4.1.Временная динамика характеристик
Оценка риска (шанса) на основе статистических данных для достаточно обширного класса угроз показывает значительную зависимость его значений от времени. Для таких угроз весьма важным является учет временных характеристик при оценке и регулировании. Динамика изменения риска может быть обусловлена естественными факторами внешней среды, такими как смена этапов жизненного цикла систем и подсистем [68].
Отсюда, в каждый отдельный временной интервал оценка риска (шанса) должна проводиться по закону распределения вероятностей ущерба (дохода), который актуален в текущий период времени. Это говорит о том, что при захвате нескольких временных этапов для описания этого закона необходимо ввести параметр времени, то есть, говоря другими словами, рассмотреть появление ущерба (дохода) в системе как случайный процесс.
Исходя
из определения случайного процесса
[24] известно, что он является обобщением
понятия случайной величины. Поэтому,
от случайной величины 
,
которая представляет ущерб и имеет
плотность вероятности
,
можно перейти к случайному процессу
, плотность вероятности для каждого
сечения которого зависит от времени
.
Важно отметить то, что параметр 
может означать не только время, а служит
для того чтобы задать какое-либо внешнее
воздействие на систему со стороны
определенного фактора. Для определенности,
а также из-за того, что фактор времени
при изучении систем играет значительную
роль, далее будем рассматривать параметр
только в качестве значения времени.
Всякая
реализация случайного процесса
является [24] неслучайной функцией 
,
задающей появление ущерба (пользы) в
данном промежутке времени. Для задачи
оценки рисков (шансов) необходимо
учитывать, к какому классу принадлежит
случайный процесс появления ущерба
(пользы) в системе. Из теории случайных
процессов известна элементарная
классификация случайных процессов по
времени и состоянию.
Случайный
процесс
называется
[24] процессом
с дискретным временем,
если система, в которой он протекает,
может менять свои состояния только в
моменты 
, число которых конечно или счетно.
Множество
является дискретным. Одним из наиболее
характерных примеров процесса с
дискретным временем в области оценки
рисков являются различные классы сетевых
атак, происходящие по наступлению
определенного события (например, в
определенные дни недели).
Случайный
процесс
называется [24] процессом
с непрерывным временем,
если переходы системы из состояния в
состояние могут происходить в любой
момент
наблюдаемого периода 
.
Для процесса с непрерывным временем
множество
моментов, когда система меняет свое
состояние, не является счетным. К примеру,
таким процессом может являться изменение
величины ущерба, обусловленного отказами
оборудования, так они могут происходить
в произвольный момент времени, или
вызванного поражением объектов сети в
результате распространения вредоносного
программного обеспечения.
Одномерный случайный процесс [24] называется процессом с непрерывными состояниями, если его сечение в любой момент представляет непрерывную (или смешанную) случайную величину и, значит, множество ее значений несчетно. Примером такого типа процесса служит процесс появления материального ущерба, обусловленного некорректными действиями пользователей информационной системы, выраженного в денежном эквиваленте.
Случайный
процесс, протекающий в системе 
,
называется [24] процессом
с дискретными состояниями,
если в любой момент времени
множество его состояний
конечно или счетно; другими словами,
если его сечение в любой момент
характеризуется дискретной случайной
величиной
.
В качестве примера процесса с дискретными
состояниями можно привести изменение
величины ущерба для информационной
системы, заданной качественной шкалой.
Сечение такого процесса представляет
собой случайное событие — аналог
дискретной случайной величины.
В соответствии с этим, случайные процессы появления ущерба (пользы) в системе в зависимости от характеристик множества значений и аргумента времени можно разделить на следующие классы [24]:
− процессы с дискретными состояниями и дискретным временем;
− процессы с дискретными состояниями и непрерывным временем;
− процессы с непрерывными состояниями и дискретным временем;
− процессы с непрерывными состояниями и непрерывным временем.
Для мониторинга динамики изменения риска (шанса) в исследуемой системе важно, как изменяется значение меры. В случае, когда появление ущерба в системе может быть формализовано с помощью случайного процесса, значение меры риска также зависит от времени
От существующих мер риска (шанса), которые вычисляются для величины ущерба (пользы), представленной случайной величиной, можно перейти к выражениям для появления ущерба (пользы), заданного случайным процессом. В варианте со случайной величиной существуют два основных вида вычислений мер риска (шанса): для дискретной и для непрерывной шкалы ущерба. Очевидно, что в том случае, если появление ущерба представляет собой случайный процесс, также имеет место два различных варианта вычислений, исходя из типа данного случайного процесса в классификации по состоянию. Это обусловлено тем, что мера риска рассматривается как функция времени и, поэтому на вычисления не влияет, является ли шкала времени непрерывной или дискретной.
Рассмотрим интерпретацию наиболее распространенных мер риска (шанса) в случае, когда появление ущерба (пользы) задано случайным процессом. Нередко мерой риска (шанса), является математическое ожидание.
В рассматриваемом случае математическое ожидание является функцией времени:
Для дискретного закона распределения случайного процесса появления ущерба (пользы) функция, задающая зависимость риска (шанса) от времени будет иметь следующий вид:
или для непрерывного закона распределения вероятностей – соответственно:
В вышеуказанных выражениях суммирование и интегрирование производится в соответствии с заданным дискретным или непрерывным множеством значений ущерба (пользы). Необходимо отметить, что множество дискретных значений ущерба (пользы) может меняться в зависимости от времени. Причем что интегрирование в случае с непрерывной шкалой оценки ущерба (пользы) может производиться либо на отрезке , либо в любом его непустом подмножестве, в соответствии с физическим смыслом ущерба (пользы).
Еще одной мерой риска (шанса) для ущерба (пользы), представленного случайной величиной, является мера на основе вычисления дисперсии для заданного закона распределения вероятностей данной случайной величины. Когда изменение ущерба (пользы) представляет собой случайный процесс, то имеет место следующее выражение для функции меры:
,
.
И соответственно для случайных процессов с дискретными и непрерывными состояниями функции риска (шанса) будут иметь вид:
По аналогии для смешанной меры риска при изменяющемся с течением времени законе распределении вероятностей функция примет вид:
где – взвешивающий коэффициент.
Как известно из теории случайных процессов [24], такие численные характеристики, как одномерный закон распределение случайного процесса, математическое ожидание, дисперсия не дают представление о внутренней структуре случайного процесса. Другими словами, процессы, имеющие примерно одинаковые численные характеристики, могут иметь различную форму проявления, например, более скачкообразный характер или более плавное изменение величины ущерба, то есть разную степень вероятностной зависимости между сечениями случайного процесса. Достаточно часто при оценке рисков (шансов) это играет значительную роль. В некоторых случаях важна предсказуемость системы, которую можно охарактеризовать с помощью нормированной корреляционной функции, которая для случайного процесса появления ущерба системе задается следующим образом:
где
– корреляционная функция случайного
процесса
[24].
Вышеприведенное выражение корреляционной функции, сделанные в отношении риска, полностью может быть применено для оценки динамики шансов системы.
Проанализировав
значения нормированной корреляционной
функции для различных моментов времени
и 
можно оценить степень зависимости между
различными сечениями случайного процесса
появления ущерба в системе и таким
образом оценить дополнительную степень
риска, которая обусловлена непредсказуемостью
этого процесса. В реальных задачах
анализа динамики изменения риска (шанса)
можно использовать корреляционную
матрицу для осуществления оценки
зависимости между каким-то ограниченным
набором сечений, который дает приемлемый
по точности результат, производя
аппроксимацию для упрощения вычислений.
Исходя из физического смысла численных характеристик случайного процесса, функцию меры риска (шанса) для него нужно выбирать в соответствии со следующими рекомендациями:
Если необходимо анализировать динамику частоты и величины значения ущерба (пользы), то следует выбрать функцию меры риска (шанса) основанную на математическом ожидании.
Если для оценки риска (шанса) системы важно анализировать диапазон величин ущерба (пользы), то следует выбрать функцию меры риска (шанса), основанную на дисперсии (среднеквадратичном отклонении).
Если требуется проведение анализа предсказуемости поведения системы, необходимо производить оценку на базе корреляционной функции случайного процесса, описывающего систему.
Для анализа изменения уровня риска (шанса) в системе в течение времени вводятся можно ввести характеристику его динамики. В самом простом случае динамика риска (шанса) может быть найдена в виде функции дифференциальной чувствительности:
.
Функция
,
,
исходя из физического смысла производной,
характеризует скорость изменения риска
(шанса) во времени. Таким образом, в
случае если эта величина в точке
положительна, то наблюдается увеличение
уровня риска (шанса) в соответствии с
заданной мерой, а если отрицательна, то
соответственно – снижение.
Для
анализа уровня риска (шанса) в движении
также может быть полезен средний уровень
в заданном промежутке времени 
,
.
Переход к средним значениям на отрезке позволяет осуществить дискретизацию и переход к упрощенным вычислениям (например, переход к случайному процессу с дискретным временем, вместо непрерывного).
Вышеперечисленные способы анализа динамики рисков (шансов) системы могут быть применены в том или ином виде для организации мониторинга ее рисков (шансов). Например, знание динамики изменения рисков очень важно при создании организационных методов обеспечения безопасности, так как может учитывать периодичность и основные закономерности проявления угроз во времени.