CC BY
116
В.И. Завгородний
доцент кафедры 'информационные технологии"
МЕТОДИКА ВЫБОРА МЕХАНИЗМОВ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ
Непременным атрибутом современного предприятия является информаци-'‘'онная система, под которой будем понимать множество взаимосвязанных информационных объектов, реализующих получение, обработку, хранение и передачу необходимой информации в целях эффективного функционирования предприятия. В качестве информационных объектов рассматриваются: специалисты, участвующие в информационном процессе; компьютерные системы; средства связи и оргтехника.
Использование информационных систем предприятия (ИСП) сопряжено с информационными рисками. Информационный риск — это возможность наступления случайного события в информационной системе предприятия, приводящего к нарушению ее функционирования, снижению качества информации, в результате которых наносится ущерб предприятию. Информационный риск рассматривается как экономическая категория, требующая соответствующего уровня управления [1].
Для снижения ущерба от информационных рисков на предприятии должна создаваться система управления информационными рисками (СУИР). Под системой управления информационными рисками понимается единый комплекс правовых норм, экономических и организационных мер, технических, программных и криптографических средств, обеспечивающий минимальные суммарные расходы на предотвращение информационных рисков и компенсацию ущерба от них. Правовые нормы, экономические и организационные меры, технические, программные и криптографические средства объединены одним понятием — механизм защиты от информационных рисков.
В процессе эксплуатации информационных систем предприятия возникает необходимость совершенствования системы управления информационными рисками. Такая необходимость обусловливается:
о возрастанием годового ущерба от определенного информационного риска; о появлением новых информационных рисков; о изменением существующих рисков; о модернизацией ИСП;
о изменением масштабов и сложности бизнес-процессов предприятия; о изменениями в смежных информационных системах; о природными явлениями;
о появлением новых правовых актов;
о изменениями в политической и экономической жизни общества.
Возможные направления совершенствования системы управления информационными рисками
В процессе эксплуатации СУИР адаптируется к новым условиям функционирования путем введения новых механизмов защиты от информационных рисков, замены механизмов на новые или совершенствования используемых механизмов. Использование новых средств защиты, как правило, требует изменения организационных механизмов.
Решение о необходимости внесения изменений в СУИР принимается руководством предприятия на основе анализа полных расходов за прошедший год эксплуатации ИСП и прогнозной информации о рисках в следующем году. Информационные риски ранжируются в порядке убывания ущерба от рисков, понесенных предприятием за анализируемый период. Аналогичный кортеж строится и для рисков, которые не были реализованы на предприятии, но которые могут иметь место в последующем. Такие риски характеризуются вероятной величиной ущерба, которая вычисляется как произведение вероятности наступления рискового события в следующем году на величину предполагаемого ущерба.
Кортеж вероятных ущербов рассчитывается на основании анализа статистических данных, учета изменений в ИСП и в смежных системах. Ожидаемый ущерб от большинства информационных рисков допускает выражение его в денежной форме. Оценка ущерба от некоторых информационных рисков затруднена. Это относится в первую очередь к внешней составляющей рисков. Для оценки таких рисков могут использоваться пессимистический и оптимистический прогнозы.
Наибольшую сложность представляет определение вероятности наступления рискового события. В [2] показано, что рисковые события не могут быть отнесены к статистическим. Поэтому методы математической статистики неприменимы к исследованию информационных рисков. В этом случае наиболее предпочтительными методами определения вероятности рисковых событий являются экспертные методы. К.Г. Скрипкин [2] отмечает также, что информационные рисковые события не отвечают требованиям однородности и количественной определенности, и это не позволяет определять вероятность события статистическими методами.
Требованию однородности информационные риски не удовлетворяют, так как в одной ИСП получить достаточные для статистической обработки данные по большинству рисков невозможно. Вероятность таких рисков мала, но значительная величина возможного ущерба не позволяет принять такие риски. Разнообразие структур ИСП и СУИР также не позволяет получить сопоставимые данные на основании анализа множества систем.
На наш взгляд, чтобы получить однородность информационных рисков, следует фиксировать не рисковое событие, а только причины рисков. Наличие причин рисков мало связано с особенностями конкретной информационной системы предприятия. Для предприятий одного профиля эти причины, как правило, характеризуются одними и теми же источниками рисков и сходными механизмами реализации. Добавим также, что в отличие от статистики по рисковым событиям статистика причин рисков не является конфиденциальной информацией для предприятия. Ведь предприятие не раскрывает информацию о том, какой процент событий — причин риска повлек информационные риски. А это существенно упрощает сбор статистики и повышает достоверность полученных данных.
Особенности системам придают в основном факторы рисков, которые определяются эффективностью СУИР. Зная вероятность наступления события, являющегося причиной риска, и характеристики конкретной системы управления рисками по блокированию этого риска, можно определить вероятность рискового события для данной ИСП. Например, существует статистика попыток взлома системы защиты от несанкционированного доступа. Зная вероятность попытки взлома и вероятность преодоления системы защиты от несанкционированного доступа в конкретной системе, вероятность данного риска может быть определена как произведение этих вероятностей.
Необходимые количественная определенность и однородность могут быть достигнуты, если получить статистические данные о рисках одной отрасли хозяйства. Каждая отрасль характеризуется своим набором информационных рисков, которые оказывают наибольшее влияние на качество информации.
Полученные данные об ущербах за прошлые годы следует подкорректировать с учетом тенденций развития ИСП и всех связанных с нею элементов. Для этих целей могут быть применены следующие методы прогнозирования: экстраполяции и интерполяции, регрессии и корреляции, факторные модели.
Предлагается создавать и анализировать единый кортеж ущербов, который получается путем объединения обоих кортежей ущербов от информационных рисков. Составляется кортеж ущербов от информационных рисков, полученных на основании обработки статистических данных эксплуатации и прогнозной информации. В этом кортеже риски размещены в порядке убывания ущерба от них.
Задача оптимизации расходов на совершенствование СУИР заключается в осуществлении ввода новых и изменении существующих механизмов защиты, а также замены старых механизмов новыми таким образом, чтобы предполагаемые суммарные общие расходы на управление информационными рисками были минимальными.
Решение этой задачи сводится к определению тех механизмов защиты, которые подлежат замене или модернизации, а также к выбору (созданию) новых механизмов для ввода в СУИР с целью получения оптимальной системы управления информационными рисками.
Решение данной задачи может рассматриваться как без применения, так и с применением страхования информационных рисков. Практическую значимость представляют оба подхода. С одной стороны, страхование информационных рисков является эффективным механизмом защиты от ущерба, с другой — страхование информационных рисков только начинает внедряться в практику борьбы с такими рисками. Поэтому в ближайшие несколько лет будут существовать СУИР как с применением страхования информационных рисков, так и без применения такого страхования.
Постановка задачи оптимизации системы управления информационными рисками
Рассмотрим решение задачи управления информационными рисками без применения страхования информационных рисков. Формальная постановка задачи может быть представлена в следующем виде. Рассматривается множество значимых рисков г £ П. / = 1. V . Для каждого риска г; определен ущерб в денежной форме щ, ожидаемый от наступления г-го рискового события в году, на который осуществляется планирование. Ущербы размещены в кортеже и=(и, и2, им) в порядке убывания значения ущерба. Систему управления информа-
ционными рисками составляет множество механизмов защиты М=(тх, т2, тк), где К=|М| — мощность множества механизмов защиты.
Каждый ¡-й механизм защиты определяется следующими множествами характеристик: Г,, Я, Р, С.. К ним относится множество выполняемых функций Г=(/, /2,..../-), zl =|г|, Г с г, где Г — множество всех функций, выполня-
емых системой управления информационными рисками.
Механизм защиты т ] характеризуется также подмножеством информационных рисков Я] С Я, от которых защищает данный механизм защиты.
Эффективность ¡-го механизма защиты Р оценивается множеством показателей Р.= (р1р2..., рь.), где L=|R | , а р] — величина, показывающая, на сколько процентов снизится ущерб от 1-го информационного риска при использовании ¡-го механизма защиты.
Совместимость механизмов защиты характеризуется подмножеством механизмов защиты М. С М, которые совместимы с ¡-м механизмом.
Затраты С на приобретение или на изменение, разработку, создание, а также на внедрение и эксплуатацию -го механизма приведены к одному году эксплуатации. Это означает, что затраты на приобретение, создание и внедрение нового или модифицированного механизма равномерно распределяются на все годы предполагаемой эксплуатации этого механизма. Переходящие затраты могут корректироваться в соответствии с принятой политикой дисконтирования инвестиционных затрат. Расчетные сроки службы механизмов защиты опреде-
ляются временем эксплуатации соответствующих элементов ИСП. Например, по результатам исследований Gartner Group средний срок использования современных ПЭВМ составляет четыре года. Для уже функционирующих механизмов в составе СУИР учитываются только затраты на их эксплуатацию.
Требуется определить подмножество механизмов защиты M* = (mt, m2,
m ), которые необходимо иметь в СУИР, чтобы получить общие минимальные расходы 5* на управление информационными рисками в планируемом году.
Алгоритм выбора оптимального множества механизмов защиты от информационных рисков
Для программной реализации алгоритма выбора оптимального множества механизмов защиты наиболее приемлемой является табличная форма представления исходных данных.
В качестве механизмов, которые могут быть использованы при модернизации СУИР, необходимо рассматривать механизмы, совместимые с аппаратной и программной платформами ИСП, имеющие официальный сертификат и соответствующие национальным стандартам. Желательно также соответствие механизмов и мировым стандартам.
При формировании исходных данных и дальнейшем их анализе необходимо учитывать совместимость механизмов защиты. Совместимыми будем считать механизмы защиты от определенного информационного риска, которые допускают их бесконфликтное совместное использование и не являются альтернативными. Под альтернативными будем понимать механизмы защиты, которые предназначены для решения одних и тех же задач и совместное использование которых технологически невозможно или не приводит к повышению эффективности системы по сравнению с раздельным применением механизмов. Как правило, альтернативными являются механизмы, выполняющие одинаковые функции, и принципы действия которых идентичны.
Основной таблицей, в которой перечислены альтернативные механизмы защиты и риски, от которых они защищают, является таблица выбора альтернативных механизмов защиты (табл. 1). Каждому подмножеству альтернативных механизмов защиты Mt Cl М, t = 1, Т в таблице соответствует одна строка — уровень t. Механизмы из этого подмножества могут обеспечивать защиту как от одного, так и от нескольких информационных рисков. В таблице на каждом уровне представлено подмножество рисков R с. R,t = 1,Т > от которых защищает соответствующее подмножество альтернативных механизмов защиты Mt. Подмножество рисков удобно задавать в бинарном виде. Если от риска т-г
(/ — l,N)защищают механизмы, подмножество которых размещено в строке t таблицы 1, то на пересечении столбца rt и строки t записывается 1. В противном случае в этой клетке помещается 0. Мощность множества механизмов уровня t
¡Я, = |М: | изменяется в пределах |Л( = 1, К, +1 , а мощность множества рисков на этом же уровне р(=|^(| находится в интервале р, -1. V.
Таблица 1
Альтернативные механизмы защиты
Уровень Подмножества альтернативных механизмов Подмножества рисков Мощности подмножеств
Г1 Г2 г N-1 ги ^=|М(| Р=|Я,1
1 т1. т2} т !'2л т 1 0 1 0 Р1
2 т\ т\ т !'2л та2 0 0 1 0 Р2
т\ т\ т.^т-1 1 та. 0 1 0 П, р,
Т т\ т\ т П2 - 1 1 таТ 0 1 0 1 Пт рт
Предельное количество механизмов защиты на единицу превышает общее количество механизмов К, так как на каждом уровне вводится один нулевой механизм та . . Он используется в алгоритмах анализа для обеспечения возможности исключения подмножества альтернативных механизмов из рассмотрения.
В алгоритме необходимо предусмотреть также возможность принятия рисков. В этом случае на предприятии не предпринимается никаких действий для противодействия малозначимому риску. Если риск га принимается, то он удаляется на всех уровнях таблицы путем заполнения столбца га нулями. В результате ущерб от принятого риска не будет уменьшаться за счет использования механизмов защиты.
Заполнение строк таблицы выбора альтернативных методов защиты может осуществляться в соответствии с различными подходами. Одним из возможных вариантов заполнения является выбор подмножеств альтернативных механизмов в порядке убывания средних затрат на их внедрение и эксплуатацию. Второй подход связан с анализом суммы ущерба от рисков, защиту от которых обеспечивают альтернативные механизмы защиты. Заполнение строк таблицы в этом случае осуществляется в порядке убывания сумм ущербов от соответствующих рисков. Наиболее предпочтительным является распределение механизмов по уровням с применением общей суммы затрат на альтернативный механизм защи-
ты и суммы ущербов от рисков, которым противостоит этот механизм. Порядок заполнения сохраняется прежний — по убыванию общей суммы.
Для алгоритма полного перебора выбор порядка заполнения рассматриваемой таблицы не имеет значения. Использование предлагаемых вариантов заполнения строк таблицы может способствовать упрощению вычислений при использовании остальных методов оптимизации структуры системы управления от информационных рисков.
Одной из основных таблиц исходных данных является таблица эффективности механизмов защиты (табл. 2). Содержимое ячейки рц таблицы показывает, на сколько процентов уменьшится величина ущерба от г-го риска при наличии в СУИР ’-го механизма защиты. Значение ячейки рц = 0% указывает на то, что ’-й механизм не влияет на г-й риск. Если в системе для противодействия какому-либо информационному риску используются одновременно два механизма с эффективностью, предположим, 40% и 60%, то это не означает, что суммарная эффективность будет равна 100%. Никакой механизм или даже определенное их подмножество не могут обеспечить 100%-ную защиту от информационного риска.
Таблица 2
Показатели эффективности механизмов защиты
Риски Механизмы
т2} т3} т \ т т і‘ТТ
80% 75% 30% 0% 0% 60%
Я 0% 0% 85% 0% 0% 0%
т 90% 70% 0% »И 0% 60%
0% 90% 0% 85% 90% 40%
Совместимость механизмов защиты может задаваться с помощью бинарной
м
таблицы совместимости. Элемент таблицы совместимости (табл. 3) ^'/т =1,
если механизмы т’ и тет совместимы, где , и Т — номера альтернативных подмножеств механизмов из таблицы 1, а ’ и g — номера механизмов в подмножествах соответственно / . и Т. Для несовместимых механизмов соответствующий ^ $
элемент таблицы 3 п равен нулю.
Таблица 3
Характеристики совместимости механизмов защиты
т11 т 2і т д ттгТ
т11 0 5 1211 51 и 5 1тТ1т
т 5 21 5 11 0 5 \ 5 %
0
т \ 5 ^ 5 и 5 ^ 5 м 5 2д 5 и 5 ^Т 1Т
0
5 тТ 5 71 5 т72 5 7 71 5 т7д 5 71 0
Рассмотрим алгоритм выбора оптимального состава механизмов защиты от информационных рисков с применением метода ветвей и границ. Сущность этого метода заключается в генерации подмножеств механизмов, составляющих текущую ветвь, и проверке их оптимальности с целью выбора подмножества механизмов, обеспечивающего минимальные полные расходы на управление информационными рисками. Проверка оптимальности текущей ветви производится при каждом включении в нее очередного механизма, после чего принимается решение о целесообразности дальнейшего анализа возможных вариантов включения новых механизмов. Отказ от анализа заведомо бесперспективных ветвей позволяет сократить вычислительную сложность алгоритма.
Полной ветвью будем считать подмножество совместимых механизмов защиты, полученное в результате просмотра всех Т уровней таблицы выбора альтернативных механизмов защиты (табл. 1). Просмотр ведется в направлении от первого уровня таблицы до уровня Т.
Генерация ветви заключается в выборе на каждом уровне / таблицы 1 одного из альтернативных механизмов ш', который совместим со всеми механизмами, включенными в ветвь на предыдущих шагах. Проверка на совместимость производится по таблице совместимости механизмов защиты (табл. 3).
При включении механизма ш' в ветвь ее текущий вес вычисляется с использованием таблицы эффективности механизмов защиты (табл. 2) и таблицы ущербов от информационных рисков (табл. 4). Если на уровне / в качестве очередного рассматривается нулевой механизм ша{ (механизмы уровня / не включаются в текущую ветвь), то просмотр таблицы эффективности не выполняется и вычисление ущербов осуществляется только по таблице ущербов. Для подсчета полных расходов на управление рисками необходимы также данные о затратах на внедрение и эксплуатацию механизмов защиты. Их целесообразно свести в таблицу затрат на механизмы защиты (табл. 5).
В качестве веса полной ветви будем рассматривать сумму полных расходов на включение и эксплуатацию механизмов в составе СУИР и ущерба от информационных рисков, которые проанализированы на всех уровнях от первого до уровня Т включительно.
Таблица 4
Величины ущербов от информационных рисков
Информационные риски
Гі Г2 Г. 1 Гм
Величина ущерба в денежном исчислении иі и2 и. 1 ин
Алгоритм выбора оптимального набора механизмов защиты реализуется для определенного подмножества принятых рисков О, в отношении которых не предпринимается никаких механизмов защиты.
Таблица 5
Затраты на механизмы защиты
Механизмы защиты
т П1^т
Затраты на создание (приобретение), внедрение и эксплуатацию механизмов защиты С\ с2, С\ 4-'
В общем случае возможен полный перебор всех комбинаций принимаемых рисков. Значительное сокращение вычислительной сложности алгоритма возможно, если в качестве принимаемых рисков будет рассматриваться только часть рисков. Отбор таких рисков может осуществляться экспертами или в соответствии с принятыми правилами принятия решения. Например, к числу принимаемых рисков относят те из них, возможный ущерб от которых ожидается меньше установленного порогового значения.
После формирования подмножества О осуществляется корректировка таблицы 1, в которой обнуляются столбцы г., соответствующие включенным в подмножество О ущербам. Ущерб от принятых рисков учитывается до реализации алгоритма определения подмножества механизмов защиты. Он определяется с использованием таблицы 1 и таблицы 4 как сумма ущербов:
Для удовлетворяющих условию Xг'> =0,
Таким образом, для всех рассматриваемых ветвей на первом шаге к весу генерируемых ветвей прибавляется ущерб от принятых рисков.
Вес 5^ текущей к-й ветви подсчитывается как сумма весов расходов, определяемых на каждом уровне Л Анализ уровней осуществляется в направлении от 1-го к уровню Т.
При формировании веса ветви на уровне / учитывается вес ущерба каждого г-го риска на этом уровне:
иМ - №Рц)и
Рц, если (гй = 1 А V — 0) V/!; = 1, г = 1,1 — 1;
если ('я = 1 = ]) ’т= 1^-1 ■
т
УДХЛ’) — функция, определяющая суммарную эффективность нескольких механизмов защиты, включенных в ветвь, по снижению ущерба от г-го информационного риска. Область допустимых значений заключена в следующих границах 0< <100%. На каждом уровне с помощью функции
т
осуществляется коррекция (уменьшение) величины ущерба за счет включения в ветвь нового механизма, дополняющего возможности уже включенных ранее
механизмов защиты от г-го риска.
Полный вес расходов на уровне ¿5^ текущей к-и ветви определяется в соответствии с выражением: ^ = ^ + ^ + ,
где у, — коэффициент необходимости включения механизма т\ , с/ — затраты на создание и эксплуатацию механизма защиты т1. Бинарный коэффициент принимает следующие значения:
1, если у ж Ф и;
!-1
О, в противном случае.
Получение нулевого значения коэффициента у, возможно в результате корректировки таблицы 1 при принятии рисков.
Полный вес к-й ветви 5к может быть определен в соответствии со следующим выражением:
т
я* = 2ы*-щМ Рщ)))Гг>
В ?-1 т
Данные для вычисления веса ветви выбираются из таблиц 1; 2; 4; 5. Сумма ''^_1иа является величиной, постоянной для всех ветвей выбранного подмножества принимаемых рисков. Поэтому для анализа генерируемых ветвей нет необходимости ее использования при определении веса ветвей и достаточно анализировать выражение: т
я* = -uiMp^)))Yt,
в г-1 т
Слагаемое используется при вычислении полных расходов на управ-
ление информационными рисками после выбора оптимального подмножества механизмов защиты (оптимальной ветви).
В процессе анализа ветвей запоминается наименьшая текущая сумма расходов БТт, полученная в результате анализа полной ветви. Эта сумма используется в качестве границы. Запоминается также подмножество механизмов защиты, которые образовали ветвь с суммой расходов БТт .
Сумма БТт сравнивается с суммой расходов, полученной после включения очередного механизма текущего уровня в анализируемую ветвь. Если бы на каждом уровне получаемая сумма 5* была положительной, то тогда имелась бы возможность использовать стандартный метод ветвей и границ. При получении суммы расходов для определенного уровня рассматриваемой ветви, уже превосходящей границу, дальнейший анализ этой ветви не производится и она исключается из анализа.
В данном алгоритме отрицательная сумма может получаться, если рассматриваемый на уровне / механизм защищает от рисков, которые уже анализировались на более высоких уровнях. На уровне / величина таких ущербов уже не учитывается для исключения ее повторного использования в выражении подсчета веса ветви. Сумма будет положительной только при выполнении условия: с/ > ^ к ¡/АР,, ) . То есть затраты на механизм т/ превосходят величину, на которую снизится величина ущерба от риска при условии, что этот механизм применяется в дополнение к уже используемым механизмам защиты от рассматриваемых рисков.
Чтобы учесть особенности алгоритма, необходимо выполнять на этом этапе дополнительную проверку перспективности ветви в случае получения веса текущей ветви, превышающего границу. Формально это условие может быть представлено следующим образом: если для / = 1, N 3 /V = 1 Л 3 !"к = 1 при
Т = 1, / — 1 и к = I + \.Т , то необходимо продолжить анализ ветви. Если приведенное условие не выполняется, то дальнейший анализ текущей ветви не производится и она исключается как неперспективная.
При получении веса ветви 5к на очередном уровне меньшего, чем вес оптимальной на данном этапе ветви БТт, продолжается дальнейшая генерация и анализ ветви.
По окончании анализа сгенерированной полной ветви сумма Бт сравнивается с . Если 8Т< , то в качестве в дальнейшем используется сумма
Бт. Запоминается также подмножество механизмов защиты, входящих в полученную ветвь, которая в дальнейшем будет использована в качестве граничной ветви. Решением задачи является подмножество механизмов защиты, которым соответствует наименьший вес = 5*, полученный на момент просмотра всех возможных ветвей для рассматриваемой комбинации принимаемых рисков.
Путем перебора комбинаций принимаемых рисков выбирается очередная их комбинация, производится коррекция таблицы выбора альтернативных механизмов защиты и выполняется алгоритм поиска оптимальной ветви механизмов.
По результатам анализа всех выбранных комбинаций принимаемых рисков получается оптимальное множество механизмов, обеспечивающее минимальные затраты на управление информационными рисками.
Предложенная методика позволяет найти оптимальное множество механизмов защиты от информационных рисков. На основании полученных результатов может приниматься решение на модернизацию СУИР. Предложенный алгоритм может быть положен в основу методики оптимизации СУИР с применением страхования информационных рисков. Развитием методики может служить также создание итеративного алгоритма оптимизации с участием лица, принимающего решения на этапах реализации алгоритма.
ЛИТЕРАТУРА
1. Ильенкова Н.Д. Методология исследования риска хозяйственной деятельности: Дисс. „.док. эк. наук/Финансовая академия, 1999.
2. Скрипкин К.Г. Финансовая информатика: Учебное пособие. М.: ТЕИС, 1997.
