CC BY
21ЭКОНОМИКО-МАТЕМАТИЧЕСКИЕ МЕТОДЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ
ECONOMIC AND MATHEMATICAL METHODS OF INFORMATION RISK MANAGEMENT
УДК 338
ЮНКЕРОВА Юлия Игоревна
аспирантка Белгородского государственного национального исследовательского университета, yunkerova_yi@mail.ru
YUNKEROVA Yulia Igorevna,
Post-graduate student, Belgorod State National Research University, yunkerova_yi@mail.ru
Аннотация.
Основной способ сведения к минимуму информационных рисков - расчет их количественных значений и разработка методов управления ими. Среди имеющегося множества методов анализа и управления информационными рисками наиболее эффективными являются экономико-математические методы управления информационными рисками. Выбор определенного метода управления информационными рисками напрямую зависит от качества и количества информации, которой владеет эксперт, производящий оценку информационных рисков.
Ключевые слова: информационные риски, информационная угроза, политика информационной безопасности, математические методы, система оценки, степень уязвимости.
Abstract.
The basic approach in the information risk minimization performs their quantitative values calculation and management techniques development. Among the existing set of methods of analysis and information risk management the most effective are economic and mathematical methods of the informational risk management. Quality and quantity of information, which expert possesses evaluating informational risks, defines a specific method selection for information risk management.
Key words: information risk, information threats, information security policy, mathematical methods, rating system, the degree of vulnerability.
Целостность взгляда на методологию управ- можность оценить существующий уровень ин-ления информационными рисками основана формационных рисков в отечественных ком-на том, что данный инструментарий дает воз- паниях. Это особенно актуально в условиях,
петербургский экономический журнал • № 1 • 2014
59
когда к современному бизнесу предъявляются повышенные требования в области защиты корпоративной информации. Среди огромного количества методов анализа и управления информационными рисками наиболее эффективными признаны различные экономико-математические методы [1].
Экономико-математические методы анализа информационных рисков можно классифицировать по группам, выделяя методы, основанные на:
1) элементарной математике;
2) математическом анализе: (вариационное, интегральное и дифференциальное исчисление);
3) математической статистике:
• исследование одномерных массивов статпоказателей,
• исследование многомерных массивов статпоказателей;
4) математическом программировании:
• линейное программирование,
• блочное программирование;
• нелинейное программирование (параметрическое, квадратическое, целочисленное);
• динамическое программирование;
5) исследовании операций:
• решение линейных программ;
• теория игр - математическое моделирование по принятию оптимального решения в условиях конфликта либо неопределенности сторон, у которых разные интересы [2];
6) методах кибернетики (производится анализ процессов и явлений, рассматривая их с позиции механизмов и законов движения в них информации):
• методика распознавания образов;
• методика обучения посредством игр;
• методика моделирования;
• методика имитации;
• методика системного анализа;
7) методах математической оптимальности;
8) эвристических методах - решение проблем опирается на оценки, прошлый опыт и интуицию экспертов по оценке информационных рисков;
9) балансовых методиках - основаны на соотношениях, пропорциях, структурах информационных рисков;
10) методах факторного анализа - основаны на постепенном переходе от факторов к результатам, либо от результатов к факторам с целью раскрытия количественных факторов, влияющих на динамику результата.
Подробно остановимся на некоторых методах, отметив их достоинства и недостатки.
Для методов, основанных на линейном программировании, характерна линейная зависимость целевой функции от системы выбранных переменных. Для составления математической модели линейного программирования оцениваемого информационного риска нужно пройти этапы:
1) определения системы переменных, выбора единиц измерения для каждой переменной;
2) записи системы ограничений;
3) составления целевой функции.
Существуют несколько методов решения задач линейного программирования: симплекс-метод Данцига, метод последовательного уточнения оценок Лямке, метод последовательного сокращения невязок Канторовича.
Достоинства методов линейного программирования:
1) точность расчетов;
2) наличие универсального алгоритма (симплекс-метода), дающего возможность решения любой задачи линейного программирования.
Недостатки методов линейного программирования:
1) необходимость преднамеренного создания детерминированных ситуаций;
2) необходимость в четко заданных условиях системы.
В методах, основанных на теории игр, рассматриваются ситуационные модели, в которых информация имеет вероятностный характер, а подчас вовсе неизвестна. Источником теории игр является теория графов. В теории игр строится математическая модель конфликтов, вариаций, в которых сталкиваются интересы сторон, когда все приложенные усилия сторон сводятся к достижению ими собственных интересов. Муллен утверждал [3], что: «игра выступает идеальной математической моделью поведения коллектива,
60
петербургский экономический журнал • № 1 • 2014
в которой участники оказывают влияние на результат игры, а их заинтересованность различна». Оуэн [2] доказывал, что любая игра состоит из трех элементов: ходов, как личных (игроки осознанно выбирают и осуществляют определенное действие), так и случайных (механизм случайной выборки); вероятного недостатка данных; выигрыша. Математическая игровая модель базируется на перечислении участников, указании всевозможных стратегий игроков, а также возможном количественном выигрыше в случае выбора определенной стратегии.
В теории статистических решений, которую описал Вальд, все изучаемые вариации не рассматриваются как конфликтные, а неопределенность наступает от объективных параметров, а не от сознательных действий противника. Подобные теории носят название «игра с природой», в них сознательные действия присущи исключительно одному участнику [4].
Метод нечетких множеств применяется в случае отсутствия необходимого количества достоверной информации при управлении информационными рисками. Кофман утверждал, что «в теории нечетких подмножеств есть возможность описания информации, подверженной нечеткому ограничению, все то, что разделено не очень тонкими границами, к примеру личностному восприятию и описанию человека [5]. В случае наличия некоторых вариаций и множества критериев определяют понятия, а оценки вариантов представляют собой степени соответствия указанным понятиям. Для определения степени соответствия определенного варианта назначенным критериям, строится функция совместимости, а затем определяются конкретные значения данной функции по заданным критериям. Лучший вариант выбирают как пересечение нечетких множеств с заданными критериями [5].
Рассмотрим метод оценки субъективных вероятностей. Практическое применение этого метода возможно в следующем случае:
• если имеет место некачественная объективная вероятность;
• если имеется предположение, что полученная вероятность будет отсутствовать в будущем;
• если отсутствуют объективные данные наблюдений в прошлом.
В подобной ситуации субъективная вероятность рассматривается как мера уверенности экспертов по оценке информационных рисков в вероятности свершения событий. Ее можно представить следующими способами: распределением вероятностей на множестве событий, бинарным отношением на множестве событий и др. [6].
При определении субъективной вероятности процесс делится на три этапа:
1. Подготовительный, на нем выделяется объект исследования как определенное множество событий. Далее предварительно анализируются свойства данного множества, затем выбирается подходящая методика для определения субъективной вероятности и назначается группа экспертов по оценке информационных рисков [7].
2. Получение оценок, применяется методика, избранная на первом этапе, результат которой - совокупность чисел, являющаяся субъективной оценкой группы экспертов по оценке информационных рисков на возможность наступления событий.
3. Анализ оценок - изучение и обобщение экспертных оценок.
Методы определения субъективных вероятностей подразделяются на три группы:
1. Прямые методы основаны на том, что экспертная группа по оценке информационных рисков дает ответ на вопросы вероятного происхождения событий. Сюда можно отнести метод по оценке параметров распределения, метод собственного значения, графические методы, методы фиксированных и изменяющихся интервалов.
2. Гипотетические методы основаны на том, что экспертная группа по оценке информационных рисков выводит вероятность события в предполагаемой ситуации. Сюда можно отнести метод равноценной корзины и методику лотереи.
3. Гибридные методы требуют от экспертной группы рассмотрения и полезности, и вероятности наступления событий.
В методе прямой оценки вероятности события группа экспертов по оценке информа-
петербургский экономический журнал • № 1 • 2014
61
ционных рисков определяет перечень всевозможных событий. Специалисты должны дать ответ о последовательной вероятности каждого события. У данного метода существуют разнообразные вариации. К примеру, можно сделать выборку из списка и определить наиболее вероятное событие, а затем произвести оценку его вероятности. Затем данное событие вычеркивается из списка и циклически применяется описанный алгоритм. Итог рассчитанных вероятностей в сумме должен дать единицу [6].
Метод собственных значений основывается на том, что неизвестному вектору вероятностей дается значение собственного вектора специальной матрицы, которая отвечает максимальному собственному значению. Изначально перед экспертом ставится вопрос -происхождение какого события из двух наиболее вероятно - далее определяется отношение вероятности других событий и помещается на соответствующую позицию матрицы.
В методе оценки непрерывных распределений используются, к примеру, плотность либо функция распределения субъективной вероятности какой-либо непрерывной случайной величины. Чтобы решить подобную задачу можно использовать два метода, которые основаны на анкетировании экспертной группы: метод фиксированного и изменяющегося интервалов.
Известны различные модификации данного метода. Общими требованиями является указание интервала на множестве значений случайной величины, такого, чтобы вероятность принятия значения случайной величиной в указанном интервале равнялась заданной. Указанный процесс нужно продолжать не очень долго, так как при значительном уменьшении интервала резко растет вероятность ошибки экспертной группы. В процессе применения указанного метода иногда стоит возвратиться к ранее произведенным оценкам для анализа их непротиворечивости. Если экспертная группа обнаружит противоречия, ей необходимо изменить ранее произведенные оценки.
В определенных вариациях указанного метода перед экспертами ставится задание указать две точки на предложенном интервале,
которые разбивают указанный интервал на три части с равными вероятностями. Оценочные результаты, найденные подобными способами, в меньшей мере зависят друг от друга, то есть отсутствует момент накопления ошибок. Имеет место модификация методики, базирующаяся на теории, что экспертной группе гораздо проще найти точку, которая делит область на два отрезка с равной вероятностью, чем точку, которая отграничивает интервал с вероятностью 0,1 от остального заданного изначально интервала. Итак, если экспертной группой применяется метод изменяющегося интервала, то возникает необходимость выбора между независимыми результатами и простым сравнением
При использовании метода фиксированного интервала все множество, которое может принять случайная величина, разбивается на фиксированные интервалы и экспертной группе необходимо произвести оценку того, что некоторая случайная величина попадет в какой-либо из полученных фиксированных интервалов. Как правило, все интервалы, исключая крайние справа и слева, полагают равными. Количество интервалов рассчитывается, учитывая нужную точность и необходимого вида распределения. После сообщения экспертной группой вероятностей всех интервалов, как правило, производится проверка полученного распределения. К примеру, если двум разным интервалам приписывают равную вероятность, можно задать вопрос экспертной группе, на самом ли деле интервалы являются равновероятными. Что касается других интервалов, нужно спросить у экспертов по оценке информационных рисков, на самом ли деле один в заданное количество раз вероятнее другого, как показывает вероятность, приписанная данным интервалам. По результатам подобных уточнений экспертная группа производит корректировку вероятностей. Часто методы изменяющегося и фиксированного интервалов используются совместно. К примеру, изначально экспертной группе предлагается определить середину интервала, а затем от полученной середины отмерять в обе стороны фиксированные, равные отрезки.
62
петербургский экономический журнал • № 1 • 2014
При использовании графического метода можно получить достоверные результаты только тогда, когда экспертная группа достаточно подготовлена воспринимать графическую информацию о вероятностях, способна в графическом формате (в виде графика, диаграммы, плотности распределения, функци-ираспределения) изобразить свой взгляд на случайную величину или вероятность события [10].
Часто известно графическое изображение, а эксперту необходимо правильно выбрать параметры распределения вероятности. Графический метод достаточно полезен для вспомогательного анализа вероятности, определенной каким-то иным методом. К примеру, функция распределения определена посредством метода фиксированных интервалов, а график функции и плотности ее распределения экспертная группа окончательно дорабатывает.
Существует ряд рекомендаций, благодаря которым возможно корректное анкетирование экспертов по оценке информационных рисков посредством различных методов [8]:
1. Эксперт должен четко представлять себе процедуру осуществления экспертизы с применением теории вероятности.
2. Процедура опросов является одним из звеньев процесса вычисления вероятности: все предшествующие и последующие шаги в равной степени важны.
3. Важен прошлый опыт и результаты алгебраической обработки экспертных оценок для сопоставления с современным анализом.
4. На проверочном этапе используется иные методики получения субъективных вероятностей.
5. Эксперт обязан быть компетентен в работе с числовыми формулами и показателями. В противном случае стоит использовать доступные экспертам оценочные методики, вопросы, фразы и понятия.
6. Трудные методы, к примеру метод лотерей, стоит применять лишь в исключительных случаях, при наличии серьезных аргументов в их пользу.
Следование этим рекомендациям дает возможность значительно повысить точность результатов анализа информационных рисков.
Если компании предстоит решить задачу выбора в условиях неопределенности и, к примеру, задачу по оценке информационных рисков, нельзя не отметить метод, который базируется на теории полезности. В наше время теория полезности находится на достаточно высоком уровне своего развития. Применение данной теории на практике весьма хорошо освещено в современном литературе: имеются термины и понятия, изучены свойства, дающие возможность поэтапно структурировать процесс, освещена методика построения функции полезности. Теория и практика использования функции одномерной полезности в достаточной степени апробирована на решении разнообразных задач по принятию решений, поэтому есть смысл применять ее в различных методах оценки информационных рисков.
В заключение можно выделить основные подходы к процессу принятия решения при информационном риске:
1. Использование объективных критериев выбора (принципов стохастического программирования, математических критериев теории вероятности: дисперсии, математического ожидания и др.).
2. Использование субъективной информации, полученный от конкретного лицо с учетом его собственного отношения к риску.
Таким образом, методы управления информационными рисками являются приоритетными и актуальными в процессе управления. Среди существующих методов анализа и управления информационными рисками предпочтительно использовать различные экономико-математические методы.
Используя описанные в статье методы, величину риска можно определить как вероятность успешного исполнения угроз или как величину ущерба, который будет нанесен в результате исполнения угрозы. Вероятный ущерб не всегда может выражаться в денежном эквиваленте, а вероятности успешного осуществления угроз нельзя оценить точ-
петербургский экономический журнал • № 1 • 2014
63
но, следовательно, оценка риска - величина весьма приблизительная. Ее точность напрямую зависит от того, насколько руководство компании хорошо ориентируется в условиях
внешней среды, верно ли его представление о природе и методах реализации угрозы, а также, в значительной степени, от его способностей к анализу и оценке последствий.
Список литературы
1. Айвазян С. А., Енюков И. С., Мешалкин Л. Д. Прикладная статистика. Основы моделирования и первичная обработка данных. М.: Статистика, 1983.
2. Оуэн Г. Теория игр: Пер. с англ. М: Мир, 1971. 232 с.
3. Мулен Э. Теория игр с примерами из математической экономики: Пер. с франц. М.: Мир, 1985. 200 с.
4. Бриллинджер Д. Временные ряды: обработка данных и теория. М.: Мир, 1980.
5. Кофман А. Введение в теорию нечетких множеств: Пер. с англ. М.: Радио и связь, 1982. 432 с.
6. Андерсон Т. Статистический анализ временных рядов. М.: Мир, 1976.
7. Нейман Дж. фон. Теория игр и экономическое поведение: Пер. с англ./ Дж. фон Нейман, О. Моргенштерн; Под ред. Н. Н. Воробьева. М.: Наука, 1970. 708 с.
8. Поликарпов А. К. Обзор существующих методов оценки информационных рисков и управления информационной безопасностью. URL: http://is.isa.ru/PolikOtc.html (дата обращения: 20.12.2013).
9. Бокс Дж., Дженкинс Г. Анализ временных рядов. Прогноз и управление. М.: Мир, 1974. Вып. 1, 2.
10. Заде Л. Понятие лингвистической переменной и его применение к принятию приближенных решений: Пер. с англ. М.: Мир, 1976. 165 с.
11. Астахов А. М. Как управлять рисками информационной безопасности? URL: http://iso27000.ru/chitalnyi-zai/upravlenie-riskami-informacionnoi-bezopasnosti/kak-upravlyat-riskami-informacionnoi-bezopasnosti (дата обращения: 27.12.2013).
12. Лопарев С. А. Анализ инструментальных средств оценки информационных рисков утечки информации в компьютерной сети компании. URL: http://www. iso27000.ru/chitalnyi-zai/upravlenie-riskami-informacionnoi-bezopasnosti/analiz-in-strumentalnyh-sredstv-ocenki-riskov-utechki-informacii-v-kompyuternoi-seti-pred-priyatiya (дата обращения: 25.12.2013).
64
петербургский экономический журнал • № 1 • 2014
