- •Введение
- •1. Арсенал риск-анализа (на примере информационных систем)
- •1.2.Современные стандарты в области управления рисками информационных систем
- •Международный стандарт iso iec 17799 и гост р исо/мэк 17799-2005
- •Часть 12 гост р исо/мэк 17799-2005 определяет способ оценки качества управления безопасностью с помощью проверки соответствия определенным требованиям, а именно:
- •Международный стандарт iso iec 27001 и гост р исо/мэк 27001-2005
- •Британский стандарт bs 7799-3 «Руководство по управлению информационными рисками»
- •Раздел 7 bs 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает две фазы менеджмента системы: контроль риска и оптимизация риска.
- •Стандарт сша nist 800-30 «Руководство по управлению информационными рисками it-систем»
- •2.2.Экспертные методы оценки рисков
- •2. Риски и шансы: аналитический подход в методологии оценки
- •3.2.Понятие риска и шанса
- •Концепции оценки рисков и шансов
- •Обобщенная модель оценки риска и шанса
- •Вероятностная природа риска и шанса
- •Методы оценки риска и шанса
- •Формальное определение меры риска и шанса
- •Основные меры риска и шанса
- •Методы рационализации вычислений при расчете риска и шанса
- •Объективные и субъективные составляющие риска и шанса
- •4.2.Динамические характеристики риска и шанса
- •Базовое движение характеристик
- •4.1.Временная динамика характеристик
- •5.2.Меры эффективности на основе шанса и риска
- •3. Методическое и алгоритмическое обеспечение управления рисками и шансами.
- •6.2.Аналитические методы управления шансами и рисками
- •Понятия и обобщенная схема управления
- •Принципы принятия решений по управлению шансами и рисками
- •Основные критерии выбора оптимальных решений по управлению шансами и рисками
- •7.2.Постановка задачи управления рисками и шансами
- •Интересо-ориентированные системы в контексте постановки задачи управления рисками
- •Общий вид модели управления
- •Формализация управления
- •Критерий принятия решений при управлении на основе функций полезности
- •Динамические модели управления
- •8.2.Алгоритмы управления рисками и шансами
- •Послесловие редактора
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Формализация управления
Для аналитического выбора решений по обеспечению безопасности (полезности) необходимо формализовать описанную выше модель управления рисками (шансами) системы. Рассмотрим подробнее общий вид такой модели.
Проанализируем формальные составляющие, которые можно выделить на основе описания интересо-ориентированной модели управления.
Множество субъектов, осуществляющих процессы воздействия, обозначим . Каждый элемент множества представляет собой субъект, который оказывает воздействия на систему. Субъект может быть внешним или внутренним и иметь различные особенности воздействия на систему.
Множество процессов, реализующих воздействия на объекты, обозначим как . Каждый элемент множества является процессом, происходящим внутри системы, либо процессом воздействия на систему извне. Примерами таких процессов может быть, осуществление мероприятий по конфигурированию ресурсов системы или сетевое взаимодействие системы с внешними ресурсами.
Множество объектов, подвергающихся воздействию, обозначим как . Каждый элемент множества является объектом системы. Объекты представляют собой ресурсы рассматриваемой системы. На практике ими могут быть документы, вычислительные ресурсы, сети и т.п.
Для каждого лица, принимающего решения, существует множество целей воздействия. Обозначим данное множество как . Целью воздействия может быть, к примеру, достижение определенного уровня значений риска для системы.
Для оценки состояния системы, должна использоваться функция, определенная на множестве . То есть, в зависимости от конкретных элементов, входящих в эти множества, определяется текущее состояние системы. Обозначим эту функцию следующим образом:
Данную функцию будем называть функцией полезности. Она позволяет оценить успешность реализации управляющих воздействий на систему. Для того чтобы была возможность сравнивать значение данной функции с некоторыми значениями, можно ввести множество критериев полезности, обозначаемое . Каждый элемент множества обозначает определенный уровень опасности (доходности) для системы. Наиболее удобный критерий полезности имеет смысл риска (шанса).
В зависимости от значения функции , которое характеризует состояние системы, задается множество возможных решений по управлению. Данное множество целесообразно разбить на два подмножества: множество управляющих воздействий по коррекции целей воздействия, а также по коррекции средств реализации воздействий. Обозначим эти множества соответственно и .
Таким образом, формальная модель управления имеет следующий вид:
Процедура управления в рамках этой модели имеет форму циклического процесса, в котором на основании оценки состояния множеств субъектов ( ), объектов ( ), процессов ( ) и текущего значения функции формируется множество управляющих решений . Для каждого из этих решений значение функции прогнозируется и сравнивается с критерием полезности, принадлежащим множеству . На этом этапе происходит выбор оптимального решения. Осуществление этой деятельности опирается на множество , задающее цели управления для лица, принимающего решение.