- •Введение
- •1. Арсенал риск-анализа (на примере информационных систем)
- •1.2.Современные стандарты в области управления рисками информационных систем
- •Международный стандарт iso iec 17799 и гост р исо/мэк 17799-2005
- •Часть 12 гост р исо/мэк 17799-2005 определяет способ оценки качества управления безопасностью с помощью проверки соответствия определенным требованиям, а именно:
- •Международный стандарт iso iec 27001 и гост р исо/мэк 27001-2005
- •Британский стандарт bs 7799-3 «Руководство по управлению информационными рисками»
- •Раздел 7 bs 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает две фазы менеджмента системы: контроль риска и оптимизация риска.
- •Стандарт сша nist 800-30 «Руководство по управлению информационными рисками it-систем»
- •2.2.Экспертные методы оценки рисков
- •2. Риски и шансы: аналитический подход в методологии оценки
- •3.2.Понятие риска и шанса
- •Концепции оценки рисков и шансов
- •Обобщенная модель оценки риска и шанса
- •Вероятностная природа риска и шанса
- •Методы оценки риска и шанса
- •Формальное определение меры риска и шанса
- •Основные меры риска и шанса
- •Методы рационализации вычислений при расчете риска и шанса
- •Объективные и субъективные составляющие риска и шанса
- •4.2.Динамические характеристики риска и шанса
- •Базовое движение характеристик
- •4.1.Временная динамика характеристик
- •5.2.Меры эффективности на основе шанса и риска
- •3. Методическое и алгоритмическое обеспечение управления рисками и шансами.
- •6.2.Аналитические методы управления шансами и рисками
- •Понятия и обобщенная схема управления
- •Принципы принятия решений по управлению шансами и рисками
- •Основные критерии выбора оптимальных решений по управлению шансами и рисками
- •7.2.Постановка задачи управления рисками и шансами
- •Интересо-ориентированные системы в контексте постановки задачи управления рисками
- •Общий вид модели управления
- •Формализация управления
- •Критерий принятия решений при управлении на основе функций полезности
- •Динамические модели управления
- •8.2.Алгоритмы управления рисками и шансами
- •Послесловие редактора
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Методы оценки риска и шанса
Случайный характер процессов, протекающих в системе, обуславливает применение соответствующих методов оценки риска (шанса) Важным этапом анализа рисков (шансов) системы является выбор наиболее подходящего из них. Для выбора метода оценки необходимо учитывать следующие [25] факторы:
наличие и объем статистических данных о функционировании данной системы или аналогичных систем;
требуемая точность оценки;
существование математических моделей процессов, протекающих в системе.
В зависимости от этих условий применяются [25] следующие методы оценки: статистический, вероятностно-статистический, теоретико-вероятностный, экспертный.
Статистический метод. Является наиболее предпочтительным с точки зрения требуемой точности, однако требует накопления больших объемов статистических данных, так как от них напрямую зависит точность оценки. При этом специальных требований к наличию математических моделей нет, поскольку из статистических данных извлекается вся необходимая информации о случайных величинах.
Вероятностно-статистический метод. Данный метод основан на привлечении дополнительной информации о законе распределении случайных величин. В этом случае кроме наличия статистики необходимо иметь математические модели системных процессов, позволяющие судить о виде законов распределения рассматриваемых случайных величин. В этом случае требования к объему статистики менее высокие, потому что недостающая часть информации компенсируется теоретическими оценками на основе имеющихся моделей. Точность этого метода достаточно высока, но зависит от точности определения видов исследуемых законов распределения.
Теоретико-вероятностный метод. Позволяет оценивать риски (шансы) связанные с событиями, которые происходят редко и нерегулярно, но имеют значительные негативные (позитивные) проявления. Для таких событий обычно нет достаточной статистики. Метод основан на использовании математический моделей, в основе которых лежат закономерности появления таких событий. Является достаточно трудоемким и имеет невысокую точность, но при отсутствии статистических данных его применение оправданно.
Экспертный метод. Данный метод основан на использовании знаний и опыта экспертов – высококвалифицированных специалистов в заданной предметной области. Целесообразно его применять в том случае, когда отсутствуют и статистические данные, и математические модели. Эксперты производят субъективную оценку значений, определяющих уровень риска (шанса) для системы. Основным недостатком метода является отсутствие гарантий достоверности полученных оценок.
Таким образом, выбор метода оценки, обусловленного случайными факторами, зависит, прежде всего, от наличия информации об объекте оценки.
Формальное определение меры риска и шанса
Рассмотрим понятие меры риска.
Числовое множество значений меры риска является заданным, если на нем существует отношение предпочтения.
Говорят [23], что на множестве задано отношение предпочтения , если оно обладает следующими свойствами:
Полноты: для произвольной пары выполняется либо , либо , либо справедливы оба этих отношения.
Транзитивности: если и , то справедливо отношение .
Произвольные элементы , для которых выполняется отношение и , объявляются эквивалентными . Отношение эквивалентности обладает свойствами симметричности, рефлексивности, транзитивности.
Вводится также отношение строгого предпочтения , определяемое следующим образом:
Исходя из того что на множестве задано отношение предпочтения можно задать отношение предпочтения и на множестве угроз, исходя из отображения (2.1.):
Исходя из изложенного, отношение предпочтения на множестве угроз позволяет сравнивать угрозы по уровню их опасности, применяя меры риска. В этом заключается физический смысл меры риска с точки зрения обеспечения безопасности системы.
Соответствующие отношения предпочтения возможно задать для шанса на множестве доходов v1, v2
где смысл меры шанса заключается в обеспечении роста пользы системы .