- •Введение
- •1. Арсенал риск-анализа (на примере информационных систем)
- •1.2.Современные стандарты в области управления рисками информационных систем
- •Международный стандарт iso iec 17799 и гост р исо/мэк 17799-2005
- •Часть 12 гост р исо/мэк 17799-2005 определяет способ оценки качества управления безопасностью с помощью проверки соответствия определенным требованиям, а именно:
- •Международный стандарт iso iec 27001 и гост р исо/мэк 27001-2005
- •Британский стандарт bs 7799-3 «Руководство по управлению информационными рисками»
- •Раздел 7 bs 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает две фазы менеджмента системы: контроль риска и оптимизация риска.
- •Стандарт сша nist 800-30 «Руководство по управлению информационными рисками it-систем»
- •2.2.Экспертные методы оценки рисков
- •2. Риски и шансы: аналитический подход в методологии оценки
- •3.2.Понятие риска и шанса
- •Концепции оценки рисков и шансов
- •Обобщенная модель оценки риска и шанса
- •Вероятностная природа риска и шанса
- •Методы оценки риска и шанса
- •Формальное определение меры риска и шанса
- •Основные меры риска и шанса
- •Методы рационализации вычислений при расчете риска и шанса
- •Объективные и субъективные составляющие риска и шанса
- •4.2.Динамические характеристики риска и шанса
- •Базовое движение характеристик
- •4.1.Временная динамика характеристик
- •5.2.Меры эффективности на основе шанса и риска
- •3. Методическое и алгоритмическое обеспечение управления рисками и шансами.
- •6.2.Аналитические методы управления шансами и рисками
- •Понятия и обобщенная схема управления
- •Принципы принятия решений по управлению шансами и рисками
- •Основные критерии выбора оптимальных решений по управлению шансами и рисками
- •7.2.Постановка задачи управления рисками и шансами
- •Интересо-ориентированные системы в контексте постановки задачи управления рисками
- •Общий вид модели управления
- •Формализация управления
- •Критерий принятия решений при управлении на основе функций полезности
- •Динамические модели управления
- •8.2.Алгоритмы управления рисками и шансами
- •Послесловие редактора
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Общий вид модели управления
Управление рисками (шансами) систем, как было показано в главе 2, является циклическим многоэтапным процессом. Рассмотрим схему модели управления, обеспечивающей применение функции полезности. Обобщенно данная схема отражена на рис. 3.2.
В соответствии с приведенной моделью система представляет собой множество субъектов, которые производят определенные операции с ее ресурсами. Ресурсы системы представляют собой множество объектов. Субъекты могут осуществлять воздействия на объекты, посредством процессов, происходящих в системе. Воздействия на объекты осуществляется в зависимости от целей воздействия, которые принадлежат множеству целей воздействия.
Множество
процессов, реализующих воздействия на
объекты
Множество
объектов, подвергающихся воздействию
Множество
субъектов, инициирующих процессы
воздействия
Множество
целей воздействия
Множество
средств реализации воздействий
Множество
последствий воздействия
Коррекция
целей воздействия
Коррекция
средств реализация воздействия
Оценка
изменения последствий воздействий
Лицо,
принимающее решение
Множество
критериев полезности
Рис. 3.2. Модель управления рисками (шансами) систем
Лицо, принимающее решение, может осуществлять управляющие воздействия следующих видов:
Коррекция целей воздействия – управляющее воздействие, при котором изменяются цели воздействия субъектов на систему. Примером такого изменения может быть применения организационных мер управления рисками, в частности стимулирование информационной системы к участию в обеспечении безопасности информационных ресурсов. Выбор требуемой цели осуществляется из множества целей воздействия на систему.
Коррекция средств реализации воздействий – управляющее воздействие, осуществляющее изменения процессов воздействия субъектов на объекты. Его реализацией, к примеру, может быть изменение настройки программных средств информационной системы для обеспечения меньшего уровня риска. Множество средств реализации воздействий состоит из различных вариантов изменения характеристик процессов, происходящих в системе.
Управление рисками (шансами) системы, как уже было сказано выше, является циклическим процессом. На каждой итерации данного цикла лицо, принимающее решение, выбирает вариант дальнейших действий. Для принятия этого решения необходимо осуществлять оценку рисков (шансов) перед началом каждого шага. То есть, иными словами, необходимо провести оценку изменения последствий воздействий множества субъектов на объекты системы после принятия данного решения. В связи с этим в модель управления рисками (шансами) введено множество критериев полезности, с помощью которых осуществляется оценка сложившейся ситуации в системе.
Ситуацией в данном случае является комплексная оценка состояния системы, в которой учитывается характеристики субъектов, объектов и процессов происходящих в ней. На основе этой оценки принимается решение об инициации каких-либо воздействий на систему со стороны лица, принимающего решение, то есть осуществляется ситуационное управление на основе интересов (функции полезности).