УДК 004.934.2
О. Н. Выборнова
ОНТОЛОГИЧЕСКАЯ МОДЕЛЬ ПРОЦЕССА ОЦЕНКИ РИСКОВ
Рассматривается история возникновения понятия «риск» и его этимология. Появление риска во всех областях жизнедеятельности общества повлекло за собой многочисленные трактовки этого термина: в экономике, психологии, инженерно-технической сфере, в страховании, в сфере информационных технологий и безопасности. Показано, что множественность определений понятия «риск» связана с многообразием ситуационных контекстов. На основе анализа научной литературы и существующей нормативной базы построена онтологическая модель предметной области. Данная модель является достаточно универсальной и гибкой, что позволяет легко адаптировать ее к различным областям оценки рисков. Рассмотрена интерпретация концептов построенной онтологической модели на примере оценки информационной и экологической безопасности.
Ключевые слова: риск, оценка рисков, риск-менеджмент, онтологическая модель риска.
Введение
Риск - это явление, с которым человек сталкивается постоянно и которое сопровождает все основные сферы жизнедеятельности общества. Любая управленческая деятельность в той или иной мере связана с рисками. Это обусловлено многофакторной динамикой управления и внешнего окружения, а также наличием антропогенного фактора в процессе принятия и реализации управленческих решений.
Понятие риска находится в тесной взаимосвязи с понятием безопасности: физической, экономической, информационной. На основе значения уровня риска принимаются решения о применении тех или иных стратегий обеспечения требуемого уровня безопасности. Деятельность, связанная с оценкой уровня риска и выработкой решений по его снижению, получила название риск-менеджмента.
Поскольку каждая конкретная отрасль или сфера применения риск-менеджмента имеет свои специфические особенности, в настоящее время существует большое количество определений понятия «риск», что затрудняет общее понимание данного явления.
Постановка задачи
Таким образом, возникает необходимость в анализе существующих определений риска, выявлении общих составляющих данного понятия и построении онтологической модели, отражающей взаимосвязь основных понятий, используемых в процессе определения уровня риска.
Генезис и семантика понятия «риск»
Концептуальный анализ различных аспектов понятия «риск» требует выявления генезиса данной проблемы.
До XVII в. общего понятия для обозначения термина «риск» не существовало. Лишь в конце XIX - начале XX вв. различные аспекты данного феномена начали активно изучаться [1].
История становления понятия «риск» в значительной степени связана с процессом познания будущего. С древних времен люди сталкивались с неуверенностью в будущем, однако слово «риск» стало востребованным только тогда, когда люди начали осознавать собственную ответственность за последствия принимаемых решений [2]. Определенное влияние на изучение проблемы риска в средние века оказало развитие азартных игр, требовавших оценки будущего, что, в свою очередь, привело к возникновению теории вероятностей.
В русском языке понятие «риск» впервые появляется в конце XVIII в.: в комедии Фонвизина «Бригадир» (1769 г.) встречаются фразы «риску нет», «на что же вы рискуете?».
Согласно этимологическому словарю русского языка М. Фасмера, термин «риск» происходит от французского risq^ или итальянского risico. Другие исследователи считают, что происхождение термина «риск» восходит к греческим словам pi^iKov, - «утес», piÇa - «подножие горы». Отсюда и происхождение слова «рисковать», которое определяется через французское «risquer» или итальянское «risicare» - «лавировать между скал» [3].
Постепенно термин «риск» появляется в различных сферах деятельности человека: в политологии, экономике, медицине и т. д. В современных толковых словарях даются следующие определения слова «риск» [3]: возможная опасность, действие наудачу в надежде на счастливый исход, возможный убыток или неудача в каком-либо деле, уровень неопределенности в предсказании результата, опасность, от которой производится страхование имущества.
Рассмотрим определения термина «риск», продиктованные различными сферами жизнедеятельности человека.
В экономике существуют следующие определения риска.
1. Риск - потенциальная, численно измеримая возможность потери. Понятием риска характеризуется неопределенность, связанная с возможностью возникновения неблагоприятных ситуаций и последствий в ходе реализации проекта [2].
2. Риск - степень неопределенности получения в будущем доходов [2].
3. Риск - угроза потери предприятием части своих ресурсов (финансовых, политических, социальных), недополучения доходов или появления дополнительных расходов в результате осуществления определенной производственной и финансовой деятельности [3].
4. Риск - опасность возникновения непредвиденных потерь ожидаемой прибыли, денежных средств, дохода или имущества, других ресурсов в связи со случайным изменением условий экономической деятельности, неблагоприятными обстоятельствами [4].
В психологии термин «риск» связан с тремя направлениями исследований [3].
1. Риск - действие, грозящее субъекту определёнными потерями (физическим, материальным, моральным ущербом). Различают мотивированный риск, предполагающий получение выгоды, и немотивированный (бескорыстный), т. е. не имеющий рационального основания, а также неоправданный и оправданный риск.
2. Риск - мера ожиданий неудачи в деятельности. Определяется как сочетание вероятности неудачи и степени неблагоприятных последствий.
3. Риск - ситуация выбора между стратегиями, имеющими различную привлекательность и надежность.
В инженерно-технической сфере под техническим риском понимают вероятность отказа устройств, который приводит к последствиям определённого уровня (класса) за период функционирования опасного производственного объекта [5]. Кроме того, «риск» в технической сфере может иметь смысл комплексного показателя надежности механизмов, машин, технологических процессов, выражающего вероятность аварии или катастрофы при эксплуатации элементов техносферы. Уровень риска определяется по формуле:
где RT - технический риск; АТ - количество аварий за промежуток времени ^ на идентичных технических объектах и системах; Т - количество объектов и систем, подверженных фактору риска f [6].
В страховании [3] понятие «риск» имеет свои формулировки:
1. Риск - событие, наступление которого не определено во времени и в пространстве, не зависимо от волеизъявления человека, опасное и создающее стимул для страхования. Это тот риск, который может быть оценен с точки зрения вероятности наступления страхового случая и размеров возможного ущерба.
2. Риск - событие, способное причинить денежный ущерб, покрытие которого гарантирует договор страхования.
В сфере информационных технологий и информационной безопасности существуют следующие определения:
1. Риск информационной безопасности - возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации [7].
2. Риск - потенциальная возможность нанесения ущерба, связанного с нарушением безопасности информационной системы [8].
3. Информационный риск - мера информационной опасности, характеризующая вероятность появления опасности и размеры связанного с ней ущерба для репутации объекта [3].
(1)
Таким образом, множественность определений понятия «риск» связана с многообразием ситуационных контекстов и с различными особенностями применения данного понятия.
Обобщенное определение понятия «риск»
Несмотря на то, что каждая предметная область вносит в определение риска свои особенности, некоторые стороны данного определения остаются неизменными.
В общем случае под риском понимают сочетание вероятности и последствий наступления некоторого события. Обычно мера риска для отдельного класса событий определяется по формуле
Я = Р ® и, (1)
где Р - вероятность наступления неблагоприятного события; и - последствия события; ® - определенная композиция.
В большинстве случаев рассматривается возможность наступления некоторого негативного события, приводящего к различным потерям.
Существующие методики оценки уровня риска предлагают различные трактовки данной формулы. В одних на первый план выдвигается вероятностная составляющая, в других - значение стоимости ущерба.
В [8] формула (1) представляется более развернуто, поскольку стоимостное выражение ущерба от реализации угрозы по отношению к ресурсу зависит от ценности и степени разрушительности воздействия на ресурс, а возможность возникновения неблагоприятного события, в свою очередь, зависит от частоты возникновения рассматриваемого нежелательного события и вероятности успешной реализации угрозы. Формула определения уровня риска принимает следующий вид:
Я = V • р • с • k, (2)
где V - частота возникновения неблагоприятного события (за фиксированный промежуток времени); р - вероятность успешной реализации угрозы; с - ценность ресурса; £ е [0; 1] - коэффициент разрушительности.
Для обеспечения инвариантности формулы (2) необходимо нормировать входящие в нее параметры. В частности, значение ценности ресурса, подверженного неблагоприятному воздействию, целесообразно оценить в качестве суммарной ценности всех ресурсов.
Онтологическая модель понятия «риск»
Риск не существует сам по себе, а рассматривается в контексте какого-либо ценного ресурса (актива). Зачастую понятие «риск» путают с понятием «угроза». Угроза - потенциальная возможность возникновения неблагоприятного события, которое с некоторой степенью разрушительности повреждает механизмы защиты или воздействует непосредственно на ценный ресурс, что приводит к негативным последствиям. Последствия могут быть выражены в форме финансового, материального, морального, репутационного или иного ущерба.
Как было отмечено ранее, значение уровня риска используется лицом, принимающим решения (риск-менеджером), для выбора стратегии защиты. На основе [7, 9] были выделены следующие стратегии защиты от угроз:
- снижение риска путем понижения уровня условий реализации угрозы (уязвимостей) за счет применения механизмов защиты.
- предотвращение риска путем уклонения от угрозы или ликвидации источника угрозы;
- принятие негативных последствий, отсутствие каких-либо действий по снижению уровня риска или по переносу риска, т. е. полная или частичная передача ответственности за последствия от реализации неблагоприятного события на сторонние лица (страхование).
Анализ научной литературы, в том числе существующей нормативной базы, позволил построить онтологическую модель процесса оценки риска (рис.).
Снижает уровень
Источник угрозы
Порождает
Потенциальная угроза
Использует ->
Условия реализации угрозы
Имеет полномочия £
Ценность ресурсов
Механизмы защиты
Повреждает
Обеспечивает
Неблагоприятное событие
Имеет
Обладает
Коэффициент разрушения
Сервисы безопасности
Генерирует
Необходимые свойства ресурса
Ценность ресурсов
Возможность реализации
Определяет
I
Уровень негативных последствий
Сравнивается
РИСК
Подвергается
Уровень приемлемого риска
Устанавливает
Оценивает
Лицо, принимающее решение
Заинтересован в повышении
Выбор и применение
Снижение риска
Выбирает на основе сравнения
Уклонение
Ликвидация
аи
Предусматривает
Х
Предотвращение риска
Принятие риска
Стратегия защиты от угроз
Сохранение риска
Х
Перенос риска
Онтологическая модель процесса оценки риска
Данная модель отражает взаимосвязь основных концептов, используемых в риск-менеджменте. Она является, с одной стороны, достаточно универсальной, поскольку входящие в нее понятия инвариантны относительно различных определений риска, с другой - смысловое значение концептов может быть легко адаптировано к конкретной предметной области.
Пример интерпретации концептов
Пример интерпретации концептов онтологической модели при оценке информационной и экологической безопасности [7, 9, 10] приведен в таблице.
Смысловая интерпретация концептов онтологической модели
Риск Риск информационной безопасности Экологический риск
Потенциальная угроза Угроза Природная (техногенная, антропогенная)опасность
Условия реализации угрозы Уязвимость Уязвимость среды
Неблагоприятное событие Атака Отрицательное воздействие на окружающую среду
Последствия наступления события Ущерб Неблагоприятные изменения в природной среде
Ценные ресурсы Информационные активы Окружающая природная среда
Качество ресурса Качество информации Качество окружающей среды
Необходимые свойства ресурса Свойства безопасности информации Необходимые свойства окружающей среды
Механизмы защиты Механизмы защиты информации Меры по защите экологии
Подобную интерпретацию можно дать и для других предметных областей. При этом общая схема останется неизменной.
Заключение
Таким образом, рассмотрение генезиса и семантики понятия «риск», анализ определений термина в различных сферах жизнедеятельности общества позволил определить его взаимосвязь с понятиями, используемыми в риск-менеджменте, выделить их инвариантную часть и построить онтологическую модель предметной области. Данная модель обладает универсальностью и гибкостью, что позволяет легко адаптировать ее к различным областям оценки рисков.
СПИСОК ЛИТЕРАТУРЫ
1. Матвеенко Ю. И. Современные подходы к изучению риска / Ю. И. Матвеенко // Изв. Тул. гос. ун-та. Гуманитарные науки. 2012. № 1. Ч. 1. С. 165-173.
2. Панфилова Э. А. Понятие риска: многообразие подходов и определений / Э. А. Панфилова // Теория и практика общественного развития // URL: http://www.teoria-practica.m/ms/ffles/arhiv_zhurnala/2010/4/ filоsоfiyа/panfilova.pdf (дата обращения: 28.02.2015).
3. URL: http://dic.academic.ru/ (дата обращения 28.02.2015).
4. Ильин Е. П. Психология риска / Е. П. Ильин. СПб: Питер, 2012. 288 с.
5. Постановление Госгортехнадзора РФ от 10.07.2001 № 30 «Об утверждении «Методических указаний по проведению анализа риска опасных производственных объектов» // URL: http://uristu.com/library/ tekhnicheskie-normativy/rd/rd_59/ (дата обращения: 01.03.2015).
6. Надежность технических систем и техногенный риск // URL: http://www.obzh.ru/nad/2-1.html (дата обращения: 28.02.2015).
7. ГОСТ Р ИСО/МЭК 27005-2010. Информационные технологии. Методы защиты. Менеджмент рисков информационной безопасности // URL: http://docs.cntd.ru/document/1200084141.
8. Нестеров С. А. Анализ и управление рисками в сфере информационной безопасности / С. А. Нестеров // URL: http://www.krdu-mvd.ru/_files/kafedra_ib/52.pdf (дата обращения: 01.03.2015).
9. Ажмухамедов И. М. Системный анализ и управление социотехническими системами комплексного обеспечения информационной безопасности / И. М. Ажмухамедов // Проблемы информационной безопасности. Компьютерные системы. 2013. № 1. С. 132-151.
10. Понятие об экологическом риске // URL: http://www.oblasti-ekologii.ru/ecology/ekologiceskij-risk-kontrol-i-monitoring (дата обращения: 01.03.2015).
Статья поступила в редакцию 10.03.2015
ИНФОРМАЦИЯ ОБ АВТОРЕ
Выборнова Ольга Николаевна - Россия, 414056, Астрахань; Астраханский государственный технический университет; ассистент кафедры «Информационная безопасность»; [email protected].
О. N. Vybornova
ONTOLOGICAL MODEL OF THE PROCESS OF RISK ASSESSMENT
Abstract. The paper considers the history of the formation of the concept "risk" and its etymology. The emergence of risk in all areas of social life led to many interpretations of the term: in economics, psychology, engineering and technology, insurance, information technology and security. It is shown that the multiplicity of the definitions of the concept "risk" is associated with a variety of situational contexts. Based on the analysis of scientific literature and the existing regulatory framework, an ontological domain model is built. This model is quite versatile and flexible, making it easy to adapt it to different areas of risk assessment. The interpretation of the concepts of the designed ontological model is studied by the example of assessment of information and environmental safety.
Key words: risk, risk assessment, risk management, ontological model of risk.
REFERENCES
1. Matveenko Iu. I. Sovremennye podkhody k izucheniiu riska [Modern approaches to risk study]. Izvestiia Tul'skogo gosudarstvennogo universiteta. Gumanitarnye nauki, 2012, no. 1, part 1, pp. 165-173.
2. Panfilova E. A. Poniatie riska: mnogoobrazie podkhodov i opredelenii [The concept of risk: variety of approaches and definitions]. Teoriia i praktika obshchestvennogo razvitiia. Available at: http://www.teoria-practica.ru/rus/files/arhiv_zhurnala/2010/4/filosofiya/panfilova.pdf (accessed: 28.02.2015).
3. Slovari i entsiklopedii na Akademike [Dictionaries and encyclopedias on Academic]. Available at: http://dic.academic.ru (accessed: 28.02.2015).
4. Il'in E. P. Psikhologiia riska [Risk psychology]. Saint Petersburg, Piter Publ., 2012. 288 p.
5. Postanovlenie Gosgortekhnadzora RF ot 10.07.2001 N 30 «Ob utverzhdenii «Metodicheskikh ukazanii po provedeniiu analiza riska opasnykh proizvodstvennykh ob "ektov» [Resolution of Federal Mining and Industrial Supervision of Russia dated 10.07.2001 N 30 "On adoption of "Methodical recommendations on carrying out analysis of the risk of dangerous industrial objects"]. Available at: http://uristu.com/library/tekhnicheskie-normativy/rd/rd_59 (accessed: 01.03.2015).
6. Nadezhnost' tekhnicheskikh sistem i tekhnogennyi risk [Reliability of technical systems and anthropogenic risk]. Available at: http://www.obzh.ru/nad/2-1.html (accessed: 28.02.2015).
7. GOSTR ISO/MEK 27005-2010. Informatsionnye tekhnologii. Metody zashchity. Menedzhment riskov in-formatsionnoi bezopasnosti [Information technologies. Methods of protection. Control of risks of information safety]. Available at: http://docs.cntd.ru/document/1200084141.
8. Nesterov S. A. Analiz i upravlenie riskami v sfere informatsionnoi bezopasnosti [Analysis and control of risks in the sphere of information safety]. Saint Petersburg, 2007. 47 p. Available at: http://www.krdu-mvd.ru/_files/kafedra_ib/52.pdf (accessed: 01.03.2015).
9. Azhmukhamedov I. M. Sistemnyi analiz i upravlenie sotsiotekhnicheskimi sistemami kompleksnogo obe-specheniia informatsionnoi bezopasnosti [System analysis and management of sociotechnical systems of the complex information safety]. Problemy informatsionnoi bezopasnosti. Komp'iuternye sistemy, 2013, no. 1, pp. 132-151.
10. Poniatie ob ekologicheskom riske [Concept of environmental risk]. Available at: http://www.oblasti-ekologii.ru/ecology/ekologiceskij-risk-kontrol-i-monitoring (accessed: 1.03.2015).
The article submitted to the editors 10.03.2015
INFORMATION ABOUT THE AUTHOR
Vybornova Olga Nikolaevna - Russia, 414056, Astrakhan; Astrakhan State Technical University; Assistant of the Department "Information Security"; [email protected].