификации пользователей, получающих ИТ-услугу; B - общее количество функций ИТ-услуги
Непротиворечивость (относится к случаю, когда процесс ИТ-услуги состоит из нескольких подпроцессов, которые должны предоставлять услуги одинаковым или схожим образом)	Согласованность подпроцессов ИТ-услуги	Сколько повторяющихся или схожих подпроцессов ИТ-услуги (X) выполняется согласованно (без противоречивых результатов)? X = A/B, A - количество повторяющихся и схожих подпроцессов среди функций ИТ-услуги, выполняемых согласованно; B - общее количество повторяющихся и схожих подпроцессов среди функций ИТ-услуги, требующих согласованности
	Согласованность качества подпроцессов ИТ-услуги	Какая доля повторяющихся или схожих подпроцессов ИТ-услуги (X) обеспечивает необходимое качество результатов? X = A/B, A - количество повторяющихся или схожих подпроцессов среди функций ИТ-услуги, обеспечивающих необходимое качество результатов; B - общее количество повторяющихся и схожих подпроцессов среди функций ИТ-услуги, требующих согласованности
Показатели практичности
Распознавание приемлемости	Полнота описания	Какая часть функций ИТ-услуги (X) описана с помощью артефактов услуги? X = A/B, A - количество функций ИТ-услуги, описанных с помощью артефактов; B - общее количество функций ИТ-услуги, требующих описания с помощью артефактов. Примечание - К артефактам услуги относятся план или порядок оказания услуги, отчетность об оказании услуги.
Распознавание приемлемости	Охват демонстрационными примерами	Какая часть функций ИТ-услуги (X) охвачена демонстрационными примерами, помогающими пользователям понять степень соответствия реализуемых функций их потребностям? X = A/B, A - количество функций ИТ-услуги, охватываемых демонстрационными примерами; B - общее количество функций ИТ-услуги, для которых требуются демонстрационные примеры, помогающие пользователям понять степень соответствия функций их потребностям
Обучаемость	Полнота руководства пользователя (инструкции пользователю)	Какая часть функций ИТ-услуги (X) описана в руководстве пользователя? X = A/B, A - количество функций ИТ-услуги, описанных в руководстве пользователя; B - количество функций ИТ-услуги, которые подлежат описанию в руководстве пользователя
	Качество руководства пользователя (инструкции пользователю)	Какая часть руководства пользователя (X) обладает необходимым качеством для самообучения пользователей без поддержки поставщика ИТ-услуги? X = A/B, A - количество функций в руководстве пользователя, обеспечивающих самообучение пользователей без поддержки поставщика ИТ-услуги; B - количество функций ИТ-услуги, описанных в руководстве пользователя
	Эффективность использования руководства пользователя (инструкции пользователю)	Какую часть функций ИТ-услуги (X) пользователи могут освоить за определенный период времени, используя руководство пользователя? X = A/B, A - количество функций ИТ-услуги, которые пользователи могут освоить за определенный период времени, используя руководство пользователя; B - количество функций ИТ-услуги, описанных в руководстве пользователя
Функциональность	Ясность сообщений	Какая доля сообщений в рамках ИТ-услуги (X) имеет четкое и понятное содержание, позволяющее пользователям безошибочно пользоваться услугой? X = A/B, A - количество сообщений, описанных четко и понятно для безошибочного пользования услугой; B - количество сообщений, подлежащих реализации. Примечание - Сообщения должны содержать максимально возможный объем информации, объясняющей принципы пользования услугой и управления ею.
	Понятность классификации услуг	В какой степени классификация услуг понятна конечным пользователям (X)? X = A/B, A - количество категорий услуг, понятных конечным пользователям; B - общее количество используемых категорий услуг
	Степень автоматизации ИТ-услуги	Какая часть автоматизируемых функций ИТ-услуги (X) полностью автоматизирована без необходимости дополнительного вмешательства поставщика услуг или поддержки специалиста? X = A/B, A - количество полностью автоматизированных функций ИТ-услуги; B - общее количество функций ИТ-услуги, включая полностью автоматизированные функции и функции, требующие дополнительного вмешательства поставщика услуг или поддержки специалиста
	Возможность оценки затрат времени	Какая часть функций ИТ-услуги (X) содержит информацию об оценке затраченного пользователями времени на выполнение функций? X = A/B, A - количество функций ИТ-услуги, предоставляющих информацию об оценке затраченного пользователями времени на пользование функций; B - общее количество функций ИТ-услуги
Защищенность от ошибок пользователя	Предотвращение ошибок пользователя	Какая доля действий пользователя и вводимых им данных (X) защищена от возникновения ошибок? X = A/B, A - количество действий пользователя и вводимых им данных, которые реально защищены от возникновения ошибок; B - количество действий пользователя и вводимых им данных, которые должны быть защищены от возникновения ошибок
Защищенность от ошибок пользователя	Исправление ошибок пользователя	Какая доля ошибок пользователя (X) может быть исправлена? X = A/B, A - количество исправляемых ошибок; B - количество возможных ошибок пользователя
Доступность	Доступность для пользователей с ограниченными возможностями	В какой степени пользователи с ограниченными возможностями могут успешно использовать услугу (X) (с помощью вспомогательных технологий, если это необходимо)? X = A/B, A - количество функций ИТ-услуги, предназначенных для успешного применения пользователями с ограниченными возможностями; B - общее количество предоставляемых ИТ-услугой функций. Примечания 1 К специфическим видам инвалидности относятся когнитивные нарушения, двигательные нарушения, нарушения слуха/голоса, зрения и т.д. Характер ограниченных возможностей включает в т.ч. инвалидность, связанную с возрастом. 2 Любой человек может стать пользователем с ограниченными когнитивными, физическими, слуховыми или зрительными возможностями в определенных ситуациях или условиях, например, в темноте, при низком атмосферном давлении на большой высоте, в воде и т.д.
Доступность	Поддержка языков	Какая доля необходимых языков (X) поддерживается? X = A/B, A - количество фактически поддерживаемых языков; B - количество поддерживаемых языков, указанное в спецификациях или пользовательской документации. Примечание - Когда пользователи используют ИТ-услугу на языке, отличном от родного, они часто делают ошибки и порой отказываются от использования услуги, не достигнув намеченных целей. Это один из примеров снижения доступности услуги, ведущих к непониманию результатов ее работы. Поэтому необходимо продумать, определить и реализовать языковую поддержку для пользователей из разных стран.
Соблюдение этикета	Вежливость в оказании услуг, поведении и отношении	Какая доля функций ИТ-услуги (X) выполняется с соблюдением норм этикета по отношению к пользователю (вежливости в оказании услуг, поведении и отношении)? X = A/B, A - количество функций ИТ-услуги, которые выполняются с соблюдением норм этикета по отношению к пользователю; B - общее количество функций ИТ-услуги. Примечания 1 Степень вежливости применительно к языку, поведению и отношению можно измерить с помощью опросов об удовлетворенности пользователей. 2 Вежливый язык означает использование понятных для пользователя слов вместо терминологии, специфичной для ИТ.
Соблюдение этикета	Контроль доступа	Какая доля конфиденциальной информации (X) защищена методами контроля доступа? X = A/B, A - объем конфиденциальной информации, защищенной с использованием методов контроля доступа; B - объем конфиденциальной информации, требующей защиты
Показатели безопасности
Защита информации	Полнота мер защиты для обеспечения конфиденциальности информации	Какая доля мер защиты конфиденциальной информации (X) фактически используется? X = A/B, A - количество применяемых мер защиты конфиденциальной информации; B - количество требуемых мер защиты конфиденциальной информации. Примечание - Примерами мер защиты являются: использование учетных данных для входа в систему, биометрическая аутентификация и др.
Защита информации	Эффективность защиты информации	Какая доля обращений к конфиденциальной информации (X) осуществляется неавторизованными лицами? X = 1 - A/B, A - количество успешных попыток доступа к конфиденциальной информации неавторизованными лицами за заданный период; B - общее количество обращений к конфиденциальной информации за заданный период. Примечание - См. также методы оценки, приведенные в ГОСТ Р 59329 - ГОСТ Р 59357, ГОСТ Р 59989 - ГОСТ Р 59994.
Целостность	Обеспечение целостности	Какая доля защищаемой информации не была подвержена случайным или злонамеренным изменениям (X)? X = 1 - A/B, A - количество случайно или злонамеренно измененных элементов защищаемой информации; B - количество элементов защищаемой информации, требующих сохранения целостности. Примечание - См. также методы оценки, приведенные в ГОСТ Р 59329 - ГОСТ Р 59357, ГОСТ Р 59989 - ГОСТ Р 59994.
Прослеживаемость	Регистрация действий пользователей	Насколько полно осуществляется регистрация действий пользователей, связанных с получением доступа к системе и данным (X)? X = A/B, A - количество попыток действий, зарегистрированных во всех журналах; B - количество попыток доступа к системе или данным, которые необходимо отслеживать. Примечание - Прослеживаемость осуществляется с использованием журнала регистрации действий пользователя.
Прослеживаемость	Полнота прослеживаемости	Какую часть результатов выполнения функций ИТ-услуг (X) можно проследить до или после момента возникновения потребности у пользователя? X = A/B, A - количество функций ИТ-услуг, результаты которых можно проследить до или после момента возникновения потребности у пользователя; B - общее количество функций ИТ-услуги
Показатели надежности
Непрерывность ИТ-услуги	Полнота плана обеспечения непрерывности	Какова доля угроз (X), которые могут привести к прерыванию ИТ-услуги и учтены в плане обеспечения непрерывности услуги? X = A/B, A - количество угроз, учтенных в плане обеспечения непрерывности ИТ-услуги; B - общее количество актуальных угроз, которые могут привести к прерыванию ИТ-услуги
	Полнота мер по снижению рисков	Какова доля угроз, учтенных в плане обеспечения непрерывности ИТ-услуг (X), нейтрализуется с помощью определенных мер по снижению рисков? X = A/B, A - количество угроз, учтенных в плане обеспечения непрерывности ИТ-услуг, для которых предусмотрены меры по снижению рисков; B - общее количество актуальных угроз, учтенных в плане обеспечения непрерывности ИТ-услуг
	Эффективность мер по противодействию угрозам	Какова доля мер противодействия угрозам, позволяющих снизить риски прерывания ИТ-услуги до уровня, не превышающего допустимый (X)? X = 1 - A/B, A - количество мер противодействия угрозам, позволяющих снизить риски прерывания ИТ-услуги до уровня, не превышающего допустимый (по результатам математического моделирования); B - количество мер противодействия угрозам по плану обеспечения непрерывности ИТ-услуги. Примечание - См. также математические модели и методы оценки, приведенные в ГОСТ Р 59329 - ГОСТ Р 59357, ГОСТ Р 59989 - ГОСТ Р 59994.
Восстанавливаемость ИТ-услуги	Эффективность восстановления	Какая доля функций, перечисленных в плане восстановления ИТ-услуги (X), восстанавливается до исходного состояния после прерываний, сбоев или отказов? X = A/B, A - количество функций ИТ-услуги, восстанавливаемых до исходного состояния после прерываний, сбоев или отказов;
	Эффективность восстановления	B - общее количество прерываний, сбоев или отказов при оказании ИТ-услуг в заданный период
	Восстанавливаемость в намеченный срок	Какая доля прерываний ИТ-услуги, сбоев или отказов (X) устраняется в сроки, указанные в договоре или соглашении об ИТ-услугах? X = A/B, A - количество прерываний, сбоев или отказов, которые были устранены в сроки, предусмотренные в договоре или соглашении об ИТ-услугах; B - общее количество прерываний, сбоев или отказов при оказании ИТ-услуг в заданный период
Готовность к оказанию ИТ-услуги	Коэффициент готовности	Насколько ИТ-услуга удовлетворяет требованиям готовности, указанным в договоре или соглашении об ИТ-услугах (X) (в терминах коэффициента готовности)? X = 1 - A/(A + B), A - среднее время неготовности ИТ-услуги из-за отказа; B - среднее время наработки ИТ-услуги на отказ
Показатели восприятия
Наглядность	Наглядность доставки	Какая доля функций ИТ-услуги (X) предоставляет пользователям адекватную информацию о времени и способе доставки? X = A/B, A - количество функций ИТ-услуги, предоставивших адекватную информацию о времени и способе доставки; B - количество функций ИТ-услуг, информация о которых требуется пользователю при использовании услуги
	Наглядность выполнения функций	Какая доля функций ИТ-услуги (X) предоставляет пользователям адекватную информацию о ходе своего выполнения? X = A/B, A - количество функций ИТ-услуги, предоставляющих пользователям достаточный объем информации о ходе своего выполнения; B - количество функций ИТ-услуг, для которых может быть предоставлена информация о ходе их выполнения
	Зрелость	В какой мере сотрудники, связанные с ИТ-услугой (X), следуют установленному процессу? X = A/B, A - количество сотрудников, связанных с ИТ-услугой, следующих установленному процессу; B - общее количество сотрудников, связанных с ИТ-услугой
	Квалификация персонала	Какая доля сотрудников, предоставляющих ИТ-услугу (X), имеет соответствующие полномочия или опыт для ее оказания? X = A/B, A - количество сотрудников, предоставляющих ИТ-услугу, которые имеют соответствующие полномочия для оказания услуги; B - общее количество сотрудников, предоставляющих ИТ-услугу. Примечание - Под соответствующими полномочиями подразумевается образование, опыт и квалификация, необходимые для оказания ИТ-услуг.
	Профессионализм разработчиков	Какая доля разработчиков ИТ-услуги (X) обладает соответствующими полномочиями для ее разработки? X = 1 - A/B, A - количество успешных попыток доступа к конфиденциальной информации неавторизованными лицами за заданный период; B - общее количество обращений к конфиденциальной информации за заданный период. Примечания 1 Под соответствующими полномочиями подразумевается образование, опыт и квалификация, необходимые для разработки ИТ-услуги. 2 Разработчик услуги - это лицо, участвующее в создании спецификации, разработке или тестировании ИТ-услуги.
Внешний вид интерфейса	Удовлетворенность внешним видом пользовательского интерфейса	Какая доля пользовательских интерфейсов (X) вызывает удовлетворенность? X = 1 - A/B, A - количество пользовательских интерфейсов, внешний вид которых вызывает удовлетворенность пользователей; B - общее количество пользовательских интерфейсов, описанных в ИТ-услугах
Внешний вид интерфейса	Удовлетворенность интерфейсом ИТ-услуги	Какая доля интерфейсов ИТ-услуги (X) вызывает удовлетворенность пользователей и персонала? X = A/B, A - количество интерфейсов услуги, которые вызывают удовлетворенность пользователей и персонала; B - общее количество интерфейсов ИТ-услуги
Показатели оперативности реагирования
Своевременность	Своевременность предоставления ИТ-услуги	Какая доля функций ИТ-услуги (X) выполняется в сроки, установленные в договоре или соглашении об ИТ-услугах? X = A/B, A - количество функций ИТ-услуги, выполняемых в срок, который установлен в договоре или соглашении об ИТ-услугах; B - общее количество функций ИТ-услуги, которые должны быть предоставлены в установленные сроки
Реакция на запросы	Своевременность ответов	Какая доля запросов на обслуживание (X) обрабатывается за время, установленное в договоре или соглашении об ИТ-услугах? X = A/B, A - количество запросов на обслуживание, обрабатываемых за время, установленное в договоре или соглашении об ИТ-услугах; B - общее количество запросов на обслуживание, для которых установлены ограничения на время реакции
Реакция на запросы	Оперативность ответа на запросы о модификации и улучшении	Какая доля запросов на модификацию или улучшение функций ИТ-услуги (X) получает ответы в сроки, указанные в договоре или соглашении об ИТ-услугах? X = A/B, A - количество запросов на модификацию или улучшение функций ИТ-услуги, ответы на которые получены в сроки, указанные в договоре или соглашении об ИТ-услугах; B - общее количество запросов пользователей на модификацию или улучшение
Показатели адаптируемости ИТ-услуги
Настраиваемость	Настраиваемость функций ИТ-услуги	Какая доля функций ИТ-услуги (X) имеет возможность настройки пользователями под их потребности? X = A/B, A - количество функций ИТ-услуги с возможностью настройки пользователями; B - общее количество функций ИТ-услуги, которые должны иметь возможность настройки пользователями
Настраиваемость	Настраиваемость пользовательского интерфейса	Какая доля элементов графического пользовательского интерфейса (X) может быть настроена пользователями? X = A/B, A - количество элементов графического пользовательского интерфейса, которые могут быть настроены пользователями; B - общее количество элементов графического пользовательского интерфейса, которые должны иметь возможность настройки пользователями
Инициативность	Удовлетворение потребностей пользователей	Как функции ИТ-услуги удовлетворяют целям пользователей (X)? X = A/B, A - количество функций ИТ-услуги, удовлетворяющих целям пользователей; B - общее количество функций ИТ-услуги
	Заблаговременное предложение изменений	Насколько заблаговременно поставщик услуг предлагает изменения ИТ-услуги для удовлетворения потребностей пользователей (X)? X = A/B, A - количество функций ИТ-услуги, которые поставщик услуг предлагает изменить; B - общее количество функций ИТ-услуги, которые требуется изменить для удовлетворения потребностей пользователей
	Принятие предложений об изменениях	Какая доля предложений (X) принимается пользователями? X = A/B, A - количество предложений по изменению, принятых пользователями; B - общее количество предложений по изменению от поставщика услуг
	Эффективность реализации принятых предложений об изменениях	Какова доля реализации принятых предложений об изменениях? X = A/B, A - количество реализованных изменений; B - количество принятых к реализации предложений об изменениях
Анализируемость	Эффективность анализа ИТ-услуги	Насколько эффективен анализ недостатков, пробелов и ошибок в работе функций ИТ-услуги (X)? X = A/B, A - количество функций ИТ-услуги, недостатки или ошибки в выполнении которых можно проанализировать для выявления первопричин неудовлетворенности пользователей; B - количество функций ИТ-услуги, которые необходимо анализировать для устранения неудовлетворенности выполнением условий, указанных в договоре или соглашении об ИТ-услугах
Показатели сопровождаемости ИТ-услугами
Модифицируемость	Модифицируемость функций ИТ-услуги	Какая доля функций ИТ-услуги (X) модифицируется в ответ на запросы пользователей без появления дефектов или ухудшения качества существующей ИТ-услуги? X = A/B, A - количество функций ИТ-услуги, которые были модифицированы без проявления дефектов или ухудшения качества существующей ИТ-услуги; B - количество функций ИТ-услуги, на модификацию которых были получены заявки или жалобы от пользователей
Тестируемость (проверяемость)	Полнота критериев тестирования (проверки)	Какая доля критериев тестирования (X) определена для выполнения условий, указанных в договоре или соглашении об ИТ-услугах? X = A/B, A - количество установленных критериев тестирования; B - количество критериев тестирования, необходимых для выполнения условий, указанных в договоре или соглашении об ИТ-услугах
Тестируемость (проверяемость)	Прохождение тестирования (проверки)	Какая доля тестов выполнена согласно установленным критериям (X)? X = A/B, A - количество выполненных тестов; B - количество тестов, необходимых для проверки соответствия установленным критериям тестирования
Примечания 1 Под предложениями об изменениях в настоящем стандарте подразумеваются предложения об улучшении качества ИТ-услуги от поставщиков ИТ-услуг. 2 Инициатива может исходить не только от разработчиков ИТ-услуги, но и может быть результатом внутренних оценок, анализа, осмысления уроков, полученных из других источников рекомендаций по улучшению.

Примерами показателей качества информационных ИТ-услуг могут служить показатели, рекомендуемые для системного анализа процесса управления информацией (см. ГОСТ Р 59341).

Дополнительно к показателям, указанным выше, в приложении А приведены рекомендуемые показатели рисков, возникающих в процессах жизненного цикла систем. Эти риски, с одной стороны, зависят от качества оказываемых ИТ-услуг в процессах, а с другой стороны - сами способны повлиять на показатели качества оцениваемых ИТ-услуг. При этом прогнозирование рисков осуществляют применительно к моделируемой системе в условиях принимаемых допущений и предположений. Полученные вероятностные результаты после их интерпретации и анализа и сделанные практические выводы распространяют на рассматриваемую систему.

Результаты измерения качества ИТ-услуг могут быть применены в целях повышения эффективности выполнения системных процессов с учетом положений ГОСТ Р 57193 за счет рационального упреждающего управления рисками (см. ГОСТ Р 59329 - ГОСТ Р 59356, ГОСТ Р 59989 - ГОСТ Р 59994). Количественная оценка рисков, связанных с процессами в жизненном цикле рассматриваемых систем, основана на применении математических моделей, позволяющих осуществлять прогнозирование рисков (см. типовые показатели, модели и методы прогнозирования рисков, рекомендации по определению допустимых значений рисков и перечню методик системного анализа в приложениях соответственно А, Б, В). Возможные рекомендации по количественной оценке рисков приведены в ГОСТ IEC 61508-3, ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р 27005, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р 58494, ГОСТ Р 58771, ГОСТ Р 59329 - ГОСТ Р 59356, ГОСТ Р 59989 - ГОСТ Р 59994, ГОСТ Р МЭК 61069-1 - ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-5 - ГОСТ Р МЭК 61508-7. Примеры количественного прогнозирования рисков и решения задач системного анализа приведены в ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59341, ГОСТ Р 59345 - ГОСТ Р 59347, ГОСТ Р 59356.

Примечание - С учетом специфики системы для количественной оценки качества ИТ-услуг допускается использование любых научно обоснованных методов и моделей, обеспечивающих достижение целей, поставленных при проведении измерений.

Приложение А

(справочное)

ТИПОВЫЕ ПОКАЗАТЕЛИ, МОДЕЛИ И МЕТОДЫ ПРОГНОЗИРОВАНИЯ РИСКОВ

В настоящем приложении приведены ссылки на стандарты системной инженерии, содержащие рекомендации по типовым показателям, моделям и методам прогнозирования рисков во всех системных процессах, свойственных жизненному циклу систем с учетом положений ГОСТ Р 57193 (см. таблицу А.1). Эти показатели, методы и модели применимы для формирования, отслеживания состояния и поддержания на должном уровне гарантий обеспечения качества систем и ПО, а также для решения задач системного анализа.

Таблица А.1

Ссылки на типовые модели и методы прогнозирования рисков

Системный процесс	Вероятностные показатели риска	Типовые модели и методы
Процессы приобретения и поставки продукции и услуг для системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59329-2021 (приложение В)
Процесс управления моделью жизненного цикла системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); обобщенный риск нарушения реализации процесса с учетом дополнительных специфических системных требований (в том числе на примере требований по защите информации)	По ГОСТ Р 59330-2021 (приложение В); ГОСТ Р 59992-2022 (приложение В)
Процесс управления инфраструктурой системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); обобщенный риск нарушения реализации процесса с учетом дополнительных специфических системных требований (в том числе на примере требований по защите информации)	По ГОСТ Р 59331-2021 (приложение В); ГОСТ Р 59993-2022, приложение В
Процесс управления портфелем проектов	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59332-2021 (приложение В)
Процесс управления человеческими ресурсами системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59333-2021 (приложение В)
Процесс управления качеством системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); обобщенный риск нарушения реализации процесса с учетом дополнительных специфических системных требований (в том числе на примере требований по защите информации)	По ГОСТ Р 59334-2021 (приложение В); ГОСТ Р 59989-2022 (приложение В)
Процесс управления знаниями о системе	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59335-2021 (приложение В)
Процесс планирования проекта	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59336-2021 (приложение В)
Процесс оценки и контроля проекта	Для системных процессов риски по ГОСТ Р 59337-2021 (подраздел 6.3) (с учетом дополнительных специфических системных требований на примере требований по защите информации) и по ГОСТ Р 59990-2022 (подраздел 6.3)	По ГОСТ Р 59337-2021 (приложение В), ГОСТ Р 59990-2022 (приложение В)
Процесс управления решениями	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59338-2021 (приложение В)
Процесс управления рисками для системы	Для системных процессов риски по ГОСТ Р 59339-2021 (подраздел 6.3) (с учетом дополнительных специфических системных требований на примере требований по защите информации); интегральные риски нарушения качества системы в сценарных условиях комбинации используемых системных процессов в течение задаваемого периода прогноза по ГОСТ Р 59991-2022 (подраздел 6.3)	По ГОСТ Р 59339-2021 (приложение В); ГОСТ Р 59991-2022 (приложение В)
Процесс управления конфигурацией системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59340-2021 (приложение В)
Процесс управления информацией системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примерах требований к надежности и своевременности представления, полноты и достоверности выходной информации, требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примерах требований к надежности и своевременности представления, полноты и достоверности выходной информации, требований по защите информации)	По ГОСТ Р 59341-2021 (приложение В)
Процесс измерений системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59342-2021 (приложение В)
Процесс гарантии качества для системы	Для системных процессов риски по ГОСТ Р 59339-2021 (подраздел 6.3); интегральные риски нарушения качества системы по ГОСТ Р 59991-2022 (подраздел 6.3)	По ГОСТ Р 59994-2022 (приложение В)
Процесс анализа бизнеса или назначения системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59344-2021 (приложение В)
Процесс определения потребностей и требований заинтересованной стороны для системы	Риск нарушения надежности реализации процесса как такового (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59345-2021 (приложение В)
Процесс определения системных требований (на примере требований по защите информации)	Частные показатели риска реализации угроз безопасности информации, направленных на нарушение функционирования системы, в условиях отсутствия мер защиты, предлагаемых к применению в ходе формирования системных требований, и в условиях их применения (показатели остаточного риска нарушения функционирования системы); частные показатели риска реализации угроз утечки конфиденциальной информации в условиях отсутствия мер защиты, предлагаемых к применению в ходе формирования системных требований и в условиях их применения (показатели остаточного риска нарушения требований по защите конфиденциальной информации в системе или о системе); интегральные показатели риска реализации угроз, направленных на нарушение функционирования системы в течение ее жизненного цикла, в условиях отсутствия и применения мер защиты, предлагаемых в ходе формирования системных требований. Примечание - Приведенные показатели демонстрируют возможности модификации показателей прогнозируемых рисков.	По ГОСТ Р 59346-2021 (приложения В, Д)
Процесс определения архитектуры системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59347-2021 (приложение В)
Процесс определения проекта	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59348-2021 (приложение В)
Процесс системного анализа	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59349-2021 (приложение В)
Процесс реализации системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59350-2021 (приложение В)
Процесс комплексирования системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59351-2021 (приложение В)
Процесс верификации системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59352-2021 (приложение В)
Процесс передачи системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59353-2021 (приложение В)
Процесс аттестации системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59354-2021 (приложение В)
Процесс функционирования системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59355-2021 (приложение В)
Процесс сопровождения системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59356-2021 (приложение В)
Процесс изъятия и списания системы	Риск нарушения надежности реализации процесса (без учета дополнительных требований); риск нарушения дополнительных специфических системных требований (на примере требований по защите информации); риск нарушения реализации процесса с учетом дополнительных специфических системных требований (на примере требований по защите информации)	По ГОСТ Р 59357-2021 (приложение В)

В качестве примера методический подход к прогнозированию интегрального риска нарушения качества системы в сценарных условиях комбинации используемых системных процессов в течение задаваемого периода прогноза приведен в ГОСТ Р 59991-2022, В.4 приложения В. В рамках определяемого вероятностного пространства интегральная вероятность сохранения качества системы в сценарных условиях комбинации используемых системных процессов в течение задаваемого периода прогноза вычисляется как дополнение до единицы вероятностного значения интегрального риска нарушения качества системы.

Примером практического подхода к прогнозированию рисков служит ГОСТ Р 58494, в котором положения по ИТ-услугам адаптированы к системам дистанционного контроля промышленной безопасности в опасном производстве.

Примечания

1 Другие возможные показатели, модели, методы и рекомендации по оценке рисков приведены в ГОСТ IEC 61508-3, ГОСТ Р ИСО 13379-1, ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р 54124, ГОСТ Р 58771, ГОСТ Р МЭК 61069-1 - ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-5 - ГОСТ Р МЭК 61508-7.

2 Примеры прогнозирования рисков и решения задач системного анализа, связанные с некоторыми гарантиями качества для системы, приведены в ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59341, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59356.

Приложение Б

(справочное)

РЕКОМЕНДАЦИИ ПО ОПРЕДЕЛЕНИЮ ДОПУСТИМЫХ ВЕРОЯТНОСТНЫХ

ЗНАЧЕНИЙ РИСКОВ

С точки зрения риска, характеризующего приемлемый уровень целостности рассматриваемой системы, предъявляемые требования к качеству ИТ-услуг подразделяют на требования при допустимых рисках, обосновываемых по прецедентному принципу (см. ГОСТ Р 59991), и требования при рисках, свойственных реальной или гипотетичной системе-эталону. При формировании требований к качеству ИТ-услуг осуществляют обоснование достижимости целей системы, учитывают важность и специфику системы, ограничения на стоимость ее создания и эксплуатации, другие требования и условия, включая требования к специальным показателям, связанным с критичными сущностями, характеризующими качество рассматриваемой системы.

Требования при принимаемых рисках, свойственных системе-эталону, являются наиболее жесткими, они не учитывают специфики рассматриваемой системы, а ориентируются лишь на мировые технические и технологические достижения для удовлетворения требований заинтересованных сторон и рационального решения задач системного анализа. Полной проверке на соответствие этим требованиям подлежат система в целом, составляющие ее подсистемы и реализуемые процессы жизненного цикла. Выполнение этих требований является гарантией обеспечения качества рассматриваемой системы. Вместе с тем проведение работ по оценке качества ИТ-услуг с ориентацией на риски, свойственные системе-эталону, характеризуются существенно

затратами по сравнению с требованиями, ориентируемыми на допустимые риски, обосновываемые по прецедентному принципу. Это заведомо удорожает разработку самой системы, увеличивает время до ее принятия в эксплуатацию и удорожает эксплуатацию системы.

Требования системной инженерии при допустимых рисках, свойственных конкретной системе или ее аналогу и обосновываемых по прецедентному принципу, являются менее жесткими, а их реализация - менее дорогостоящей по сравнению с требованиями для рисков, свойственных системе-эталону. Использование данного варианта требований обусловлено тем, что на практике может оказаться нецелесообразной (из-за использования ранее зарекомендовавших себя технологий, по экономическим или по другим соображениям) или невозможной ориентация на допустимые риски, свойственные системе-эталону. Вследствие этого минимальной гарантией обеспечения качества для системы является выполнение требований системной инженерии при допустимом риске заказчика, обосновываемом по прецедентному принципу.

Ссылочные рекомендации по определению допустимых значений показателей применительно к процессу гарантии качества для системы приведены в таблице Б.1 (учет дополнительных специфических системных требований в ссылочных стандартах дан на примере требований по защите информации). При этом период прогноза для расчетных показателей подбирают таким образом, чтобы вероятностные значения рисков не превышали допустимые. В этом случае для задаваемых при моделировании условий имеют место гарантии надежности реализации рассматриваемого процесса в течение задаваемого периода прогноза.

Таблица Б.1

Определение допустимых вероятностных значений рисков

Системный процесс	Определение допустимых значений рисков при ориентации на обоснование по прецедентному принципу и обоснование для системы-эталона
Процессы приобретения и поставки продукции и услуг для системы	По ГОСТ Р 59329-2021 (приложение Г)
Процесс управления моделью жизненного цикла системы	По ГОСТ Р 59330-2021 (приложение Г), ГОСТ Р 59992-2022 (приложение Г)
Процесс управления инфраструктурой системы	По ГОСТ Р 59331-2021 (приложение Д), ГОСТ Р 59993-2022 (приложение Г)
Процесс управления портфелем проектов	По ГОСТ Р 59332-2021 (приложение Г)
Процесс управления человеческими ресурсами системы	По ГОСТ Р 59333-2021 (приложение Д)
Процесс управления качеством системы	По ГОСТ Р 59334-2021 (приложение Г), ГОСТ Р 59989-2022 (приложение Г)
Процесс управления знаниями о системе	По ГОСТ Р 59335-2021 (приложение Д)
Процесс планирования проекта	По ГОСТ Р 59336-2021 (приложение Г)
Процесс оценки и контроля проекта	По ГОСТ Р 59337-2021 (приложение Д), ГОСТ Р 59990-2022 (приложение Г)
Процесс управления решениями	По ГОСТ Р 59338-2021 (приложение Д)
Процесс управления рисками для системы	По ГОСТ Р 59339-2021 (приложение Д), ГОСТ Р 59991-2022 (приложение Д)
Процесс управления конфигурацией системы	По ГОСТ Р 59340-2021 (приложение Г)
Процесс управления информацией системы	По ГОСТ Р 59341-2021 (приложение Д)
Процесс измерений системы	По ГОСТ Р 59342-2021 (приложение Г)
Процесс гарантии качества для системы	По ГОСТ Р 59343 (приложение Д), см. также настоящую таблицу
Процесс анализа бизнеса или назначения системы	По ГОСТ Р 59344-2021 (приложение Г)
Процесс определения потребностей и требований заинтересованной стороны для системы	По ГОСТ Р 59345-2021 (приложение Д)
Процесс определения системных требований	По ГОСТ Р 59346-2021 (приложение Е)
Процесс определения архитектуры системы	По ГОСТ Р 59347-2021 (приложение Д)
Процесс определения проекта	По ГОСТ Р 59348-2021 (приложение Г)
Процесс системного анализа	По ГОСТ Р 59349-2021 (приложение Д)
Процесс реализации системы	По ГОСТ Р 59350-2021 (приложение Г)
Процесс комплексирования системы	По ГОСТ Р 59351-2021 (приложение Г)
Процесс верификации системы	По ГОСТ Р 59352-2021 (приложение Г)
Процесс передачи системы	По ГОСТ Р 59353-2021 (приложение Г)
Процесс аттестации системы	По ГОСТ Р 59354-2021 (приложение Г)
Процесс функционирования системы	По ГОСТ Р 59355-2021 (приложение Д)
Процесс сопровождения системы	По ГОСТ Р 59356-2021 (приложение Д)
Процесс изъятия и списания системы	По ГОСТ Р 59357-2021 (приложение Г)

Приложение В

(справочное)

РЕКОМЕНДАЦИИ ПО ПЕРЕЧНЮ МЕТОДИК СИСТЕМНОГО АНАЛИЗА

Ссылочные рекомендации по перечню методик системного анализа отражены в таблице В.1.

Таблица В.1

Ссылки по перечню методик системного анализа

Системный процесс	Ссылки на стандарты по перечню методик системного анализа
Процессы приобретения и поставки продукции и услуг для системы	По ГОСТ Р 59329-2021 (приложение Д)
Процесс управления моделью жизненного цикла системы	По ГОСТ Р 59330-2021 (приложение Д)
Процесс управления инфраструктурой системы	По ГОСТ Р 59331-2021 (приложение Е)
Процесс управления портфелем проектов	По ГОСТ Р 59332-2021 (приложение Д)
Процесс управления человеческими ресурсами системы	По ГОСТ Р 59333-2021 (приложение Е)
Процесс управления качеством системы	По ГОСТ Р 59334-2021 (приложение Д)
Процесс управления знаниями о системе	По ГОСТ Р 59335-2021 (приложение Е)
Процесс планирования проекта	По ГОСТ Р 59336-2021 (приложение Д)
Процесс оценки и контроля проекта	По ГОСТ Р 59337-2021 (приложение Д)
Процесс управления решениями	По ГОСТ Р 59338-2021 (приложение Е)
Процесс управления рисками для системы	По ГОСТ Р 59339-2021 (приложение Е)
Процесс управления конфигурацией системы	По ГОСТ Р 59340-2021 (приложение Д)
Процесс управления информацией системы	По ГОСТ Р 59341-2021 (приложение Е)
Процесс измерений системы	По ГОСТ Р 59342-2021 (приложение Д)
Процесс гарантии качества для системы	По ГОСТ Р 59343-2021 (приложение Е)
Процесс анализа бизнеса или назначения системы	По ГОСТ Р 59344-2021 (приложение Д)
Процесс определения потребностей и требований заинтересованной стороны для системы	По ГОСТ Р 59345-2021 (приложение Е)
Процесс определения системных требований	По ГОСТ Р 59346-2021 (приложение Ж)
Процесс определения архитектуры системы	По ГОСТ Р 59347-2021 (приложение Е)
Процесс определения проекта	По ГОСТ Р 59348-2021 (приложение Д)
Процесс системного анализа	По ГОСТ Р 59349-2021 (приложение Е)
Процесс реализации системы	По ГОСТ Р 59350-2021 (приложение Д)
Процесс комплексирования системы	По ГОСТ Р 59351-2021 (приложение Д)
Процесс верификации системы	По ГОСТ Р 59352-2021 (приложение Д)
Процесс передачи системы	По ГОСТ Р 59353-2021 (приложение Д)
Процесс аттестации системы	По ГОСТ Р 59354-2021 (приложение Д)
Процесс функционирования системы	По ГОСТ Р 59355-2021 (приложение Е)
Процесс сопровождения системы	По ГОСТ Р 59356-2021 (приложение Е)
Процесс изъятия и списания системы	По ГОСТ Р 59357-2021 (приложение Д)

Примечание - С учетом специфики системы допускается использование других научно обоснованных методов, моделей, методик.

БИБЛИОГРАФИЯ

[1]	Федеральный закон от 21 июля 1997 г. N 116-ФЗ "О промышленной безопасности опасных производственных объектов"
[2]	Федеральный закон от 21 июля 1997 г. N 117-ФЗ "О безопасности гидротехнических сооружений"
[3]	Федеральный закон от 10 января 2002 г. N 7-ФЗ "Об охране окружающей среды"
[4]	Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
[5]	Федеральный закон от 9 февраля 2007 г. N 16-ФЗ "О транспортной безопасности"
[6]	Федеральный закон от 22 июля 2008 г. N 123-ФЗ "Технический регламент о требованиях пожарной безопасности"
[7]	Федеральный закон от 30 декабря 2009 г. N 384-ФЗ "Технический регламент о безопасности зданий и сооружений"
[8]	Федеральный закон от 28 декабря 2010 г. N 390-ФЗ "О безопасности"
[9]	Федеральный закон от 21 июля 2011 г. N 256-ФЗ "О безопасности объектов топливно-энергетического комплекса"
[10]	Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"

УДК 006.34:004.056:004.056.5:004.056.53:006.354	ОКС 35.020
Ключевые слова: безопасность, качество, модель, оценка, риск, система