Методика анализа риска с использованием модели последствий Текст научной статьи по специальности «Экономика и бизнес»

УДК 005.334:004.942 ББК У 291.21-09

С О. ИВАНОВ, Д.В. ИЛЬИН, Л.А. ИЛЬИНА

МЕТОДИКА АНАЛИЗА РИСКА С ИСПОЛЬЗОВАНИЕМ МОДЕЛИ ПОСЛЕДСТВИЙ

Ключевые слова: анализ рисков, имитационное моделирование, методы оценки. В данной статье предлагается методика анализа рисков на основе имитационной модели распространения последствий. Даются определения величины риска в терминах имитационной модели, что позволяет использовать данную методику для анализа любых видов риска.Рассматривается возможность применения предложенной методики для автоматизации этапа оценки риска.

S. IVANOV, D. ILIN, L. ILINA METHODOLOGY OF RISK ANALYSIS BY MEANS OF MODELS OF CONSEQUENCES Key words: risk analysis, simulation, estimation methods.

This paper suggests methods of risk analysis, based on the model of consequences. The authors provide the definition of risk value in terms of the simulation model, which allows using these methods while analysing any kinds of risk. The authors regard the possibility of applying the proposed method for automating the risk assessment stage.

Анализ рисков - это необходимый этап построения системы безопасности предприятия, как физической, так и информационной. Он также используется в процессе управления развитием самой организации.

В нашей стране развитием научного направления, посвященного риску и безопасности, занимаются многие научные коллективы и организации. Из специализирующихся на риске ведущую роль играет «Рабочая группа при Президенте РАН по анализу риска и проблем безопасности» под председательством Н.А. Махутова [1]. Также действуют сообщества специалистов, например, «Русское общество управления рисками». В зарубежных странах вопросами риск-менеджмента занимается сообщество Society for Risk Analysis, проводящее ежегодные встречи, посвященные проблемам риск-менеджмента. В 2014 г. сообществом обсуждалась проблема применения методик и инструментов оценки риска для решения сложных и спорных вопросов об окружающей среде и здоровье.

Этапы анализа рисков в риск-менеджменте включают анализ активов, идентификацию, оценку величины риска. Среди них ключевыми являются -идентификация и оценка величины риска. Сложность первого заключается во множестве факторов, влияющих на защищаемые активы, которые необходимо учесть и выявить возможные риски. Для выполнения второго существует множество методик оценки риска [5], некоторые из них закреплены в международных стандартах1. Однако выбор метода и его выполнение могут оказаться нетривиальной задачей.

Выделяют следующие фундаментальные подходы к оценке рисков: экспертный, аналитический (логико-вероятностный), модельно-расчетный (статистический) [6]. Каждый из них обладает своими достоинствами и недостатками.

1 ГОСТ Р ИСО/МЭК 31010-2011. Менеджмент риска. Методы оценки риска. М.: Стандартин-форм, 2012.

Самыми распространенными методами оценки риска являются экспертные методы: «деревья отказов», «деревья событий», «метод сценариев» [1, 5]. Они просты и эффективны, но требуют хорошей группы экспертов и редко применяются для исследования сложных систем, состоящих из распределенных, слабосвязанных элементов, включающих в себя людей, организации, виртуальные инфраструктуры [7].

Аналитическая группа методов чаще всего основана на частной теории риска, что ограничивает ее дальнейшее развитие [5]. Так, например, скоринговые методы недостаточно проработаны, а факторный анализ применим только для конкретных видов риска [6]. К тому же, как выделяет ряд авторов [1, 6], при исследовании часто недостаточно эмпирических материалов (данных). В некоторых работах [1] отмечаются статичность и неполнота учитываемых параметров.

Наиболее обоснованным является модельно-расчетный метод, опирающийся на модели управленческой, экономической, социально-психологической, эколого-экономической ситуации, позволяющий рассчитать характеристики ущерба [1]. Он учитывает взаимодействия между индивидуальными факторами риска [9]. Эта группа методов наименее распространена из-за сложности или невозможности применения статистики, так как данных недостаточно и/или исследуемая среда постоянно меняется [6], а также из-за необходимости проектировать модель для каждой конкретной ситуации [6, 10].

Для решения вышеперечисленных проблем была разработана имитационная модель распространения последствий [4, 8]. Элементы исследуемой среды непосредственно отображаются в модели с помощью субъектов и их свойств, а логика ее развития - с помощью функций реакций на импульсы воздействия. Подробнее внутреннее устройство модели рассмотрено в работах [2, 3]. Проблема недостаточности информации решается с помощью симуляции, что позволяет получить нужные данные в любой момент (или интервал) времени.

В данной статье рассматривается методика анализа рисков, включающая этапы идентификации и оценки риска на основе имитационной модели распространения последствий. В отличие от других способов данная методика основана не на частном понятии риска, а на факторах, присущих самой модели. Это позволяет использовать данную методику для анализа любых видов риска.

В риск-менеджменте можно четко выделить субъекты и их взаимодействия, поэтому для данной области хорошо подходит модель взаимодействия [2, 3] (рис. 1).

Рассмотрим элементы модели. Источники и адресаты воздействий - внешние субъекты, взаимодействующие с моделью. Субъект - составная сущность, обладающая свойствами и реагирующая на воздействия. Группирует вложенные объекты: свойства -стороны проявления качества, внутренние параметры, описывающие состояние субъекта (воздействия); реакции - функции преобразования импульсов воздействия с учетом свойств субъектов. Связи воздействия - определенные способы

Рис. 1. Модель процесса взаимодействия субъектов

влияния на объект. Импульсы воздействия - события воздействия, имеющие величину и направление, определяемое связью воздействия.

В риск-менеджменте как научной дисциплине существует своя терминология. Свяжем основные элементы модели взаимодействия с понятиями риск-менеджмента1. Владелец риска - лицо или организация, имеющая ответственность, или полномочия, по менеджменту риска. Соответствует субъекту, группирующему защищаемые активы (свойства субъекта) и определяющему реакции на угрозы. Опасность (угрозы, источники событий) - источник потенциального вреда. Соответствует источнику воздействия. Событие - возникновение или изменение специфического набора условий. Проявляется с помощью импульсов воздействия. Уязвимости - внутренние свойства или слабые места объекта, вызывающие его чувствительность к источнику риска, что может привести к реализации события и его последствий. Соответствует связям воздействия. Экспозиция (защищенность) - степень подверженности организации и/или причастных сторон воздействию события. Соответствует реакции воздействия. Последствия - результат воздействия события на объект. Соответствуют импульсам воздействия, изменяющим свойства (активы). Таким образом, из модели взаимодействия мы получаем модель распространения последствий (рис. 2).

Существует много определений риска: вероятностно-стоимостная оценка потерь, дисперсия случайной величины финансового баланса, сочетание вероятности и последствий наступления неблагоприятных событий, неопределённое событие или условие, которое в случае возникновения имеет позитивное или негативное воздействие на репутацию компании, приводит к приобретениям или потерям в денежном выражении, вероятностные последствия (отрицательные и положительные). Все эти определения характеризуют понятие риска с разных сторон, что, как ни парадоксально, усложняет процедуру идентификации (выявления) риска. В модели процесса распространения последствий имитируется их влияние на состояние (свойства) модели. В ней для определения риска используется тот факт, что величина риска складывается из нескольких элементов: угроз, уязвимостей, защищенности [4, 8]. Таким образом, риск в модели распространения последствий - путь от угрозы до актива (рис. 2, пунктир).

Таким образом, задача идентификации риска сводится к перебору путей в графе от каждой угрозы до актива, а величину риска можно рассчитать по формуле

Я, = V / Е, (1)

1 ГОСТ Р 51897-2011. Менеджмент риска. Термины и определения. М.: Стандартинформ, 2012.

где Vi - суммарная величина последствий, вызванная событиями, дошедшими по i-му пути, Ei - количество событий, дошедших по i-му пути.

Однако формула (1) не учитывает последствия, вызванные несколькими угрозами, что сужает область ее применения до строго ординарных событий - одно событие в один момент времени.

В случае если события происходят одновременно или влияют на распространение последствий, то риском является сочетание угроз, приведших к последствию. Более универсальным методом определения величины риска является способ, основанный на использовании сочетания угроз:

Rj = Vj / Sj , (2)

где Vj - суммарная величина последствий, вызванная событиями сочетания угроз Dj\ Sj - количество последствий, вызванных сочетанием угроз Dj.

Формула (2) дает возможность автоматизировать задачи идентификации и оценки риска по имеющейся модели распространения последствий.

Методика оценки риска в модели распространения последствий:

1) идентификация риска - генерация множества D всех сочетаний угроз;

2) анализ последствий: а) установка и инициализация счетчиков Sj для каждого Dj из D; б) проведение симуляции;

3) оценка риска, состоящая в расчете его величины по формуле (2).

Для реализации этого метода каждый импульс воздействия снабжается информацией об его источниках, которая будет учитываться при подсчете каждого риска.

Определение риска как сочетания угроз и наличие модели последствий дают возможность аналитически рассчитать величину риска как математического ожидания случайной величины значения импульса, зависящей от вероятностей возникновения событий угроз. Но количество связей и отношений между угрозами и активами для реальной организации достаточно велико, поэтому может потребоваться автоматизация этих расчетов на компьютере.

Таким образом, методика проведения оценки риска с помощью имитационной модели распространения последствий позволяет автоматизировать и упростить этап оценки риска.

Литература

1. Абдрахманов НХ., Абдрахманова К.Н., Ворохобко В.В., Шайбаков Р.А. Современное состояние разработки методологии анализа системных рисков при проектировании и эксплуатации нефтегазового оборудования опасных производственных объектов // Нефтегазовое дело. 2014. Вып. 3. URL: http://ogbus.ru/.

2. Иванов С.О. Концептуальная модель процесса взаимодействия // Техника и технологии: роль в развитии современного общества: сб. науч. тр. III междунар. науч.-практ. конф. Краснодар: Априори, 2014. С. 59-64.

3. Иванов С.О. Модель процесса взаимодействия // Вестник Российского университета кооперации. 2014. № 1(15). С. 132-137.

4. Иванов С.О. Применение модели распространения рисков для оценки VAR // Социально-экономическое развитие регионов России: сб. науч. тр. IV междунар. науч.-практ. конф. М.: МЭСИ, 2014. С. 210-214.

5. Мирзаханян Р.Э., Мастяева И.Н. Методы и модели оценки рисков в различных областях // Фундаментальные исследования. 2014. Вып. № 9-2.

6. Орлов А.И. Современное состояние контроллинга рисков // Научный журнал КубГАУ. 2014. Вып. № 98(04).

7. Haimes Y.Y., Lambert J.H. Introduction to the Special Issue on the Risk of Extreme and Catastrophic Events. Risk Analysis, 2012, vol. 32(11), pp. 1821-1822.

8. Ivanov S.O. Application of the model of propagation of effects for the risk analysis. Proc. of 9th Int. Conf. «European Science and Technology». Munich, Vela-Verlag Waldkraiburg, 2014, pp. 139-144.

9. Newsome B. The 6.5 Ts: rationalising security and risk management strategies. Int. J. of Risk Assessment and Management, 2015, vol. 18, no.1, pp. 89-104.

10. Pricel B., MacNicollM. Multiple Interacting Risk Factors: On Methods for Allocating Risk Factor Interactions. Risk Analysis, 2015, vol. 35(5), pp. 931-940.

References

1. Abdrakhmanov N.Kh., Abdrakhmanova K.N., Vorokhobko V.V., Shaibakov R.A. Sovremen-noe sostoyanie razrabotki metodologii analiza sistemnykh riskov pri proektirovanii i ekspluatatsii neftegazovogo oborudovaniya opasnykh proizvodstvennykh ob"ektov [Current state of development of methodology for analysis of systemic risks in designing and operating oil and gas equipment in hazardous industrial projects]. Neftegazovoe delo [Petroleum Engineering], 2014, issue 3.

2. Ivanov S.O. Kontseptual'naya model' protsessa vzaimodeistviya [The conceptual model interaction process]. Tekhnika i tekhnologii: rol' v razvitii sovremennogo obshchestva: sb. nauch. tr. III mezhdunar. nauch.-prakt. konf. [Proc of the 3th Int. Sci.-Tech. Conf. «Technics and technologies: role in the development of modern society»]. Krasnodar, Apriori Publ., 2014, pp. 59-64.

3. Ivanov S.O. Model' protsessa vzaimodeistviya [The interaction model]. Vestnik Rossiiskogo universiteta kooperatsii [Bulletin of the Russian University of Cooperation], 2014, no. 1(15), pp. 132-137.

4. Ivanov S.O. Primenenie modeli rasprostraneniya riskov dlya otsenki VAR [The application of the risk propagation model in VAR evaluation]. Sotsial'no-ekonomicheskoe razvitie regionov Rossii: sb. nauch. tr. IVmezhdunar. nauch.-prakt. konf. [Proc of the 4th Int. Sci.-Tech. Conf. «Social and economic development of regions of Russia»]. Moscow, MESI Publ., 2014, pp. 210-214.

5. Mirzakhanyan R.E., Mastyaeva I.N. Metody i modeli otsenki riskov v razlichnykh oblastyakh [Methods and models of risk assessment in various fields]. Fundamental'nye issledovaniya [Fundamental research], 2014, issue 9-2.

6. Orlov A.I. Sovremennoe sostoyanie kontrollinga riskov [The current state of controlling risks]. Nauchnyi zhurnal KubGAU [Scientific journal KubGAU], 2014, issue 98(04).

7. Haimes Y.Y., Lambert J.H. Introduction to the Special Issue on the Risk of Extreme and Catastrophic Events. Risk Analysis, 2012, vol. 32(11), pp. 1821-1822.

8. Ivanov S.O. Application of the model of propagation of effects for the risk analysis. Proc. of 9th Int. Conf. «European Science and Technology». Munich, Vela-Verlag Waldkraiburg, 2014, pp. 139-144.

9. Newsome B. The 6.5 Ts: rationalising security and risk management strategies. Int. J. of Risk Assessment and Management, 2015, vol. 18, no.1, pp. 89-104.

10. Price1 B., MacNicoll M. Multiple Interacting Risk Factors: On Methods for Allocating Risk Factor Interactions. Risk Analysis, 2015, vol. 35(5), pp. 931-940.

ИВАНОВ СЕРГЕЙ ОЛЕГОВИЧ - старший преподаватель кафедры математического и аппаратного обеспечения информационных систем, Чувашский государственный университет, Россия, Чебоксары ([email protected]).

IVANOV SERGEY - Senior Teacher, Math and Information Systems Hardware Department, Chuvash State University, Cheboksary, Russia.

ИЛЬИН ДМИТРИЙ ВЛАДИМИРОВИЧ - кандидат физико-математических наук, доцент кафедры математического и аппаратного обеспечения информационных систем, Чувашский государственный университет, Россия, Чебоксары ([email protected]).

ILIN DMITRY - Candidate of Physical and Mathematical Sciences, Associate Professor, Math and Information Systems Hardware Department, Chuvash State University, Cheboksary, Russia.

ИЛЬИНА ЛАРИСА АЛЕКСЕЕВНА - доцент кафедры математического и аппаратного обеспечения информационных систем, Чувашский государственный университет, Россия, Чебоксары ([email protected]).

ILINA LARISA - Associate Professor, Math and Information Systems Hardware Department, Chuvash State University, Cheboksary, Russia.