Роль механизмов страхования в снижении информационных рисков Текст научной статьи по специальности «Экономика и бизнес»

РОЛЬ МЕХАНИЗМОВ СТРАХОВАНИЯ В СНИЖЕНИИ ИНФОРМАЦИОННЫХ РИСКОВ

А.О. Калашников,

кандидат технических наук, генеральный директор ООО «Центр технологий безопасности ИБС». Адрес: 127434, Москва, Дмитровское шоссе, 9Б141090, e-mail: [email protected]

Г \

В статье рассматриваются проблемы использования механизмов страхования для снижения информационных рисков. Показано, что при определенных условиях механизмы страхования могут способствовать увеличению отчислений на проведение предупредительных мероприятий по снижению рисков, в том числе, в условиях ограниченных финансовых ресурсов.

Ключевые слова: механизмы страхования, предупредительных мероприятий по снижению рисков, ограниченные финансовые ресурсы.

Введение

Эффективное управление в настоящее время является ключевым требованием, предъявляемым к социальным и экономическим системам.

За последнее десятилетие в этой сфере произошли коренные изменения связанные, в первую очередь, с применением новых информационных технологий. Эти изменения принесли существенную выгоду, однако при этом они потребовали и гораздо более серьезного отношения к обеспечению информационной безопасности. К основным факторам, определяющим актуальность указанной проблемы, можно отнести, в первую очередь, постоянно возрастающее количество информационных угроз и рисков, а также недостаточный уровень обеспечения информационной безопасности в системах управления.

Существование информационных рисков (ИР) делает необходимым управление ими. Управление ИР, определяет возможность обеспечения устойчивости объекта, его способности противостоять неблагоприятным воздействиям, внутренним и внешним угрозам.

Ключевым элементом управления ИР, является эффективная методология их снижения за счет реализации определенных контрмер, направленных на ликвидацию существующих уязвимостей и угроз и реализуемых с помощью различных механизмов управления.

Целью управления ИР является их снижение до допустимого уровня [1]. При управлении ИР, как правило, используются два основных вида механизмов. Первый класс механизмов — механизмы, нацеленные на снижение уровня риска реализации информационных угроз. К ним, в первую очередь, относятся организационные механизмы: планиро-

вания (распределения ресурса) и контроля, а так же, экономические механизмы: стимулирования и ряд других [2, 3]. Второй класс механизмов — механизмы перераспределения риска (страхования), направленные в первую очередь не на снижение уровня риска, а на снижение отрицательных последствий наступления неблагоприятных событий (реализации информационных угроз) [2, 3].

Тем не менее, в ряде исследований [4, 5] было показано, что страхование также может способствовать увеличению отчислений на предупредительные мероприятия и выбору страхователем действий, направленных на снижение вероятности наступления страхового случая, ожидаемых потерь и т.д., т.е. играть предупредительную и мотиваци-онную роль.

Здесь и далее, под предупредительной ролью страхования, следуя [4, 5], будем понимать его свойства побуждать страхователей увеличивать отчисления на предупредительные мероприятия по снижению ИР. Под мотивационной ролью страхования, следуя [4, 5], будем понимать его свойства побуждать страхователей выбирать действия, снижающие «ущерб» от наступления страховых случаев. Необходимо отметить, что каждый раз при рассмотрении тех или иных моделей страхования необходимо конкретизировать — что понимается под «ущербом» - вероятность наступления страхового случая, ожидаемые потери, ожидаемые потери с учетом затрат на страхование и предупредительные мероприятия и т.д.

Теоретический анализ

В работах [4, 5] рассматривалась модель взаимодействия страховщика с одним страхователем, о котором первый имеет всю необходимую информацию. Деятельность страхователя описывалась его действием и > 0, которое в зависимости от контекста может интерпретироваться как объем средств, выделяемых на основную деятельность, объем производимой страхователем продукции, оказываемых услуг и т.д., и суммой V > 0, затрачиваемой страхователем на предупредительные мероприятия. При этом никаких ограничений, ни на действия и, ни на отчисления V, за исключением их неотрицательности в [4, 5] не накладывалось.

От действий страхователя зависел его доход Н(и), затраты z(u) и вероятность наступления страхового случая р(у,и), причем последняя величина зависела также и от объема средств V, затрачиваемых на предупредительные мероприятия.

Ущерб страхователя от наступления страхового случая Ж в [4, 5] полагался постоянным, т.е. не зависел

ни от действий страхователя, ни от объема средств, затрачиваемых на предупредительные мероприятия.

В тоже время, говоря об информационных рисках, необходимо отметить следующие их особенности:

во-первых, предупредительные мероприятия влияют, как правило, не только на вероятность возникновения страхового случая (реализации информационных угроз), но и на величину самого ущерба;

во-вторых, как правило, страхователю приходится сталкиваться с ситуацией, когда его бюджет ограничен, и таким образом, выделение средств на предупредительные мероприятия приводит к соответствующему уменьшению средств, затрачиваемых на основную деятельность.

Перейдем теперь к исследованию предупредительной роли страхования в управлении информационными рисками с учетом их особенностей, о которых было сказано выше.

Рассмотрим, по аналогии с [4, 5] ожидаемое значение целевой функции страхователя:

£№и)=Н(и)-1(и)-у-к(у,и)+р(чи)[(1+£) У(у,и)-\¥(у,и)]

(1)

где, параметр ; > 0 отражает степень несклонности страхователя к риску [4, 5], к(-) — страховой взнос, У(-) — страховое возмещение, Ж(-) = Ж^,и) — ущерб страхователя от наступления страхового случая.

Заметим, что в данном случае, в отличие от [4, 5] предполагается зависимость ущерба как от действий страхователя, так и от объема средств, затрачиваемых на предупредительные мероприятия,

Как и в [4, 5], будем полагать, что взаимосвязь затрат и доходов от деятельности страхователя описываются простыми зависимостями:

Н(и) = си, 1(и) =10+ а0и, Р0 = (с- а0).

Относительно зависимости вероятности наступления страхового случая от V и и, предположим, как и [4, 5], что выполнены условия:

др(у, и ) др(у, и ) д2 р(у, и) д2 р(у, и ) ^ ' > 0,\_ <0, ^ ' <0, ^ ' >0, (2)

ди

ду

а для зависимости величины ущерба от V и и выполнены условия:

дЖ(у, и) дЩу, и) д2Ж(у, и) д2Ж(у, и)

ди

>0,

ду

<0,

<0,-

>0

(3)

35

д2

д2

и

у

Условия (3), в части зависимости величины ущерба от действия страхователя, могут быть интерпретированы как объективное противоречие между необходимостью увеличения сложности информационных систем и пропорциональному возрастанию величины ущерба от реализации информационных угроз, направленных на эти системы.

В отсутствие страхования выражение (1) примет вид:

Ef(v,u)=H(u)-z(u)-v-p(v,u) W(v, и)

(4)

Обозначим В(у,ы)=р(у,и)Ж(у,и) — функцию риска. Несложно показать, что зависимость функции риска от V и и удовлетворяет условиям:

dR(v, u) dR(v, u) d2 R(v, u) d2 R(v, u)

du

> 0, ; ' <o, ' <o, dr ' >o (5)

д u ^ "

dv

С учетом введенного обозначения выражение (4) примет вид:

Ef(v,u)=H(u)-z(u)-v-R(v,u)

(6)

Тогда без учета ограничения безубыточности (подробнее см. [4, 5]) оптимальной стратегией страхователя будет выбор (у*, и*):

dR(v.,u.)

du bR(v,,u,)

ЭУ

= Ро> = -1

(7)

При наличии страхования, если осуществляется полная компенсация ущерба, т.е.

У(^и)=Ж(у,и)/(1+ О, выражение (1) примет вид:

Ши)=Н(иН(и)-у-к(чи) (8)

Тогда без учета ограничения безубыточности оптимальной стратегией страхователя будет выбор (V, и):

дк(у*,и*)

du дк(у*,и)

Эу

А, = -1

(9)

Если ) — нагрузка к нетто-ставке страхования, то по аналогии с [4, 5] имеет место:

к(у,и) =

£0{v,u)W(y,u) + R(y,u)

1 + <Г

(10)

Тогда (9) примет вид:

Ъ и

ЪУ

W(y',u) +

Ъи Ъи

ЪЩуУ); . . .. , ЭЯ(УУ)

ЪУ

3v

(11)

Подставляя в (11) выражения из (7) получим систему уравнений:

Ъи Ъи Ъи Ъи

ЪЩу',и) ЪR(v„u,) дфУ)^,^ dW{v,u) ^

dv dv dv dv °

(12)

Как и ранее, в рамках рассматриваемой модели стратегией страховщика является выбор зависимости ¿0(-) нагрузки к нетто-ставке от затрат на предупредительные мероприятия и действий страхователя.

Поскольку в управлении информационными рисками нас в первую очередь интересует предупредительная роль страхования, предположим, что единственной переменной является величина отчислений на предупредительные мероприятия v (действие страхователя зафиксировано).

Рассмотрим сначала случай, когда нагрузка постоянна, то есть ¿0(-) = ¿0 = Const. Выражение (12), при этом, примет следующий вид:

dR{v\u) dR(v.,u.) _ dWiv\u),_M ЪW{v,u)

—э---э---э-? 'So

ди du du '»о

Эм

ЩуУ) dR(v„u.) , dW(v]u)f , £ dW(v',u)r

-т---т-= _l>----—Z---- ) 1

dv

ЪУ

ЪУ

ЪУ

(13)

Справедливо следующее утверждение: Утверждение 1.

Если ¿0(-) = ¿0 = Const, то:

1) страхование играет предупредительную роль (наличие страхования способствует увеличению отчислений на предупредительные мероприятия), если

dv

2) страхование играет «анти-предупредительную» роль (наличие страхования способствует уменьшению отчислений на предупредительные мероприятия) , если шь;1>_1_.

Эу <?0 '

3) страхование не играет никакой роли (наличие страхования не изменяет отчислений на предупредительные мероприятия)

дЩу) = (

Эу

Если при этом условие:

Vv>0 ф)<{-р(у),

(14)

взаимовыгодности страхования будет выполнено в предельном случае (как равенство), то условия 1) — 3) примут вид:

1а) ™<У1 1

dv p(v )

2а) WVLl >__ 1

dv p(v )

3а) WVl = .

dv p(v )

Доказательство:

если f0(-) = ¿¿0 = Const, то (13) примет вид:

afi(v) bRjv,) _ ^ С dwjy)^ (15) ЭУ Эу f0 ЭУ 0

Тогда из (15) и свойств (3) и (5) функций ущерба и риска следует:

1) если , то у* > у. ;

Эу ¿о

2) если dw(.v')>_l_ , то у* < у, ;

Эу

3) если ЭУ(у')=_1 , то v" = у. .

Эу <?о

Если при этом условие (14) будет выполнено как равенство, то подставляя выражение ¿;0(v*) = fp(v') в 1) — 3) получим:

1а) dWO <__ 1

dv p(v )

2а) WvLl ;

dv p(v )

3а)

dW(v )

1

ду р(у )

Утверждение доказано. ■

Утверждение показывает, что в отличие от случая, рассмотренного в [4, 5], страхование при постоян-

ной нагрузке, при условии, что страхователь имеет возможность влиять на размер ущерба, может побуждать страхователя выбирать различные стратегии, в том числе ведущие к увеличению отчислений на предупредительные мероприятия.

Важный качественный вывод, следующий из утверждения 1, заключается в том, что даже если страхователь лишен возможности управлять параметрами страхового контракта, страхование может сыграть предупредительную роль в случае, если «удельное» снижения ущерба при отчислениях на предупредительные мероприятия будет не меньше некоторой критической величины (определяемой параметрами страхового контракта или вероятно -стью возникновения страхового случая).

Перед тем, как перейти к рассмотрению случая, когда параметры страхового контракта зависят от стратегий, выбираемых страхователем, для простоты дальнейшего изложения сделаем небольшое предположение.

Из (3) следует, что Ж(-) =Ж(у) — положительная функция монотонно убывающая по V. Предположим, что никакие предупредительные меры не в состоянии снизить предполагаемый ущерб до нуля (подробнее см., например [1]), иными словами для Ж(-) выполнено следующее соотношение:

Жтах > > Жтт > 0 (16)

Пусть теперь, £(•) = ¿;0^), тогда (12) примет вид:

аяоо Щу. > = _ f _ э^ ВД av.}

Эу

Эу

Эу

Эу

(17)

Из (17) и свойств (3) и (5) функций ущерба и риска следует, что для того, чтобы страхование играло предупредительную роль ( у* > у.), необходимо, что бы выполнялось неравенство:

^о(у) ^__£__ЭЖ(у-) £0(у*) (18)

Эу IV (у) ЭУ IV (у) Из (18), учитывая предположение (16), а так же тот факт, что ¿0(')> 0 и £> 0 следует, что справедливо следующее соотношение:

f Z____dW(v') ¿"о(у*)

Кь W{y) W(S) Эу W{V)

(19)

В свою очередь из (18) и (19) следует, что в силу введенных выше предположений для обеспечения у* > у. достаточно выполнение следующего условия:

эщ ^ t

Эу W^

(20)

Учитывая, что страхование будет взаимовыгодным, если выполнено условие (14) сформулируем

Утверждение 2.

Предупредительная роль страхования имеет место, если выполнены условия (14) и (20). ■

До настоящего момента предполагалось, что страхователь не имеет ограничений ни на его действия и > 0 (под которыми в данном контексте будем понимать, например, средства, затрачиваемые страхователем на основную деятельность), ни на сумму V > 0, затрачиваемую на предупредительные мероприятия. Однако, как правило, страхователю приходится сталкиваться с ситуацией, когда его бюджет х0 ограничен, и таким образом, выделение средств на предупредительные мероприятия приводит к соответствующему уменьшению средств, затрачиваемых на основную деятельность.

Положим, что выполнено следующее соотношение: и + V = х0, тогда ожидаемое значение целевой функции страхователя (1) можно записать в виде:

Е/(у,х0 -у) =Н(х0-у)-г(х0 -у)-у-к(у,х0-у) + +Р(у,Х0-У)[(1+^)Г(У,Х0-У)^(У,Х0-У)] (21)

Обозначим:

К-V) =//V), к(у,х0-V) =к/V),

и запишем (21) в виде:

Efv(v) =Н(х0-v)-z(x0-v)-v-kv(v)+ +pv(v)[(l+()Vv(v)-Wv(v)]

(22)

Заметим, что если выполнены условия (2) и (3), то имеет место:

этм < 0, 1рж > 0, < 0, > о (23)

Эу дг2 ' Эу ЭУ2

В отсутствие страхования выражение (22) примет вид:

Еф)=Н(х0-уН(х0-у)-у-р/у)Ж/у) (24)

Обозначим — функцию риска.

Несложно показать, что с учетом условий (23) зависимость функции риска от V удовлетворяет условиям:

dRv (v) „ d2R (v)

—— < о, —2^ > о

dv д v

(25)

С учетом введенного обозначения выражение (24) примет вид:

Efv(v)=H(x0-v)-z(x0-v)-v- R/v) (26)

Тогда без учета ограничения безубыточности оптимальной стратегией страхователя будет выбор v*:

ЭДДу.)

dv

(27)

При наличии страхования, если осуществляется полная компенсация ущерба, т.е.

+ £),

выражение (22) примет вид:

ЕШ=Щх0-УН(х0-*Н-кр) (28)

Тогда без учета ограничения безубыточности оптимальной стратегией страхователя будет выбор V*:

Э^(у')

3v

-(1+Ао)

(29)

Если ¿¿0 (v) — нагрузка к нетто-ставке страхования, то по аналогии с (10) имеет место:

К(у) =

адвд+вд

1+£

(30)

Тогда (29) примет вид:

3v 3v 3v (31)

Подставляя в (31) выражение из (27) получим:

ttpJJf Ko^l-fw

dv dv dv dv

(32)

Сравнительный анализ (13) и (32) позволяет сформулировать и доказать ряд утверждений, аналогичных утверждениям 1 и 2.

Утверждение 3.

Если ¿0(0 = ¿0 = Const, то:

1) страхование играет предупредительную роль (наличие страхования способствует увеличению отчислений на предупредительные мероприятия), если

dWv(v') ^ £(1 + во)

dv ^ ;

2) страхование играет «анти-предупредительную» роль (наличие страхования способствует уменьшению отчислений на предупредительные мероприятия), если

Э^(у')^ <Г(1+/?0). эу ао '

3) страхование не играет никакой роли (наличие страхования не изменяет отчислений на предупредительные мероприятия)

дЩу)= Эу £0 '

Если при этом условие (14) взаимовыгодности страхования будет выполнено в предельном случае (как равенство), то условия 1) — 3) примут вид:

ВД 1+Д, 1а) ;

2а) .

Эу р(у*)

3а)

ЭУДу') _ 1+Ао

Эу р(у*) Если при этом выполнено условие:

W/-) = Wv = Const, то v* < v.

Доказательство: если f0(-) = f0 = Const, то (32) примет вид:

эц(у) gi+f}0) э^рО (33)

Эу ЭУ

Эу

Тогда из (33) и свойств (23) и (25) функций ущерба и риска следует:

1) если , то у * у*;

Эу е0 ■

2) если , то у* < у,

Эу "

3) если —= —^ , то у = у,.

Эу

Если при этом условие (14) будет выполнено как равенство, то подставляя выражение £„60 = £р(у') в 1) — 3) получим:

1а) ;

Эу /»(У )

2а) .

Эу р(у )

3а) ЭУДу)_ 1+ft . Эу />(V*)

Если W(-) = Ж = Const, то (33) примет вид:

Эр>*) ЭА(у.) £(!+/?„)

Эу

Эу

т

(34).

Из (23) и того, что £> 0, получаем, что у* < у».

Утверждение доказано. ■

Из сравнения результатов утверждений 1 и 3 видно, что в случае, когда бюджет страхователя ограничен страхование будет играть предупредительную роль тогда, когда «удельное» снижения ущерба при отчислениях на предупредительные мероприятия будет не меньше, чем в (1 + /?0) раз больше, чем в случае, когда бюджет страхователя неограничен.

Данный результат представляется вполне закономерным, если вспомнить, что выражение

в (22) и (28) представляет собой результат деятельности страхователя с учетом затрат на предупредительные мероприятия, а выражение

дН(х0 - у) dz(x0 - у)

Эу

Эу

фактически характеризует «скорость» падения доходности страхователя при отчислениях на предупредительные мероприятия V. Очевидно, что такие отчисления имеют смысл только тогда, когда доходность падает медленнее, чем величина предотвращаемого ущерба, и соответственно, наличие страхования не должно нарушать эту зависимость.

Из (23) следует, что — положитель-

ная функция монотонно убывающая по V. Предположим, как это было сделано раньше, что никакие предупредительные меры не в состоянии снизить предполагаемый ущерб до нуля, то есть для №(•) выполнено следующее соотношение:

W > W(v) > W . > 0.

v mar vv ' v mm

(35)

Пусть теперь £(•) = £^), тогда из свойств (23) и (25) функций ущерба и риска следует, что для того, чтобы страхование играло предупредительную роль (V* > у»), необходимо, что бы выполнялось неравенство:

Э^0(у)< Ш + Ю Э^(у)^0(у) (36).

Эу

Wv(v) Эу Wv(V)

Из (36), учитывая предположение (35), а так же тот факт, что £0(-) > 0 и £ > 0 следует, что справедливо следующее соотношение:

j ^__j ^ сГ(1+/?о) Э^(У') ¿fo(v') (37)

Wy(y) Wv(v) dv Wv(y)

В свою очередь из (36) и (37) следует, что в силу введенных выше предположений для обеспечения V* > V, достаточно выполнение следующего условия

э&оь t

3v w

(38)

Учитывая, что страхование будет взаимовыгодным, если выполнено условие (14) сформулируем

Утверждение 4.

Предупредительная роль страхования имеет место, тогда и только тогда, когда выполнены условия (14) и (38). ■

Заключение

При рассмотрении роли механизмов страхования в комплексе механизмов управления информационными рисками на первый план выступает возможность его комплексного использования совместно с механизмами снижения информационного риска — механизмами планирования. И, как показывают представленные выше результаты утверждений 1 — 4, такая возможность существует, в частности, если некоторый уровень информационных рисков уже был достигнут в отсутствие механизмов страхования (например, за счет применения механизмов распределения ресурса), то возможна разработка механизма страхования, который не ухудшал бы стратегию поведения страхователя (например, не провоцировал бы снижение отчислений на предупредительные мероприятия), но компенсировал бы ущерб в случае реализации информационных угроз. ■

Литература

1. Калашников А.О. Организационные механизмы управления информационными рисками корпораций. - М.: ПМСОФТ, 2008. - 175 с.

2. Калашников А.О. Управление информационными рисками организационных систем: базовая модель // Системы управления и информационные технологии.-2008.- №1.3(31). - С. 366-371.

3. Калашников А.О. Управление информационными рисками автономных организационных систем // Системы управления и информационные технологии. -2008.- №2.2(32). - С. 262-267.

4. Механизмы страхования в социально-экономических системах. / В.Н.Бурков, А.Ю. Заложнев, О.С. Кулик, Д.А. Новиков - М.: ИПУ РАН, 2001. - 109 с.

5. Бурков В.Н., Новиков Д.А., Щепкин А.В. Механизмы управления эколого-экономическими системами. [Под. ред. академика С.Н.Васильева]. - М.: Издательство физико-математической литературы, 2008. - 244 с.