- •Введение
- •1. Арсенал риск-анализа (на примере информационных систем)
- •1.2.Современные стандарты в области управления рисками информационных систем
- •Международный стандарт iso iec 17799 и гост р исо/мэк 17799-2005
- •Часть 12 гост р исо/мэк 17799-2005 определяет способ оценки качества управления безопасностью с помощью проверки соответствия определенным требованиям, а именно:
- •Международный стандарт iso iec 27001 и гост р исо/мэк 27001-2005
- •Британский стандарт bs 7799-3 «Руководство по управлению информационными рисками»
- •Раздел 7 bs 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает две фазы менеджмента системы: контроль риска и оптимизация риска.
- •Стандарт сша nist 800-30 «Руководство по управлению информационными рисками it-систем»
- •2.2.Экспертные методы оценки рисков
- •2. Риски и шансы: аналитический подход в методологии оценки
- •3.2.Понятие риска и шанса
- •Концепции оценки рисков и шансов
- •Обобщенная модель оценки риска и шанса
- •Вероятностная природа риска и шанса
- •Методы оценки риска и шанса
- •Формальное определение меры риска и шанса
- •Основные меры риска и шанса
- •Методы рационализации вычислений при расчете риска и шанса
- •Объективные и субъективные составляющие риска и шанса
- •4.2.Динамические характеристики риска и шанса
- •Базовое движение характеристик
- •4.1.Временная динамика характеристик
- •5.2.Меры эффективности на основе шанса и риска
- •3. Методическое и алгоритмическое обеспечение управления рисками и шансами.
- •6.2.Аналитические методы управления шансами и рисками
- •Понятия и обобщенная схема управления
- •Принципы принятия решений по управлению шансами и рисками
- •Основные критерии выбора оптимальных решений по управлению шансами и рисками
- •7.2.Постановка задачи управления рисками и шансами
- •Интересо-ориентированные системы в контексте постановки задачи управления рисками
- •Общий вид модели управления
- •Формализация управления
- •Критерий принятия решений при управлении на основе функций полезности
- •Динамические модели управления
- •8.2.Алгоритмы управления рисками и шансами
- •Послесловие редактора
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
ФГБОУ ВПО «Воронежский государственный
технический университет»
Д.О. Карпеев Д.Г. Олейниченко В.А. Транин
СПЕЦГЛАВЫ МАТЕМАТИКИ
Утверждено Редакционно-издательским советом
университета в качестве учебного пособия
Воронеж 2011
УДК 51-74
Карпеев Д.О. Спецглавы математики: учеб.-метод. пособие / Д.О. Карпеев, Д.Г. Олейниченко, В.А. Транин. Воронеж: ФГБОУВПО «Воронежский государственный технический университет», 2011. 217 с.
В учебно-методическом пособии излагаются основные и базовые понятия риска и шанса. Авторы знакомят нас с основными концепциями, методами и мерами риска (шанса) систем. Рассматриваются динамические характеристики риска и шанса с применением теории чувствительности. Также рассматривается влияние фактора времени на особенности процессов работы информационных систем.
Издание соответствует требованиям Государственного образовательного стандарта высшего профессионального образования по направлению 090100 «Информационная безопасность», специальностям 090102 «Компьютерная безопасность», 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем» и 090106 «Информационная безопасность телекоммуникационных систем», дисциплине «Спецглавы математики». Предназначено для студентов очной формы обучения.
Учебное пособие подготовлено в электронном виде в текстовом редакторе MS Word 2007 и содержится в файле «СГМ.doc».
Ил. 18. Библиогр.: 122 назв.
Рецензенты: управление информационных технологий Воронежской области(канд. техн. наук, доцент Г.А. Остапенко);
канд. техн. наук, доц. И.В. Гончаров
Ó Карпеев Д.О., Олейниченко Д.Г., Транин В.А., 2011
Ó Оформление. ФГБОУВПО
«Воронежский государственный технический университет», 2011
Введение
Острота проблемы обеспечения безопасности различных систем в современном мире усиливается отсутствием единой развитой методической базы, позволяющей проводить адекватную оценку угроз ресурсам, а также степени защищенности данных систем. Пока наиболее популярным направлением является подход на основе риск-оценки и управления рисками [69-71]. Он применяется в различных сферах, в частности, в экономической. Концепция управления рисками, используемая в экономике [8-10,15,19,25,29,40,69-71], направлена в большей степени на выбор оптимальных управленческих решений для извлечения наибольшей экономической выгоды. Оптимизации подвергается соотношение риска в зависимости от принимаемого решения и возможного получения прибыли от экономической деятельности.
В отличие от вышеупомянутой экономической модели, управление рисками в сфере обеспечения безопасности информационных систем для рассматриваемого подхода имеет иную направленность. Оценка и анализ рисков применяется в информационной сфере сравнительно недавно. В конце прошлого века, а также в первое десятилетие нынешнего века были разработаны несколько стандартов, ориентированных на управление рисками в системах обработки информации. К ним можно отнести международные стандарты ISO IEC 17799, ISO IEC 27001, британский стандарт BS 7799-3, американский стандарт NIST 800-30, а также ряд других зарубежных стандартов. Существуют адаптированные переводы некоторых из данных стандартов на русский язык, доработанные до соответствующих государственных стандартов Российской Федерации таких, как ГОСТ Р ИСО/МЭК 17799-2005 и ГОСТ Р ИСО/МЭК 27001-2005. При этом очевидно, актуальным направлением выступает исследование существующих стандартов с точки зрения возможного аналитического развития методов риск-анализа и управления рисками информационных и иных систем [32,34,107-111].
Известны [10,25,40] различные подходы к риск-оценке и управлению рисками такие как: статистический метод, подход на основе экспертных оценок и оценки субъективной вероятности, вероятностно-статистический подход, теоретико-вероятностный метод, метод расчета и управления экономическими рисками с использованием теории полезности. Принципиальная сложность проведения такого анализа рисков для современных систем заключается в том, что для достижения адекватных оценок необходимо учитывать достаточно большое количество факторов, которые находятся в сложной зависимости друг от друга. Причем, зачастую достаточно трудно оценить степень достоверности полученного результата, поскольку при проведении анализа невозможно учесть всех факторов. Возможность увеличения степени детальности исследования ограничена, из-за высокой трудоемкости и значительных экономических издержек. Ключевым недостатком большинства разработанных методов управления рисками является наличие у них одного из следующих конфликтующих по своей сути свойств [66-68]:
Ярко выраженный качественный и страдающий значительным субъективизмом подход к анализу рисков. Наличие этого свойства обуславливает слабую формализуемость, и, следовательно, невозможность создать автоматизированные инструментальные средства риск-анализа и управления рисками на основе разработанной методики.
Жестко формализованный подход к анализу рисков. Из этого обычно следует то, что методика недостаточно универсальна, то есть неполна. Кроме того, сложные формальные методы обычно трудно применять на практике и следовательно эффект от их использования незначительный. При этом формальные методы достаточно сложно применить при отсутствии математических моделей процессов, происходящих в информационных системах, а также при недостаточном объеме статистических данных [25,68].
В этом краеугольном противоречии известных методов и стандартов, чрезвычайно актуальным является построение методического обеспечения, которое бы отвечало следующим требованиям:
достаточная формализуемость для реализации в виде инструментальных средств;
необходимая простота для инженерного применения методик;
адекватность и универсальность управления рисками, то есть применимость методики к большинству систем;
учет динамики развития системы;
комплексность, позволяющая охватить все существенные аспекты функционирования системы.
Методики, отвечающие данным требованиям, могут быть весьма эффективно применены на практике, особенно при мониторинге и управлении рисками.
Управление рисками системы затрагивает различные аспекты ее функционирования, где методика управления рисками должна учитывать процессы различного характера, протекающие в системе. В общем случае можно выделить [25] следующие составляющие управления рисками:
идентификация рисков, возникающих в процессе функционирования информационной системы;
оценка организационных и технических рисков системы;
выработка решения по управлению рисками на основе имеющихся оценок;
проведение непосредственной работы по управления рисками (принятие решений);
мониторинг изменения уровня рисков.
Здесь для полноты рассмотрения неизбежно придется прибегнуть к разработке эффективного методического обеспечения, где актуальной задачей является выбор оптимальной меры риска для исследуемой системы или процесса в рамках системы. Это обусловлено тем, что необходимо оценивать общий уровень рисков, складывающийся из процессов, имеющих принципиально различный характер. Характерным примером тому являются организационные и технические риски, обусловленные различными классами уязвимостей [70,72]. Причем, обоснованию меры риска посвящено множество исследований, прежде всего в сфере экономики [8-10,15,25,40,44,94]. В области обеспечения информационной безопасности ситуация осложняется разнородностью исследуемых процессов и ориентированностью на снижение риска, а не на максимизацию доходов [68,70-73]. Экономическая методология использует концепцию риска как возможности [25]. При проведении анализа рисков информационной системы принято использовать концепцию риска как опасности, поскольку управление рисками в этой сфере направлено не на получение дополнительной прибыли, а на предотвращение реализации угроз и снижении последствий проявления негативных факторов. Существующие аналитические методики управления, которые могут быть применены в рамках выбранной концепции риска, не отвечают обозначенным выше требованиям [10,25,70]. Поэтому актуальной задачей исследования является развитие методологии для приведения ее в соответствие поставленным целям. В частности, насущным аспектом исследования является разработка методического обеспечения, позволяющего учитывать изменения состояния информационной и иной системы во времени.
При рассмотрении задачи риск-оценки и управления рисками в некоторых случаях необходимо использовать подход, позволяющий учитывать индивидуальные особенности управляющего субъекта. Это обусловлено субъективным подходом в оценке рисков и необходимостью учитывать особенности целей, для достижения которых функционирует система [10,14,25,54,68,70]. Таким образом, разрабатываемое методическое обеспечение должно обеспечивать возможность отражения особенностей лица принимающего решение.
Система как объект исследования воздействия дестабилизирующих факторов представляет собой упорядоченное множество взаимодействующих компонентов, где для компонентов этого множества формируется соответствующая совокупность угроз безопасности [54]. Характер взаимодействия угроз и уязвимостей определяет общую оценку риска для системы, где актуальной является разработка методики комплексной адекватной оценки риска и защищенности систем для множества вышеуказанных деструктивных факторов. Проблема определения общего риска для совокупности сложного взаимодействия угроз на данном этапе не решена в полной мере [67-68], а существующие методики, увы, не учитывают характер взаимодействия различных негативных факторов и дают комплексную оценку риска системы лишь на качественном уровне. При этом, ввиду структурной сложности и компонентной разнородности современных систем, возникает проблема адекватной идентификации и оценки рисков, обусловленных функционированием отдельных элементов системы. Иными словами, в разрабатываемом методическом обеспечении актуальным является учет возможности анализа систем со сложной структурой и упрощения вычислений, при аналитическом выделении подклассов элементов и проведении анализа рисков на основе произведенной классификации [68].
Все вышеизложенное позволяет с уверенностью утверждать об актуальности развития аналитического подхода к риск-оценке и управлению рисками.
Причем, не менее, а может и более значимой задачей выступает оценка и управление шансами системы, имея ввиду определение и регулирование потенциальной успешности (полезности) системы в условиях воздействия различных факторов. Комплексная оценка полезности системы через совместное измерение ее шансов и рисков является особо актуальным как для теории, так и для практики вопросом.