- •Введение
- •1. Арсенал риск-анализа (на примере информационных систем)
- •1.2.Современные стандарты в области управления рисками информационных систем
- •Международный стандарт iso iec 17799 и гост р исо/мэк 17799-2005
- •Часть 12 гост р исо/мэк 17799-2005 определяет способ оценки качества управления безопасностью с помощью проверки соответствия определенным требованиям, а именно:
- •Международный стандарт iso iec 27001 и гост р исо/мэк 27001-2005
- •Британский стандарт bs 7799-3 «Руководство по управлению информационными рисками»
- •Раздел 7 bs 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает две фазы менеджмента системы: контроль риска и оптимизация риска.
- •Стандарт сша nist 800-30 «Руководство по управлению информационными рисками it-систем»
- •2.2.Экспертные методы оценки рисков
- •2. Риски и шансы: аналитический подход в методологии оценки
- •3.2.Понятие риска и шанса
- •Концепции оценки рисков и шансов
- •Обобщенная модель оценки риска и шанса
- •Вероятностная природа риска и шанса
- •Методы оценки риска и шанса
- •Формальное определение меры риска и шанса
- •Основные меры риска и шанса
- •Методы рационализации вычислений при расчете риска и шанса
- •Объективные и субъективные составляющие риска и шанса
- •4.2.Динамические характеристики риска и шанса
- •Базовое движение характеристик
- •4.1.Временная динамика характеристик
- •5.2.Меры эффективности на основе шанса и риска
- •3. Методическое и алгоритмическое обеспечение управления рисками и шансами.
- •6.2.Аналитические методы управления шансами и рисками
- •Понятия и обобщенная схема управления
- •Принципы принятия решений по управлению шансами и рисками
- •Основные критерии выбора оптимальных решений по управлению шансами и рисками
- •7.2.Постановка задачи управления рисками и шансами
- •Интересо-ориентированные системы в контексте постановки задачи управления рисками
- •Общий вид модели управления
- •Формализация управления
- •Критерий принятия решений при управлении на основе функций полезности
- •Динамические модели управления
- •8.2.Алгоритмы управления рисками и шансами
- •Послесловие редактора
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
3. Методическое и алгоритмическое обеспечение управления рисками и шансами.
6.2.Аналитические методы управления шансами и рисками
Понятия и обобщенная схема управления
Под управлением рисками (шансами) понимается [25] разработка и обоснование оптимальных программ деятельности, призванных эффективно реализовать решения в области обеспечения безопасности (полезности). Откуда управление рисками (шансами) системы представляет собой циклический многоэтапный процесс, который, по сути, образует множество взаимосвязанных процессов [10,25]. Схематически его можно изобразить, как это показано на рис. 3.1.
Рис. 3.1. Обобщенная схема управления рисками (шансами)
Опишем подробнее каждый из этапов, представленных на данной схеме.
Анализ рисков (шансов) – систематические научные исследования и практическая деятельность, направленная на выявление негативных(позитивных) факторов и количественное определение уровня рисков (шансов), возникающих в процессе функционирования системы [25]. Анализ подразумевает наличие двух основных этапов: идентификации и оценки.
Идентификация – деятельность, направленная на выявление рисков (шансов), характерных для данной системы, причин их возникновения, форм проявления и негативных (позитивных) факторов. Идентификация способствует формированию у лица, принимающего решение, целостной картины рисков (шансов) системы [25].
Оценка рисков (шансов) – получение (вычисление) количественных значений степени проявления рисков (шансов), характерных для данной системы [25].
Определение множества управленческих решений – построение определенного множества решений, которые можно принять в соответствии данным состоянием системы.
Оценка эффективности каждого элемента из множества управленческих решений – получение качественной или количественной оценки эффективности управленческого решения на основе сопоставления ущербов, затрат и положительного экономического эффекта от его принятия.
Выбор управленческого решения – сопоставление оценок эффективности всех управленческих решений из множества и выбор наиболее подходящего на основе критерия выбора оптимальных решений.
Мониторинг результатов управления – оценка эффективности принятых решений по управлению рисками (шансами) системы в процессе ее функционирования. Данный процесс обеспечивает [25] обратную связь в системе управления и позволяет принять меры по ее совершенствованию.
Принципы принятия решений по управлению шансами и рисками
В ходе проведения оценки эффективности управленческого решения, а также при последующем его выборе важно определить основные принципы, в соответствии с которыми, обосновывается принимаемое решение. Рассмотрим основные принципы принятия решений по управлению рисками (шансами).
Принцип приемлемого уровня. В основе практических мероприятий по оценке рисков (шансов) нередко лежит концепция приемлемого уровня. В соответствии с ней в процессе управления используется пороговые уровни, которые считаются приемлемыми. В данном случае целью процесса управления является регулирование риска (шанса) до таких уровней. Таким образом, уровень риска (шанса) должен удовлетворять следующему условию:
Основные трудности при применении данного принципа возникают при определении этого порогового значения [25].
Принцип экономического обоснования. Состоит в применении критерия «затраты – польза – ущерб». Он заключается в том, что принятие решений о проведении операций, связанных с потенциально опасными объектами, должно быть основано на обобщенном принципе обоснования [25]:
где – польза от проведения операции, – затраты на операцию, а – величина, характеризующая ушерб.
Очевидно, что экономически обоснованным является решение, для которого величина , и при этом принимает максимальное значение на всем множестве возможных решений. В случае если для всех решений, принятие каких-либо управленческих решений необоснованно, то есть в этом случае необходимо использовать стратегию уклонения или игнорирования рисков. [25,68]
Для данного критерия необходимо отметить, что принятие обоснованного по нему управленческого решения в силу случайности управляемых процессов также связано с риском. Данный риск обусловлен возникновением ошибок первого и второго рода. Ошибка первого рода предполагает принятие обоснованного управленческого решения с последующим получением отрицательного результата. Ошибка второго рода возникает, если не было принято решение, которое считалось необоснованным, которое впоследствии могло обеспечить максимальный выигрыш.
Принцип оптимизации. В условии ограниченных ресурсов имеет смысл проводить только действия, приводящие к экономическому выигрышу, на реализацию которых хватает ресурсов [25].
Для каждого i-го элемента множества управленческих решений, со стоимостью и снижением ущерба можно рассчитать эффективность следующим образом:
При этом необходимо учитывать, что в рамках выделенных ресурсов существует следующее ограничение для множества из k выбранных управляющих воздействий:
Из всего множества управленческих решений выбирают такое, которое удовлетворяет вышеприведенному ограничению, и является оптимальным по следующему критерию:
Задача выбора управленческого решения сводится к задаче оптимизации в условиях ограничений. Для нахождения оптимальных решений можно использовать классические методы оптимизации, такие как нахождение Парето-оптимальных решений или методы математического программирования [25].