|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Оценка эффективности управления рискамиРассмотрим несколько методов оценки эффективности управления рисками. 1) Методика, основанная на оценке среднего значения риска (защищенности) на множестве угроз. Пусть для множества из угроз задан вектор мер рисков , где – значение меры риска для -ой угрозы. Тогда общий риск для исследуемой системы будет равен среднему значению риска для всех угроз 2) Методика основанная на оценке модуля вектора мер рисков. Для рассмотренного в предыдущей методики вектора мер риска вычисляется его модуль, который характеризует величину общего риска для рассматриваемой системы. 3) Методика основанная на выборе максимального значения риска. На практике в некоторых случаях (особенно при использовании качественных оценок риска) для оценки общего риска используется максимальное значение меры риска из множества мер риска для множества всех угроз системы. 4) Методика определения общего риска с использованием теории нечетких множеств. Если представляет собой нечеткое число (например, трапезоидное), то возможно определить суммарный риск как сумму нечетких чисел: , то есть в данном случае суммарный риск для системы представлен также нечетким числом. 5) Методика основанная на использовании экспертных оценок. Обычно используется совместно с качественными методиками оценки риска. Основной смысл этой методики в том, что на основе оценок риска для каждой из множества угроз эксперт делает вывод (чаще всего это бывает какая-либо качественная оценка) о величине общего риска для исследуемой системы. Задача управления рисками в общем случае считается успешно решенной, при условии того, что общая мера риска для системы после проведения мероприятий по снижению (управлению) рисками будет ниже, чем в исходном состоянии системы. В некоторых случаях устанавливается порог максимально возможного риска, при котором возможно нормальное функционирование системы. То есть основной целью управления будем считать следующие: В случае, когда задается порог, критерий успешного управления рисками выглядит следующим образом: , где – максимально допустимый уровень риска Стратегии управления рисками систем
Рассмотрим основные стратегии управления рисками в системах. Для решения задачи управления будем считать задачу управления рисками обособленной задачей, требующей решения после проведения соответствующих оценок общего риска для системы. Итак, после проведения оценки риска определяется основное множество угроз, уровень рисков, обусловленных каждой из этих угроз, а также общее значение риска для всей системы. Для выбора наиболее подходящей стратегии управления необходимо в первую очередь определить существует ли зависимость между угрозами из полученного на этапе оценки множества угроз. Соответственно необходимо отнести исследуемое множество к одному из двух классов: · множества независимых угроз (другими словами, изменение количественной меры риска одной из угроз не влияет на меры риска других) · множество зависимых угроз Данное деление является условным, но при выборе стратегии управления рисками оно играет важную роль. На практике чаще используются стратегии, считающие угрозы безопасности условно независимым. Обычно они используются по умолчанию, и обусловлено это большей простотой их использования. Рассмотрим основные стратегии для множества независимых угроз: 1) Учет и ограничение рисков – в данной стратегии используется принцип минимизации деструктивного действия при реализации угрозы за счет применения дополнительных мер защиты. При этом система продолжает свое функционирование с имеющимися уязвимостями, но значение риска для угроз снижается. Кроме этого в рамках данной стратегии возможно 2) Устранение рисков (уклонение от рисков) – исключение элементов или функций системы, для которых значение риска является недопустимым. При этом система возможно перестанет выполнять некоторые опасные с точки зрения обеспечения безопасности функции. Изменения могут иметь различный масштаб от запрета выполнения некоторых второстепенных функций до полного исключения целых подсистем. 3) Устранение уязвимостей – устранение слабых мест системы с точки зрения обеспечения безопасности путем улучшения защищенности ее элементов, при сохранении ее функциональной целостности с целью снижения общего риска до приемлемых значений. На практике в большинстве случаев такая стратегия является наиболее эффективной, так как снижается риск, при этом система не лишается функциональности. Однако, как правило – это самая дорогая стратегия при ее реализации. 4) Игнорирование рисков – устранение уязвимых мест системы не производится. Такое решение принимается обычно, если уровень рисков в системе считается допустимым, либо их устранение не представляется возможным по объективным причинам. 5) Страхование рисков – в случае независимых угроз возможно применять этот вид перераспределения рисков. В данном случае часть риска берет на себя страховая компания, обеспечивающая приемлемый уровень риска для системы. Для вышеперечисленных стратегий (кроме стратегии игнорирования рисков) является очевидным то, что при их успешном применении в условии независимости угроз значение общего риска для системы снизится. При этом выбор стратегии необходимо осуществлять в соответствии с конкретными практическими задачами и экономическими возможностями. В наиболее простом виде способ выбора стратегии может быть проведен следующим образом в зависимости от характера угрозы (Рис. 8.7): · Низкий уровень ожидаемого ущерба и низкая вероятность его появления – наиболее подходящая стратегия в этом случае – игнорирование рисков. · Высокий уровень ожидаемого ущерба и низкая вероятность его появления – при таком раскладе обычно применяют страхование рисков. · Низкий уровень ожидаемого ущерба и высокая вероятность его появления – обычно применяется стратегия учета и ограничения рисков, то есть другими словами создаются внутренние резервы системы для противодействия последствиям. · Высокий уровень ожидаемого ущерба и высокая вероятность – наиболее рациональным решением в этом случае является стратегия устранения уязвимостей, вызывающих высокий уровень рисков, а также стратегия уклонения от рисков.
Рис. 8.7- Выбор стратегии управления рисками.
Более сложными в осуществлении, но зачастую позволяющие проводить более гибкую политику обеспечения безопасности систем, являются стратегии использующие множество зависимых угроз. Полная независимость угроз зачастую является достаточно грубым представлением действительности современных систем. Зависимость между процессами различного характера, происходящими в системах, требует отражение этого и в стратегиях управления рисками. При этом достаточно часто их осуществление ставит перед специалистами сложные, обычно оптимизационные задачи, решение которых должно проводиться с учетом большого числа факторов, индивидуальных для каждого случая. Приведем примеры методик, использующих зависимость между угрозами безопасности систем. 1) Перераспределение (трансформация) рисков – данная стратегия позволяет задействовать альтернативные возможности для компенсации потерь. То есть снижение риска для одной угрозы достигается за счет его перераспределения между другими менее существенными в данных условиях. Примером перераспределения рисков может быть страхование объектов системы. В данном случае риск перераспределяется между владельцем системы и страховой компанией. Для применения этой методики важно группировать угрозы для систем в соответствии с их приоритетами. Перераспределение обычно проводят с наиболее высокоприоритетными а, следовательно, опасными угрозами. 2) Оптимизационное снижение рисков – по сути, является одним из вариантов предыдущей методики, отличительной чертой которого является решение оптимизационной задачи при управлении рисками. Для заданных условий функционирования системы рассматривается несколько вариантов принятия решений по защите системы и выбирается наиболее приемлемый вариант. Рассмотрим методику оптимизацию более подробно. В данном случае будем рассматривать защищенность системы при помощи вектора мер рисков вида . Начальное состояние системы характеризуется вектором , который задается исходными значениями мер риска для исследуемой системы. Зададим также множество , всевозможных вариантов принятий решений по обеспечению безопасности системы. В таком случае можно задать множество пар , где – возможное решение по управлению рисками, а – вектор мер рисков, характеризующий систему после принятия решения. В данном случае задача управления рисками сводится к нахождения оптимального решения , результатом которого станет вектор мер риска , для которого значение суммарного риска будет наименьшим, то есть задача управления рисками будет считаться успешно решенной. На практике обычно имеется достаточно ограниченный набор решений по обеспечению безопасности, поэтому представляется возможным оценить каждый из возможных исходов и выбрать оптимальный из них. Наиболее сложной проблемой при решении задачи управления является сложность точной оценки значений рисков. Поэтому независимо от принятой стратегии управления необходимо учитывать погрешности в оценках, использовать статистически проверенные численные характеристики и грамотные качественные оценки. Это, прежде всего, может обеспечить принятие гарантированно оптимальных решений при управлении рисками Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.005 сек.) |