- •Введение
- •1. Арсенал риск-анализа (на примере информационных систем)
- •1.2.Современные стандарты в области управления рисками информационных систем
- •Международный стандарт iso iec 17799 и гост р исо/мэк 17799-2005
- •Часть 12 гост р исо/мэк 17799-2005 определяет способ оценки качества управления безопасностью с помощью проверки соответствия определенным требованиям, а именно:
- •Международный стандарт iso iec 27001 и гост р исо/мэк 27001-2005
- •Британский стандарт bs 7799-3 «Руководство по управлению информационными рисками»
- •Раздел 7 bs 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает две фазы менеджмента системы: контроль риска и оптимизация риска.
- •Стандарт сша nist 800-30 «Руководство по управлению информационными рисками it-систем»
- •2.2.Экспертные методы оценки рисков
- •2. Риски и шансы: аналитический подход в методологии оценки
- •3.2.Понятие риска и шанса
- •Концепции оценки рисков и шансов
- •Обобщенная модель оценки риска и шанса
- •Вероятностная природа риска и шанса
- •Методы оценки риска и шанса
- •Формальное определение меры риска и шанса
- •Основные меры риска и шанса
- •Методы рационализации вычислений при расчете риска и шанса
- •Объективные и субъективные составляющие риска и шанса
- •4.2.Динамические характеристики риска и шанса
- •Базовое движение характеристик
- •4.1.Временная динамика характеристик
- •5.2.Меры эффективности на основе шанса и риска
- •3. Методическое и алгоритмическое обеспечение управления рисками и шансами.
- •6.2.Аналитические методы управления шансами и рисками
- •Понятия и обобщенная схема управления
- •Принципы принятия решений по управлению шансами и рисками
- •Основные критерии выбора оптимальных решений по управлению шансами и рисками
- •7.2.Постановка задачи управления рисками и шансами
- •Интересо-ориентированные системы в контексте постановки задачи управления рисками
- •Общий вид модели управления
- •Формализация управления
- •Критерий принятия решений при управлении на основе функций полезности
- •Динамические модели управления
- •8.2.Алгоритмы управления рисками и шансами
- •Послесловие редактора
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Основные меры риска и шанса
Риск в системе рассматривается обычно с позиций причинения системе какого-либо ущерба. Основными характеристиками ущерба, как уже было отмечено выше, являются компоненты вероятностной схемы:
вероятность возникновения ущерба;
значение ущерба, выраженное в определенной физической величине, и соответствующее вышеуказанной вероятности.
Таким образом, для фиксированной величины ущерба мерой риска может являться вероятность его возникновения:
Соответственно, данная формула может быть применена в наиболее простом случае, когда известна и неизменна величина ожидаемого ущерба (задача обнаружения, уничтожения). Для непрерывных законов распределения вероятностей обычно говорят о вероятности попадания ущерба в определенный интервал
где - плотность распределения вероятностей ущерба.
Такой мерой риска, например, может являться вероятность того, что ущерб не превысит предельную величину ( .
В этом случае для дискретного закона распределения вероятностей ущерба выражение для расчета риска будет выглядеть следующим образом:
По аналогии для непрерывного закона распределения вероятностей ущерба соответственно оно примет следующий вид:
Данные меры риска (шанса) на основе вероятности практически наиболее применимы в том случае, когда точно известно какой максимальный уровень ущерба (пользы)допустим в системе.
C экономической точки зрения для анализа системы необходимо применять меру, которая представляет собой величину, измеряемую физической величиной ущерба. В этом случае можно использовать методы, разработанные для оценки экономических рисков [8,25]:
Мера риска (шанса) на основе вычисления математического ожидания для заданного закона распределения вероятностей.
За меру риска принимаем математическое ожидание ущерба, которое можно вычислить исходя из закона распределения вероятностей. То есть для реализации угрозы, представленной случайной величиной ущерба выражение меры риска будет иметь вид:
Для дискретного закона распределения вероятностей ущерба выражение, определяющие риск, будет иметь следующий вид:
для непрерывного закона распределения вероятностей – соответственно:
где следует обратить внимание на то, что областью интегрирования является промежуток , что соответствует реальному множеству значений ущерба.
Аналогичные оценки имеют место быть и для шансов:
при дискретных:
при непрерывных:
Следует заметить, что при ограниченных пределах интегрирования должна быть нормировка
.
Аналогичную операцию следует делать и для вычисления матожидания риска.
Исходя из физического смысла математического ожидания, мера риска, основанная на нем, оценивает среднее значение ущерба. Эта мера риска является наиболее очевидной и допустима в первом приближении. Обычно она применяется при оценке негативного воздействия (например, экономического ущерба) за определенный промежуток времени.
Мера риска (шанса) на основе вычисления дисперсии для заданного закона распределения вероятностей.
Для этой меры случайная величина не обязательно является численным значением величины ущерба. Значением меры риска в этом случае является дисперсия закона распределения.
В этом случае для дискретного закона выражение определяющее меру риска будет следующим:
для непрерывного закона распределения вероятностей – соответственно:
Для шанса указанная оценка реализуется следующими выражениями:
Разумеется, при ограниченных приделах интегрирования, как и в случае с матожиданием, требуется нормировка.
Дисперсия в общем случае характеризует степень отклонения случайной величины от среднего значения. Поэтому данная мера риска адекватна в условиях оценки стабильности работы системы, то есть устойчивости какой-либо из ее характеристик.
Комбинированная мера риска (шанса) на основе вычисления, как математического ожидания, так и дисперсии (среднеквадратичного отклонения).
Комбинация двух основных характеристик закона распределения применяется для задания меры риска в следующей форме:
В этой мере риска – взвешивающий коэффициент.
Для дискретного закона распределения вероятностей ущерба выражение для вычисления меры риска выглядит следующим образом:
для непрерывного закона распределения – соответственно:
.
Приведенная мера риска применяется, когда необходимо делать вывод об уровне опасности, исходя из среднего значения ущерба для системы, но при этом учитывать и стабильность поведения системы, то есть уровень среднего отклонения от наиболее вероятного ущерба.
Аналогичные меры без труда могут быть введены и для оценки шансов систем.
Мера риска (шанса) на основе меры ожидаемой полезности.
Для непрерывного закона распределения вероятностей ущерба выражение для меры риска имеет следующий вид:
где – некоторая вещественная функция, показывающая значимость данного уровня ущерба.
Для дискретного закона распределения вероятностей ущерба соответственно имеем:
Данная мера риска является перспективной и наименее изученной из всех вышеперечисленных. Для нее важен метод выбора функции , которая является основой для расчета. В этом случае в отличие от других расчетов при вычислении конечного значения учитывается предпочтения лица принимающего решения. Особый интерес мера, использующая функцию полезности, имеет для комплексной оценки шанс/риск.
Вышеприведенный список мер риска может быть расширен за счет использования дополнительных частных мер, которые бывают полезны в определенных случаях.