4 Алгоритм управления рисками при использовании сервиса ведомственной телефонии на основе протокола Voice over ip территориально распределенной информационно-телекоммуникационной системы связи

4.1 Методы оценки эффективности управления рисками

Методики оценки рисков позволяют дать качественные или количественные оценки обеспечения безопасности различных систем. Прикладной смысл этих методик заключается в первую очередь в возможности построения политики безопасности, направленную на управление рисками систем. Оценка эффективности управления напрямую определяется методикой оценки рисков. Вид данной методики может варьироваться исходя из класса рассматриваемых систем.

В условиях функционирования сложных систем имеет место неоднородный характер протекающих в них процессов в том числе информационных. Защищенность системы от внешних и внутренних угроз, является составной величиной, которая должна отражать каждую угрозу безопасности отдельно и при этом давать возможность объективно оценить комплексную защищенность системы.

Обобщая приведенные выше методики оценки риска, можно сделать вывод о том, что для решения практических задач необходимо выбрать определенную меру риска, которая представляет собой численное представление степени риска или защищенности и далее работать с набором параметров риска и защищенности для множества угроз. Для того чтобы характеризовать защищенность системы, необходимо рассматривать комплексную оценку риска или защищенности для всех существующих угроз. Именно она позволит оценить эффективность и качество управления рисками в системах [57].

Рассмотрим несколько методов оценки эффективности управления рисками.

1. Методика, основанная на оценке среднего значения риска (защищенности) на множестве угроз.

Пусть для множества из угроз задан вектор мер рисков , где – значение меры риска для -ой угрозы. Тогда общий риск для исследуемой системы будет равен среднему значению риска для всех угроз

2. Методика основанная на оценке модуля вектора мер рисков.

Для рассмотренного в предыдущей методики вектора мер риска вычисляется его модуль, который характеризует величину общего риска для рассматриваемой системы.

3. Методика основанная на выборе максимального значения риска.

На практике в некоторых случаях (особенно при использовании качественных оценок риска) для оценки общего риска используется максимальное значение меры риска из множества мер риска для множества всех угроз системы.

4. Методика определения общего риска с использованием теории нечетких множеств.

Если представляет собой нечеткое число (например, трапезоидное), то возможно определить суммарный риск как сумму нечетких чисел:

то есть в данном случае суммарный риск для системы представлен также нечетким числом.

5. Методика основанная на использовании экспертных оценок. Обычно используется совместно с качественными методиками оценки риска. Основной смысл этой методики в том, что на основе оценок риска для каждой из множества угроз эксперт делает вывод (чаще всего это бывает какая-либо качественная оценка) о величине общего риска для исследуемой системы.

Задача управления рисками в общем случае считается успешно решенной, при условии того, что общая мера риска для системы после проведения мероприятий по снижению (управлению) рисками будет ниже, чем в исходном состоянии системы. В некоторых случаях устанавливается порог максимально возможного риска, при котором возможно нормальное функционирование системы. То есть основной целью управления будем считать следующие:

В случае, когда задается порог, критерий успешного управления рисками выглядит следующим образом:

, где – максимально допустимый уровень риска