- •Введение
- •1. Арсенал риск-анализа (на примере информационных систем)
- •1.2.Современные стандарты в области управления рисками информационных систем
- •Международный стандарт iso iec 17799 и гост р исо/мэк 17799-2005
- •Часть 12 гост р исо/мэк 17799-2005 определяет способ оценки качества управления безопасностью с помощью проверки соответствия определенным требованиям, а именно:
- •Международный стандарт iso iec 27001 и гост р исо/мэк 27001-2005
- •Британский стандарт bs 7799-3 «Руководство по управлению информационными рисками»
- •Раздел 7 bs 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает две фазы менеджмента системы: контроль риска и оптимизация риска.
- •Стандарт сша nist 800-30 «Руководство по управлению информационными рисками it-систем»
- •2.2.Экспертные методы оценки рисков
- •2. Риски и шансы: аналитический подход в методологии оценки
- •3.2.Понятие риска и шанса
- •Концепции оценки рисков и шансов
- •Обобщенная модель оценки риска и шанса
- •Вероятностная природа риска и шанса
- •Методы оценки риска и шанса
- •Формальное определение меры риска и шанса
- •Основные меры риска и шанса
- •Методы рационализации вычислений при расчете риска и шанса
- •Объективные и субъективные составляющие риска и шанса
- •4.2.Динамические характеристики риска и шанса
- •Базовое движение характеристик
- •4.1.Временная динамика характеристик
- •5.2.Меры эффективности на основе шанса и риска
- •3. Методическое и алгоритмическое обеспечение управления рисками и шансами.
- •6.2.Аналитические методы управления шансами и рисками
- •Понятия и обобщенная схема управления
- •Принципы принятия решений по управлению шансами и рисками
- •Основные критерии выбора оптимальных решений по управлению шансами и рисками
- •7.2.Постановка задачи управления рисками и шансами
- •Интересо-ориентированные системы в контексте постановки задачи управления рисками
- •Общий вид модели управления
- •Формализация управления
- •Критерий принятия решений при управлении на основе функций полезности
- •Динамические модели управления
- •8.2.Алгоритмы управления рисками и шансами
- •Послесловие редактора
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
2. Риски и шансы: аналитический подход в методологии оценки
3.2.Понятие риска и шанса
В современном недетерминированном мире понятие риска широко употребляется в различных сферах деятельности. Это понятие, как правило, применяется к описанию какого-либо потенциально опасного явления. Задолго до появления пока несовершенной теории риска и методов вероятностной оценки негативных явлений с термином «риск» обычно связывалось какое-то значение (качественное или количественное), которое характеризовало потенциальную степень опасности одной или нескольких угроз. При этом принятие управленческого решения в условиях действия негативных факторов связано с минимизацией отрицательных последствий, которые могут возникнуть при реализации этих угроз. В данном контексте сравнительно недавно было введено понятие управления рисками, которое фактически отражает суть выбора такого решения. Зачастую оно употребляется в основном в сфере менеджмента и экономики и сравнительно недавно пришло в область обеспечения безопасности информационных систем.
По аналогии с риском может быть введено понятие «шанс», характеризующее потенциальную степень успешности системы в условиях действия позитивных факторов. Этот термин, очевидно, связан с максимизацией пользы, т.е. положительных последствий, которые могут возникнуть при функционировании исследуемой системы.
Управление информационными рисками [70] представляет собой весьма широкое понятие, которое используется в литературе как вид деятельности, включающий определение угроз безопасности информационной системы, оценку уровня опасности угроз (то есть размера возможного ущерба), а также вероятностей реализации этих угроз – то есть проведение полного анализа рисков системы. На основе этого анализа принимается решение о мерах по снижению общего уровня риска для системы. Причем конкретное содержание этого понятия зависит от решаемой задачи.
Управление шансами является еще более важной задачей с точки зрения эффективности системы. Однако ее рационально решать совместной с управлением рисками. Разумный баланс ущербов и пользы принесет наиболее позитивные результаты. Поэтому в данной работе делается попытка выработки единой методологии оценки и управления как шансами, так и рисками, аналитически обоснованной и удобной для решения прикладных задач численного анализа и управления.
Концепции оценки рисков и шансов
Риск (шанс) проявляется в различных сферах деятельности человека [25], таких как функционирование организаций, взаимодействие с окружающей средой. Риск (шанс) является проявлением неполной определенности, с которой приходится сталкиваться во многих сферах жизнедеятельности. Из этого следует, что его появление обусловлено случайными процессами, протекающими в мире. Понятие риска связано с возможным проявлением негативных последствий, в результате реализации этих процессов. Однако в некоторых случаях с точки зрения управления имеет смысл допускать определенную величину риска для того, чтобы иметь возможность получить определенный позитивный результат, с какой-либо вероятностью. Примером этого является коммерческая деятельность, в которой лицо, принимающее решение, может целенаправленно идти на риск, чтобы достичь материального выигрыша (реализованного шанса). В других случаях риск является сугубо негативным явлением. Наиболее очевидным примером этого является риск нарушения безопасности (техногенной, информационной и т.п.). Такой вид рисков, проявляясь, имеет только негативные последствия. Кроме вышеупомянутой полезности, существует еще один, в котором предсказуемость развития событий является основной целью управления. То есть сама неопределенность является источником риска.
Неопределенность имеет место и при получении пользы систем, которая зачастую является случайной величиной. Вышеприведенный пример коммерческого риска, очевидно, свидетельствует в пользу оценки, в данном случае, шансов. То есть неопределенность порождает не только риски, но и шансы, которые так же следует измерять и учитывать.
Для каждого из перечисленных случаев необходимо использовать собственную методику оценки и управления. Однако на практике [25] применяют три основные концепции:
Концепция шанса и риска как возможности. В рамках этой концепции управление ведется на основе взаимосвязи между риском и пользой. В данном случае обычно с возрастанием риска возрастает и потенциальный доход. Менеджмент в этом случае направлен на максимизацию пользы с одновременным ограничением потерь.
Концепция риска как опасности и шанса как успешности. Эта концепция предполагает рассмотрение негативных событий, причиняющих вред. Риск характеризует возможность наступления такого события, а также его последствия. Управление рисками в этом случае – минимизация вероятности наступления негативных событий, а также величин ущерба.
В отношении шанса по заданной концепции реализуется зеркальная картина, т.е. управление шансом предусматривает максимизацию вероятности наступления позитивных событий и величин пользы.
Концепция неопределенности. Данная концепция предполагает увеличение уровня риска по мере роста количества различных вариантов развития событий. То есть, если система находится в единственно возможном состоянии, то риск для нее минимален и, соответственно, уровень риска возрастает в случае увеличения вероятности реализации других альтернатив. Управляющие воздействия в рамках концепции неопределенности направлены на увеличения вероятности появления ожидаемых результатов, то есть снижения дисперсии для рассматриваемой случайной величины.
В рамках исследования проблемы оценки и управления рисками и шансами систем каждая из этих стратегий представляет определенный интерес, поскольку применение первой концепции связано с получением определенной выгоды от функционирования системы, второй – с минимизацией последствий негативных воздействий и максимизацией позитивных, а третьей – с улучшением предсказуемости поведения системы.