Системное управление информационными рисками. Выбор механизмов защиты Текст научной статьи по специальности «Экономика и бизнес»

УДК 330.46

СИСТЕМНОЕ УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ РИСКАМИ. ВЫБОР МЕХАНИЗМОВ ЗАЩИТЫ

В.И. Завгородний

Управление информационными рисками рассмотрено на уровне управления всей информационной сферой предприятия, не ограничиваясь рамками обеспечения безопасности информации. Предложен метод оптимизации выбора механизмов защиты от информационных рисков.

Ключевые слова: информационные риски, системное управление информационными рисками, система управления информационными рисками, выбор механизмов защиты от информационных рисков.

ВВЕДЕНИЕ

Появление термина «информационный риск» более десяти лет назад означало признание значимости проблемы противодействия негативным явлениям в информационной сфере предприятия, однако рассматривалась лишь область обеспечения безопасности информации. Такой подход практически остается неизменным по настоящее время [1]. Информационный риск рассматривается как угроза безопасности информации. Изменения касаются только понимания результатов реализации таких угроз, учета экономических последствий информационных рисков в виде ущерба предприятия.

В рамках обеспечения информационной безопасности по-прежнему рассматриваются лишь три негативных исхода для информационных ресурсов — нарушение конфиденциальности, доступности и целостности. Не принимается в расчет возможность снижения качества информации в результате наступления событий, не связанных с нарушением безопасности информации. Качество информации с позиций ее потребителя определяется следующими характеристиками: достоверность, актуальность, полнота, избыточность, своевременность получения, форма представления, готовность к применению. Алгоритмические и программные ошибки, сбои и отказы технических средств, ошибки субъектов информационных процессов, использование недостоверных и неполных данных, другие причины могут не отражаться на безопасности информации, но приводить к снижению качества информации. В результате использования в бизнес-процессах информации низкого качества предприятию наносится экономический ущерб.

Значение информации в деятельности современных предприятий возросло настолько, что без системного управления всеми процессами получения, хранения, преобразования и передачи информации невозможно эффективное и устойчивое функционирование предприятий. В этой связи требуется, прежде всего, сместить акценты в политике управления информационными рисками. При рассмотрении информационных рисков необходимо учитывать проблемы обеспечения как безопасности информации, так и ее качества, тесно увязывая их решение с конечными целями функционирования предприятия.

Наряду с дальнейшим развитием информационных технологий следует существенно повысить уровень управления информационными процессами предприятий путем создания эффективных систем управления информационными рисками (СУИР), обеспечивающих комплексное применение механизмов управления.

1. СИСТЕМА УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ

Рассмотрение вопросов управления информационными рисками целесообразно начать с определения или уточнения наиболее важных понятий, таких как информационная сфера и информационный риск. Понятие «информационная сфера предприятия» вводится в соответствии с методологией системного подхода. С позиций рассмотрения сущности информационных рисков предлагается выделить две системы: информационная система предприятия (внутренняя среда) и внешняя информационная среда. Объединение этих двух систем позволяет получить системный комплекс или мегасистему [2]. Такую мегасистему и предла-

гается рассматривать как информационную сферу предприятия. Информационная сфера предприятия не может быть представлена в виде системы из-за наличия иррационального взаимодействия между информационной системой предприятия и внешней средой. Понятие иррациональности вводится в работе [2], под которой понимается наличие неупорядоченности, нецелесообразности, неопознаваемости, непредсказуемости и парадоксальности во взаимодействии систем.

С позиций системного анализа информационная система предприятия представляет собой открытую систему, образуемую множеством взаимосвязанных информационных элементов, которые обеспечивают получение, обработку, хранение и передачу необходимой информации в целях эффективного функционирования предприятия. В качестве информационных элементов следует рассматривать субъекты и объекты информационных процессов. К субъектам информационных процессов относятся сотрудники предприятия, имеющие отношение к получению, обработке, хранению и передаче информации. Объектами выступают информационные ресурсы и материальные средства обеспечения информационного процесса предприятия.

Внешнюю информационную среду предприятия образуют объекты, субъекты, процессы и явления внешней среды, оказывающие влияние на элементы информационной системы предприятия и на информацию во внешней среде, имеющую отношение к предприятию, его бизнес-процессам.

На самом высоком уровне представления мегасистемы, с учетом целей исследования информационных рисков, понятие информационной сферы предприятия может быть сформулировано следующим образом. Под информационной сферой предприятия следует понимать взаимосвязанные элементы информационной системы предприятия и внешней информационной среды предприятия, а также систему регулирования отношений субъектов информационных процессов во внутренней и внешней среде предприятия. Таким образом, к информационной сфере предприятия относятся все элементы внутренней и внешней среды в их взаимодействии, имеющие отношение к получаемой, используемой, обрабатываемой, хранящейся и распространяемой информации, влияющей на бизнес-процессы предприятия, независимо от форм представления информации, видов объектов и субъектов, а также временных и пространственных рамок информационных процессов. В определении информационной сферы предприятия особо подчеркивается важность механизмов регулирования отношений субъектов информационных процессов для достижения целей бизнес-процессов.

Понятие информационного риска должно базироваться на понятии риска. Общепринятым традиционным является подход, базирующийся на

понимании риска как возможной опасности, возможного убытка или неудачи [3]. В экономике под риском понимается возможное событие, в результате которого предприятие понесет убытки, а также размер возможного ущерба [4]. Реже рассматриваются спекулятивные риски, которые связывают с возможностью получения неожиданной прибыли [5]. Общепризнано также, что риски связаны с наступлением случайных событий [4, 5].

В последнее время рассматриваются и другие подходы к определению понятия «риск». Так, риск рассматривается как следствие принятого решения («риск решения»), а если причины ущерба находятся «вовне, т. е. вменяются окружающему миру», то речь может идти об опасности [6]. В работе [7] этот подход развивается, и риск трактуется как размер потерь от принятия решений. Такой подход позволяет логично определить управление рисками как управление решениями, подчеркнуть важность принятия решений.

Предложенное деление ущерба от негативных явлений на риски и опасности приводит к выводу, что в отношении опасностей не принимается управляющих решений, потому что они находятся вне сферы влияния лица, принимающего решение. Но ведь все значимые «опасности» учитываются в деятельности предприятий. Так, например, пока невозможно предотвратить землетрясение, но возможность его учитывается, и к этой опасности готовятся заблаговременно на основе принятого решения. Употребление термина «опасность» оправдано, по-видимому, по отношению к тем негативным событиям, которые ранее не происходили или по ним отсутствует какая-либо информация.

Проведенный анализ подходов к определению сущности информационных рисков с использованием дефиниции информационной сферы предприятия позволяет сформулировать понятие «информационный риск». Информационный риск — это возможность наступления случайного события в информационной сфере предприятия, в результате которого предприятию будет нанесен ущерб. Причем информационные риски рассматриваются как вероятные события во внутренней или внешней среде предприятия, оказывающие негативное влияние не только на безопасность информации, но и на ее качество; учитываются все события, которые могут произойти на всех этапах информационного процесса от получения информации до ее использования в бизнес-процессах.

Управление информационными рисками организуется в целях минимизации общей суммы ущерба от них и затрат на управление ими. Управление информационными рисками предполагает три стратегии управления, которые в различных сочетаниях могут применяться в отношении конкретных информационных рисков:

— воздействие на источники рисков для устранения причин рисковых событий;

— влияние на факторы рисков, способствующие реализации рисковых событий;

— создание условий для снижения ущерба от наступившего рискового события.

Устранение причин, порождающих отдельные риски, невозможно или неэффективно. В основном это относится к рискам, источник которых находится во внешней среде. Фактор риска характеризует уязвимость системы при воздействии этого риска. Факторы риска устраняются в основном на уровне информационной системы предприятия. Первые две стратегии применяются для предотвращения рисковых событий (существенного снижения вероятности их реализации). Третья стратегия предусматривает наличие механизмов управления, обеспечивающих минимизацию ущерба при реализации рисковых событий. Она направлена на локализацию негативного влияния риска, оперативное устранение ущерба, перехода к штатному режиму функционирования и возможную корректировку политики управления риском.

Для управления информационными рисками создается система управления, под СУИР понимается единый комплекс правовых норм, экономических и организационных мер, технических, программных и криптографических средств, а также информационных ресурсов, обеспечивающий минимальные суммарные расходы на компенсацию ущерба и затрат на управление информационными рисками.

Система управления информационными рисками входит как подсистема в информационную систему предприятия. Поэтому она должна создаваться на единых с информационной системой научно-методических принципах построения сложных человеко-машинных систем [8].

В процессе создания СУИР и ее модернизации решается задача оптимального выбора механизмов защиты от информационных рисков. Под механизмами защиты понимаются методы и средства, обеспечивающие управление информационными рисками.

2. ВЫБОР МЕХАНИЗМОВ ЗАЩИТЫ ОТ ИНФОРМАЦИОННЫХ РИСКОВ

В процессе эксплуатации информационной системы возникает необходимость совершенствования СУИР. Такая необходимость обусловливается:

— возрастанием годового ущерба от определенных информационных рисков;

— появлением новых информационных рисков;

— изменением существующих рисков;

— модернизацией информационной системы;

— изменением масштабов и сложности бизнес-процессов предприятия;

— изменениями в смежных информационных системах;

— природными явлениями;

— появлением новых правовых актов;

— изменениями в политической и экономической жизни общества.

Если по результатам анализа состояния СУИР признается необходимой ее модернизация, то следует перейти к этапу решения оптимизационной задачи выбора механизмов защиты.

Формальная постановка задачи выбора может быть представлена в следующем виде. Известно множество значимых рисков Я = {тх, г2, ..., г^|. Для каждого риска г , п = 1, 2, ..., N определен ущерб в денежной форме иГ . Ущербы по всем рискам об-

разуют множество ущербов и = {иг

иг„ }.

Каждый ущерб иг определен при условии, что в

п

отношении п-го риска не применяется никаких механизмов защиты.

Определен кортеж механизмов защиты М = (т1, т2, ..., тК), элементы которого могут использоваться в СУИР. Каждый к-й механизм защиты характеризуется множествами параметров Як и Ек, а также параметром с, . Множество Як = (г,

к1 к2-

..., ГЫ)

составляют информационные риски, которым противодействует к-й механизм защиты.

С помощью множества показателей Ек = (ек1, ек2, ..., вкЫ) оценивается эффективность к-го механизма защиты относительно п-го риска. Элемент екп множества показывает, какая часть ущерба от п-го информационного риска будет предотвращена при работе к-го механизма защиты. Величина екп изменяется в пределах 0 т екп < 1 Эффективность всех механизмов защиты может характеризоваться с помощью матрицы Е:

Е =

л

е11 е12 ... е1Ы е21 е22 ... е2N

еК1 еК2

... е

На практике определенным информационным риском часто управляют с помощью нескольких механизмов. Формально это означает, что в столбцах матрицы Е может быть несколько элементов, отличных от нуля. Эффективность управления риском п с применением нескольких механизмов не может определяться с помощью аддитивного К

показателя ^ екп, так как в этом случае суммар-к = 1

ный показатель может равняться единице и даже ее превысить. При подсчете общей эффективности снижения ущерба от риска п, при условии включения в СУИР всех К рассматриваемых механиз-

и

Г

2

мов, может использоваться мультипликативным показатель

с2и-

^Хп

),

I! с1 - екп) = с1 - е1п)(1

к = 1

характеризующий общую часть ущерба от риска п, которая сохранится при включении всех К механизмов защиты.

Параметр ск представляет собой затраты предприятия на приобретение или на изменение, разработку, создание, а также на внедрение и эксплуатацию к-го механизма. Часто руководство предприятия не может направить на совершенствование СУИР денежные средства, превышающие определенную сумму Стах.

Известны также элементы матрицы совместимости механизмов управления информационными рисками:

Механизмы защиты х., х. е Xсовместимы, если

. }

х.х. < d.., I = 1, К, j = 1, К.

I ) . J

Общий ущерб и, который ожидается после введения в СУИР механизмов защиты, назовем остаточным. Он определяется бинарным вектором конфигурации. С учетом введенных обозначений выражение для вычисления остаточного ущерба может быть представлено в следующем виде:

N К

и°(х 1, х2, ..., хк) = X иг„ П (1 - екпХк).

п = 1 к = 1

Постановка задачи оптимального выбора механизмов защиты от информационных рисков может быть представлена следующим образом:

определить бинарный вектор Х*( х\, х2, ..., х*К), обеспечивающий минимум суммы остаточного ущерба от всех значимых рисков и затрат на при-

й11 й12 . . й1Х ( х

Б = й21 й22 . Х. 2 .. тіп X (скхк) ^ к = 1

1Х ^3 2 2Х ^3 . йХХ) при

N

п = 1

Х

,П (1

к = 1

Є

кпХк)

где

йу =

х.х. т й і = 1, к.

1 у У

у = 1, к.

1, если і-й и у-й механизмы совместимы; 0 в противном случае.

X (скхк) к = 1

(1)

(2)

(3)

Несовместимыми считаются механизмы, не допускающие совместного использования в одной СУИР механизмов без существенного изменения их структур. Например, не могут быть применены программные средства, разработанные для компьютерных систем с различными операционными системами.

Несовместимыми следует считать также механизмы, выполняющие одинаковые функции и совместное применение которых не приводит к повышению эффективности системы. Такие механизмы построены, как правило, на одних и тех же принципах по сходным технологиям. Например, не имеет смысла применять в одной СУИР различные системы шифрования данных, хранящихся на внешних запоминающих устройствах. В то же время программные фильтры и контроль оператором вводимой информации являются совместимыми механизмами, повышающими достоверность вводимой информации. Совместимые механизмы могут применяться интегрировано в различных сочетаниях для комплексного противодействия риску.

Множество механизмов, входящих в СУИР, задается с помощью бинарного вектора конфигурации X = (х1, х2, ..., хХ), где

В общем случае эффективность к-го механизма екп в отношении риска п зависит от вектора X, т. е. возможно влияние включения к + 1-го механизма в СУИР на эффективность к-го механизма. Эта зависимость может быть учтена при вычислении мультипликативного показателя эффективности.

Кроме того, эффективность механизмов защиты зависит, как правило, от затрат, связанных с их применением. Поэтому в альтернативной постановке задачи оптимизации определения механизмов защиты эффективность к-го механизма екп может быть представлена как функция механизма

кп

= (х1, х2,

, хк- 1, хк+ 1, ..., хХ, ск

х

х

ск). Переход к бо-

хк =

_ ) 1, если к-й механизм включен в систему; 0 в противном случае.

лее сложной постановке задачи оправдан, если эффективность механизмов существенно зависит от включения других механизмов в СУИР.

Задача определения механизмов защиты от информационных рисков, которые необходимо ввести в СУИР дополнительно или для замены существующих механизмов, относится к нелинейным дискретным бинарным задачам переборного типа

[9]. Решение таких задач возможно методами полного перебора, ветвей и границ, динамического программирования. Точный метод ветвей и границ не применим для решения поставленной задачи, так как целевая функция не является монотонной

[10]. При решении практических задач значимые информационные риски исчисляются десятками,

и

Г

а число механизмов управления рисками может быть на порядок больше. При такой размерности решение задачи методом полного перебора проблематично.

Субоптимальные решения, удовлетворяющие практическим целям управления информационными рисками, могут быть получены эвристическими методами. Для решения поставленной задачи предлагается применить эвристический пошаговый метод. Его достоинство заключается в сочетании локальной оптимизации на каждом шаге с учетом влияния принимаемых решений на конечный результат, что позволяет повысить точность решения. При этом существенно снижается вычислительная сложность по сравнению с методом полного перебора. Время реализации алгоритма полиномиально зависит от числа переменных в отличие от зависимости, близкой к экспоненциальной, при полном переборе.

Сущность метода заключается в выборе на каждом шаге одного из возможных механизмов, обеспечивающего получение максимального эффекта. Эффект определяется размером снижения расходов на управление рисками (суммой затрат собственно на управление рисками и размера ущерба) в результате применения очередного механизма и упущенной выгодой от невозможности применения на последующих шагах механизмов, несовместимых с включаемым в систему очередным механизмом. Таким образом, на каждом шаге анализируется не только локальный эффект от включения в систему механизма, но и рассматриваются последствия этого шага в дальнейшей работе алгоритма, в которой учитываются ограничения на расходы, связанные с применением механизмов защиты от информационных рисков.

Для формального представления алгоритма вводятся следующие обозначения: к — номер выполненного шага алгоритма; Хл(хм, хЛ2, ..., хлк) — состояние вектора конфигурации после к-го шага; Ж(к) — множество механизмов, включенных в число применяемых на к-м шаге; £(к) — множество механизмов еще не включенных в число применяемых на к-м шаге, но совместимых с механизмами множества Щк); О(к) — множество механизмов, несовместимых с множеством Щк), т. е. исключаемых из дальнейшего рассмотрения; Ц* (к)— остаточный ущерб от п-го риска после выбора механизмов на первых к шагах.

Таким образом, значения хкк = 1 соответствуют механизмам, уже отобранным на первых к шагах алгоритма, т. е. входящим во множество Ж(к).

Пусть тк + 1 є £(к) — механизм, выбираемый на к+1-м шаге из множества £(к). Выбор механизма тл + 1 означает, что соответствующая компонента вектора Хл(хм, хЛ2, ..., хлк) становится равной еди-

нице. Предположим, что выбранному механизму тл + 1 в векторе Хк соответствует компонента с номером к.

Тогда величина, на которую уменьшится ущерб от п-го риска при выборе на шаге к + 1 механизма тл + 1 с номером к, равна А Цп(к + 1, к) и определяется следующим образом: АЦп(к + 1, к) =

= Ц0 (к)екп. Оставшаяся величина ущерба от п-го

риска Ц0 (к + 1, к) = Ц0 (к)(1 - е**).

Суммарное уменьшение ущербов от рисков всех видов при выборе на к + 1-м шаге к-го механизма

АЦ(к + 1, к) = £ АЦ*(к + 1, к) = £ Ц0 (к)^**.

п = 1 п = 1

Упускаемая возможность снижения ущербов на последующих шагах алгоритма А Ц (к + 1, к) обусловлена исключением применения на следующих шагах механизма т, несовместимого с механизмом к (т є О(к)), и вычисляется как

А Ц- (к + 1, к) = £ Ц0 (к)(1 - е*п)етп^,

П = 1

где Ъкт — инверсное значение Акт из матрицы совместимости Б (если Акт = 1, то Акт = 0 и наоборот); множитель 5Лт= 1, если т є £(к) и 5Лт= 0 в противном случае.

Присутствие множителя 5Лт в этом выражении позволяет учитывать на шаге к + 1 механизм т, который стал несовместным только на шаге к + 1 в результате включения механизма к. Величина

Ц0 (к)(1 — екп)есть остаточный ущерб от п-го риска после применения механизма к на шаге к + 1;

Суммарная упускаемая возможность снижения ущербов, в случае выбора на к + 1-м шаге к-го механизма из-за исключения несовместимых с ним механизмов,

АЦ-(к + 1, к) = £ £ Ц0 (к)(1 — екп)етпАкт V

Т = 1 П = 1

Для оценки эффекта от включения на шаге к +1 к-го механизма защиты введем величину Э(к + 1, к):

Э(к + 1, к) = АЦ(к + 1, к) — (АЦ-(к + 1, к) + ск).

Эффект от включения механизма к в СУИР определяется как разность суммы прямого уменьшения ущербов от всех видов рисков и суммы затрат на управление к-м информационным риском и размера упущенного уменьшения ущербов в дальнейшем.

Вместо эффекта удобнее пользоваться безразмерной величиной — удельным эффектом Эу(к + 1, к) = Э(к + 1, к)/Стах.

В соответствии с введенными обозначениями эвристический алгоритм состоит из следующих шагов. На каждом шаге к для т е Б(к) вычисляется Эу(к + 1, к) и выбирается такой механизм т* с номером к *, для которого удельный эффект Эу(к + 1, к *) имеет наибольшее значение и при этом не исчерпываются выделенные средства, т. е. выполняется условие (3). Если такого механизма нет, то работа алгоритма прекращается и в качестве опти-

ТЛ5И / + ^ К5 \

мального принимается вектор X (х1, х2, ..., хК).

Проверка эвристического метода показала, что его точность зависит от размерности задачи. При малом числе рисков около 90 % реализаций дают решение, полностью соответствующее результатам, полученным полным перебором. Отклонения результатов эвристического метода на случайных наборах исходных данных возрастают с увеличением размерности задачи. Это объясняется тем, что в расчет принимаются упускаемые возможности снижения ущербов из-за невозможности использования всех несовместных механизмов на каждом шаге. Причем учитывается влияние и тех механизмов, которые по окончания работы алгоритма не войдут в число оптимальных. Точность алгоритма может быть повышена путем изменения порядка вычисления общей упускаемой возможности снижения ущерба. На каждом шаге целесообразно рассматривать эффект снижения ущерба только от нескольких наиболее эффективных механизмов, вероятность включения которых в альтернативных вариантах высока.

На рынке механизмов управления информационными рисками часто предлагаются готовые подсистемы, включающие в свой состав комплекс механизмов защиты, которые называются агрегированными. Наличие комплексных механизмов в СУИР и возможность применения таких механизмов для ее совершенствования придает особенности процессу оптимизации системы.

Пусть для создания СУИР может быть применено множество комплексных механизмов КМ = = (кт1, кт2, ..., кть), а также множество отдельных автономных механизмов М = (т1, т2, ..., тК). Часть автономных механизмов может входить в состав комплексных механизмов защиты.

Предположим, что эффективность автономных механизмов при включении их в состав комплексных механизмов не изменяется. Тогда задача оптимального выбора механизмов защиты от информационных рисков, с учетом ранее введенных обозначений, может быть формально представлена следующим образом.

Определить общий бинарный вектор конфигурации автономных и комплексных механизмов

Хо* (х1, х2, ..., хК, хК + 1, хК + 2, ..., хК + ь), обеспечивающий минимум целевой функции

К + ь N Г К + J \

X СА + X ип П ( 1 - екпхк) I ,

к = 1 п = 1 ^ к = 1 '

при

х:х. т d¡j, i = 1, К + Ь , j = 1, К + Ь ;

X (Скхк) т Стах. к = 1

Для решения задачи могут быть применены те же методы, что и для решения задачи (1)—(3). Вычислительная сложность алгоритмов при этом возрастает, так как размерность вектора Х0 больше размерности вектора X.

ЗАКЛЮЧЕНИЕ

Значимость проблемы управления информационными рисками требует перехода от управления безопасностью информации к системному управлению информационной сферой предприятия. Управление информационной сферой предприятия организуется с помощью системы управления информационными рисками, в процессе модернизации которой осуществляется выбор механизмов защиты от информационных рисков. Один из возможных подходов к решению этой задачи представлен в настоящей работе.

ЛИТЕРАТУРА

1. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. — М.: АйТи-Пресс, 2004. 384 с.

2. Прангишвили И.В. Системный подход и общесистемные закономерности. — М.: СИНТЕГ, 2000. — 528 с.

3. Ефремова Т.Ф. Новый словарь русского языка. Толково-словообразовательный. Т. 1. — М.: Русский язык, 2000. — 1233 с.

4. Найт Ф.Х. Риск, неопределенность и прибыль. — М.: Дело, 2003. — 360 с.

5. Балабанов И.Т. Риск-менеджмент. — М.: Финансы и статистика, 1996. — 192 с.

6. Луман Н. Понятие риска // THESIS. — 1994. — № 5. — С. 135—160.

7. Управление риском: Риск. Устойчивое развитие. Синергетика. — М.: Наука, 2000. — 431 с.

8. Молчанов А.А. Моделирование и проектирование сложных систем. — Киев: Выща школа, 1988. — 359 с.

9. Гэри М., Джонсон Д. Вычислительные машины и труднорешаемые задачи. — М.: Мир, 1982. — 416 с.

10. Кузнецов О.П., Адельсон-Вельский Г.М. Дискретная математика для инженера. — М.: Энергоатомиздат, 1988. — 480 с.

Статья представлена к публикации членом редколлегии В.В. Кульбой.

Завгородний Виктор Иванович — канд. техн. наук, доцент, Федеральное государственное образовательное учреждение высшего профессионального образования Финансовая академия при Правительстве Российской Федерации, e-mail: zvi@rambler.ru .