Case_Study_3a
.pdf
выполнения. Поскольку программная архитектура еще не утверждена, первая версия этого пункта будет
поверхностной. Детали появляются в последующих версиях плана.
5.2.Зависимости.
5.3.Потребности в ресурсах. Оцениваются трудозатраты, аппаратное и программное обеспечение, необходимые для сборки и технической поддержки продукта. Могут быть приведены результаты оценки стоимости. Этот пункт уточняется и детализируется с каждой итерацией.
5.4.Выделение бюджета и ресурсов. Распределяются ресурсы между различными частями проекта в течение всего его жизненного цикла. Приводятся оценки стоимости человеко-дней, могут указываться оценки стоимости аппаратуры и программного обеспечения.
5.5.План-график. Содержит расписание, определяющее, как и когда должны быть выполнены различные этапы процесса.
***Структура графика работ программного проекта
Составление графика — одна из самых ответственных работ менеджера проекта. Здесь менеджер оценивает длительность проекта, определяет ресурсы, необходимые для реализации рабочих задач, и разворачивает последовательность задач во времени. Как правило, это действие выполняется с помощью специализированной утилиты планирования проекта.
Планирующие утилиты позволяют:
определить критический путь (цепочку задач, задающих длительность всего проекта);
определить длительность критического пути;
установить для каждой задачи наиболее вероятную временную оценку (по прикладной статистической модели);
вычислить границы, определяющие временное окно для отдельной задачи.
Процессы реализации проекта
**** Управление рисками
Словарь русского языка С. И. Ожегова и Н. Ю. Шведовой определяет риск как «возможность опасности, неудачи». Влияние риска вычисляют по выражению:
RE = P(UO) * L(UO),
где
RE - показатель риска (Risk Exposure - подверженность риску);
P(UO) - вероятность неудовлетворительного результата (Unsatisfactory Outcome); L(UO) - потеря при неудовлетворительном результате.
При разработке программного продукта неудовлетворительным результатом может быть:
превышение бюджета,
низкая надежность,
неправильное функционирование и т.д.
Риск (R). Мера, определяющая степень опасности воздействия угрозы на систему (объект, ресурс, актив или процесс). Термин «риск» - измеряемая или рассчитываемая категория. Модель рисков носит формализованный характер и строится на результатах анализа угроз и уязвимостей.
Чаще всего модели рисков определяется вероятностью возникновения опасности ( P), уязвимостью системы безопасности или актива по этой угрозе (Y) и величиной возможного ущерба (U)
R P,[Y ,]U
В том случае, если угрозы и уязвимости системы выражены в значениях вероятностей и являются независимыми, то общее значение вероятности будет рассчитываться по формуле независимых событий как
p pu py
Однако в системах управления безопасностью требуются дополнительные параметры, в том числе оценки величины затрат
(Z) на предупреждение или уменьшение угрозы. В этом случае модель рисков имеет следующий вид
R P ,U , Z
Возможны и другие многофакторные модели рисков. Во всех случаях модель риска должна быть аддитивной по одному или нескольким факторам, что позволяет строить обобщения значений рисков как для отдельных угроз, так и в целом для хозяйствующего субъекта за рассматриваемый период времени.
Риски также могут быть связаны между собой по принятым в отношении их мерам защиты. Поэтому при анализе рисков это свойство должно учитываться. Мероприятия физической защиты активов, как правило, в большей степени обладают такой возможностью. Например, контроль доступа в служебные помещения и использование магнитных карт снижает риски других
направлений безопасности (защита от краж, уменьшение вероятности мошенничества и других действий).
Допустимый риск Риск, который в данной ситуации считается приемлемым с позиций лица, принимающего решение (ЛПР).
Возможны следующие подходы к управлению рисками организации:
уменьшение риска;
передача риска;
уклонение от риска;
принятие риска.
Рассмотрим указанные подходы подробнее.
Уменьшение рисков. Многие риски удается значительно уменьшить за счет весьма простых и дешевых контрмер защитного и ограничительного характера.
Передача риска. Если не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры страхования. Например, застраховать активы от пожара, затопления, хищения и т.д.
Уклонение от риска. От некоторых классов рисков можно уклониться, изменяя систему управления процессами или передавая их на аутсорсинг. Так, вынесение Web-сервера организации за пределы локальной сети в «облачные» вычисления позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов. Таким образом, передача риска и уклонение от него могут выполняться одновременно.
Принятие риска. Многие риски нельзя довести до пренебрежимо малой величины. На практике после принятия стандартного набора контрмер некоторые риски уменьшаются, но остаются все еще значимыми. В любом случае, механизм принятия рисков означает, что мы предполагаем о возможной реализации угрозы и готовы к возмещению ущерба. Этот механизм используется для маловероятных угроз или рисков с незначительным ущербом.
Управление риском включает шесть действий:
1.Идентификация риска — выявление элементов риска в проекте.
2.Анализ риска — оценка вероятности и величины потери по каждому элементу риска.
3.Ранжирование риска — упорядочение элементов риска по степени их влияния.
4.Планирование управления риском — подготовка к работе с каждым элементом риска.
5.Разрешение риска — устранение или разрешение элементов риска.
6.Наблюдение риска — отслеживание динамики элементов риска, выполнение корректирующих действий. Первые три действия относят к этапу оценивания риска, последние три действия — к этапу контроля риска.
Идентификация риска
В результате идентификации формируется список элементов риска, специфичных для данного проекта. Выделяют три категории источников риска: проектный риск, технический риск, коммерческий риск. Источниками проектного риска являются:
выбор бюджета, плана, человеческих ресурсов программного проекта;
формирование требований к программному продукту;
сложность, размер и структура программного проекта;
методика взаимодействия с заказчиком.
Кисточникам технического риска относят:
трудности проектирования, конструирования, формирования интерфейса, тестирования и сопровождения;
неточность спецификаций;
техническая неопределенность или отсталость принятого решения.
Главная причина технического риска — реальная сложность проблем выше предполагаемой сложности. Источники коммерческого риска включают:
создание продукта, не требующегося на рынке;
создание продукта, опережающего требования рынка (отстающего от них);
потерю финансирования.
Лучший способ идентификации — использование проверочных списков риска, которые помогают выявить возможный риск. Например, проверочный список десяти главных элементов программного риска может иметь представленный ниже вид.
1.Дефицит персонала.
2.Нереальные расписание и бюджет.
3.Разработка неправильных функций и характеристик.
4.Разработка неправильного пользовательского интерфейса.
5.Слишком дорогое обрамление.
6.Интенсивный поток изменения требований.
7.Дефицит поставляемых компонентов.
8.Недостатки в задачах, разрабатываемых смежниками.
9.Дефицит производительности при работе в реальном времени.
10.Деформирование научных возможностей.
На практике каждый элемент списка снабжается комментарием — набором методик для предотвращения источника риска. После идентификации элементов риска следует количественно оценить их влияние на программный проект, решить вопросы
о возможных потерях. Эти вопросы решаются на шаге анализа риска.
Анализ риска
Анализ риска. Итеративная (повторяющаяся) процедура, в которой проводится количественная оценка риска, сравнение его с допустимым значением и принятие мер по его уменьшению [Стандарт ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты»]. Такая процедура возможна и реализуема только при заданных допустимых значениях параметров P,U.
В том случае, когда нет точно заданных допустимых значений параметров риска или при необходимости учета других параметров риска процедура анализа усложняется. В простейших случаях строится система предпочтений по значениям показателей рисков. При проведении анализа рисков по переменным P, U более предпочтительными для защиты (доминирующими стратегиями) считаются угрозы i, для которых выполняется соотношение
P |
|
P |
|
|
|
i |
|
i1 |
|
|
|
U |
|
|
U |
i |
i1 |
||
|
|
|
||
Алгоритм оценки рисков для параметров Р и U, заданных лингвистическими переменными проиллюстрированы на рис.
Рис. Алгоритм последовательности анализа рисков, заданных лингвистическими переменными.
Этот алгоритм, в целом, соответствует требованиям стандартов.
При проведении анализа рисков по переменным P,U,Z наиболее предпочтительными для защиты являются угрозы i, для
которых выполняется соотношение |
|
|
||||
P P |
1 |
|||||
|
i |
i |
||||
|
|
U |
|
|||
U |
i |
i 1 |
||||
|
|
|
|
|||
|
Z |
|
Z |
|
|
|
|
i |
i 1 |
||||
|
|
|||||
Приведенная схема формирования доминирующих стратегий более полная и объективная, так как учитывает фактор затрат на обработку рисков. При анализе рисков могут использовать и другие стратегии в тех случаях, когда значение параметров рисков заданы в комбинированной форме. Например, значения U и Z заданы в количественной форме, а значения Р оценены в форме лингвистической переменной, либо оценка их не представляется вообще возможной. В таком случае могут использовать следующие стратегии формирования рисков:
|
|
|
|
|
|
|
|
|
|
|
|
|
Ui |
|
U |
i 1 |
|
|
|
||
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
||
|
|
Zi |
|
Zi 1 |
|
|
|
|||
|
|
Pi P |
1 |
|
|
|
||||
|
|
|
|
i |
|
|
|
|||
|
|
Ui Zi U |
i1 |
Z |
i1 |
|||||
|
|
|
|
|
|
|
|
|
||
|
|
Pi P |
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|||
|
|
|
|
i1 |
|
|
|
|||
Однако и эти модели не учитывают связи между отдельными рисками.
Алгоритм последовательности анализа рисков по этой модели можно привести на рис.
.
Рис. Алгоритм последовательности анализа рисков по трехфакторной модели рисков
Принятие решений по другим стратегиям проводится с учетом дополнительных факторов и ограничений. При этом в качестве основного ограничения используется фактор допустимого уровня затрат на обеспечение безопасности.
Вероятность реализации угрозы (Р) Значение Р зависит от интервала рассматриваемого периода времени t и может рассчитываться по имеющейся статистике или классифицироваться по некоторой шкале в форме значений терм-переменных.
Функция плотности распределения
P(t)
, как правило, неизвестна. Однако некоторые её свойства необходимо учитывать при анализе
рисков и обоснованиях системы безопасности При этом очень важно определить характер реализации угрозы, который может проявляться в следующих формах:
где
t |
u |
|
а) дискретно, одномоментно, в полном объеме
P(t) P, t t |
u |
|||
|
|
|
||
P(t) 0, t t |
|
|
||
|
u |
|||
|
||||
- время реализации угрозы.
Такая форма характерна для хищений нематериальных активов, промышленного шпионажа, и т.д. Отдельный случай представляют угрозы, действие которых происходит дискретно, одномоментно и с полным прекращением деятельности хозяйствующего субъекта (рейдерство, потеря имиджа и др.).
б) постепенно, в течение интервала времени |
t . |
В этом случае при известном законе распределения
P(t)
вероятность может быть определена как
t |
|
2 |
|
P P(t)dt |
|
t |
|
1 |
|
Значение ущерба при известном изменении значения ущерба за интервал времени |
t |
t |
|
2 |
|
U U (t) P(t)dt |
|
t |
|
1 |
|
Очень часто величину риска сегодня рассматривают как мультипликативный показатель
R U * P
может быть определено как
t
Такой подход может быть приемлем только в том случае, если ущерб наносится постоянно в течение рассматриваемого периода
.
При большом объеме статистики реализованных угроз функция плотности распределения на основании центральной предельной теоремы имеет вид нормального закона распределения.
в). Комбинированная форма воздействия угрозы, например
P(t) P,t t |
u |
, P 1 |
|
||||
|
|
|
|
|
|
||
P(t) 1 |
P, t |
|
|
t t |
|
||
|
k |
u |
|||||
|
|
|
|||||
Возможны и другие комбинированные формы реализации угроз, которые могут включать несколько периодов воздействия угрозы и, в том числе, скрытых (латентных) периодов.
С точки зрения создания систем безопасности интересны те случаи угроз, проявлению которых предшествует появление определённых индикаторов (событий, инцидентов, фактов и другой информации, выявляемой системой информационноаналитического обеспечения безопасности хозяйствующего субъекта). В этом случае, решения на затраты по предотвращению угроз могут производиться при появлении определённых индикаторов. В целом затраты на такие системы снижаются.
Оптимизация рисков – это процесс соотнесения тех или иных объектов по классам в соответствии с определенными признаками, которые и позволяют определить принадлежность к определенной категории.
Риски могут быть определены одним из экспертных методов. Вероятности определяются с помощью экспертных оценок или на основе статистики, накопленной за предыдущие разработки. Итоги анализа, как показано в табл. 2.1, сводятся в таблицу.
|
|
|
|
|
|
Таблица |
|
|
|
|
Оценка влияния элементов риска |
|
|
|
|
|
Элемент риска |
|
Вероятность, % |
Потери |
Влияние риска |
|
|
1. |
Критическая программная ошибка |
|
|
3-5 |
10 |
30-50 |
|
2. |
Ошибка потери ключевых данных |
|
|
3-5 |
8 |
24-40 |
|
3. |
Отказоустойчивость |
недопустимо |
снижает |
4-8 |
7 |
28-56 |
|
производительность |
|
|
|
|
|
|
|
4. |
Отслеживание опасного условия как безопасного |
|
5 |
9 |
45 |
|
|
5. |
Отслеживание безопасного условия как опасного |
|
5 |
3 |
15 |
|
|
6. |
Аппаратные задержки срывают планирование |
|
6 |
4 |
24 |
|
|
7. |
Ошибки преобразования данных приводят к избыточным |
8 |
1 |
8 |
|
||
вычислениям |
|
|
|
|
|
|
|
8. |
Слабый интерфейс пользователя снижает эффективность |
6 |
5 |
30 |
|
||
работы |
|
|
|
|
|
|
|
9. |
Дефицит процессорной памяти |
|
|
1 |
7 |
7 |
|
10. СУБД теряет данные |
|
|
2 |
2 |
4 |
|
|
|
|
|
|
|
|
|
|
Ранжирование риска
Ранжирование заключается в назначении каждому элементу риска приоритета, который пропорционален влиянию элемента на проект. Это позволяет выделить категории элементов риска и определить наиболее важные из них. Например, представленные в табл. 2.1 элементы риска упорядочены по их приоритету.
Для больших проектов количество элементов риска может быть очень велико (30 -40 элементов). В этом случае управление
риском затруднено. Поэтому к элементам риска применяют принцип Парето 80/20. Опыт показывает, что 80% всего проектного риска
приходятся на долю 20% от общего количества элементов риска. В ходе ранжирования определяют эти 20% элементов риска (их называют существенными элементами). В дальнейшем учитывается влияние только существенных элементов риска.
Планирование управления риском
Цель планирования — сформировать набор функций управления каждым элементом риска. Введем необходимые определения.
Впланировании используют понятие эталонного уровня риска. Обычно выбирают три эталонных уровня риска:
превышение стоимости,
срыв планирования,
упадок производительности.
Они могут быть причиной прекращения проекта. Если комбинация проблем, создающих риск, станет причиной превышения любого из этих уровней, работа будет остановлена. В фазовом пространстве риска эталонному уровню риска соответствует эталонная точка. В эталонной точке решения «продолжать проект» и «прекратить проект» имеют одинаковую силу. На рис. 2.4 показана кривая останова, составленная из эталонных точек.
Срыв планирования Эталонная\ точка Прекращение\ проекта Превышение стоимости
Рис. Кривая останова проекта
Ниже кривой располагается рабочая область проекта, выше кривой — запретная область (при попадании в эту область проект должен быть прекращен).
Реально эталонный уровень редко представляется как кривая, чаще это сфера, в которой есть области неопределенности (в них принять решение невозможно). Теперь рассмотрим последовательность шагов планирования.
1.Исходными данными для планирования является набор четверок: [R , P., L., RE.], где R. — 1-й элемент риска, Р. — вероятность г-го элемента риска, L. — потеря по г-му элементу риска, RE — влияние г-го элемента риска.
2.Определяются эталонные уровни риска в проекте.
3.Разрабатываются зависимости между каждой четверкой [R., P., Ljt RE.] и каждым эталонным уровнем.
4.Формируется набор эталонных точек, образующих сферу останова. В сфере останова предсказываются области неопределенности.
5.Для каждого элемента риска разрабатывается план управления. Предложения плана составляются в виде ответов на вопросы «зачем, что, когда, кто, где, как и сколько».
6.План управления каждым элементом риска интегрируется в общий план программного проекта.
Разрешение и наблюдение риска
Основанием для разрешения и наблюдения является план управления риском. Работы по разрешению и наблюдению производятся с начала и до конца процесса разработки.
Разрешение риска состоит в плановом применении действий по уменьшению риска. Наблюдение риска гарантирует:
цикличность процесса слежения за риском;
вызов необходимых корректирующих воздействий.
Для управления риском используется эффективная методика — «Отслеживание 10 верхних элементов риска». Эта методика концентрирует внимание на факторах повышенного риска, экономит много времени, минимизирует «сюрпризы» разработки.
Рассмотрим шаги методики «Отслеживания 10 верхних элементов риска».
1.Выполняется выделение и ранжирование наиболее существенных элементов риска в проекте.
2.Производится планирование регулярных просмотров (проверок) процесса разработки. В больших проектах (в группе больше 20 человек) просмотр должен проводиться ежемесячно, в остальных проектах — чаще.
3.Каждый просмотр начинается с обсуждения изменений в 10 верхних элементах риска (их количество может изменяться от 7 до 12). В обсуждении фиксируется текущий приоритет каждого из 10 верхних элементов риска, его приоритет в предыдущем просмотре, частота попадания элемента в список верхних элементов. Если элемент в списке опустился, он по-прежнему нуждается в наблюдении, но не требует управляющего воздействия. Если элемент поднялся в списке или только появился в нем, то элемент требует повышенного внимания. Кроме того, в обзоре обсуждается прогресс в разрешении элемента риска (по сравнению с предыдущим просмотром).
4.Внимание участников просмотра концентрируется на любых проблемах в разрешении элементов риска.
i Б. Райзберг, Л. Лозовский, Е. Стародубцева. Современный экономический словарь