- •Введение
- •1. Арсенал риск-анализа (на примере информационных систем)
- •1.2.Современные стандарты в области управления рисками информационных систем
- •Международный стандарт iso iec 17799 и гост р исо/мэк 17799-2005
- •Часть 12 гост р исо/мэк 17799-2005 определяет способ оценки качества управления безопасностью с помощью проверки соответствия определенным требованиям, а именно:
- •Международный стандарт iso iec 27001 и гост р исо/мэк 27001-2005
- •Британский стандарт bs 7799-3 «Руководство по управлению информационными рисками»
- •Раздел 7 bs 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает две фазы менеджмента системы: контроль риска и оптимизация риска.
- •Стандарт сша nist 800-30 «Руководство по управлению информационными рисками it-систем»
- •2.2.Экспертные методы оценки рисков
- •2. Риски и шансы: аналитический подход в методологии оценки
- •3.2.Понятие риска и шанса
- •Концепции оценки рисков и шансов
- •Обобщенная модель оценки риска и шанса
- •Вероятностная природа риска и шанса
- •Методы оценки риска и шанса
- •Формальное определение меры риска и шанса
- •Основные меры риска и шанса
- •Методы рационализации вычислений при расчете риска и шанса
- •Объективные и субъективные составляющие риска и шанса
- •4.2.Динамические характеристики риска и шанса
- •Базовое движение характеристик
- •4.1.Временная динамика характеристик
- •5.2.Меры эффективности на основе шанса и риска
- •3. Методическое и алгоритмическое обеспечение управления рисками и шансами.
- •6.2.Аналитические методы управления шансами и рисками
- •Понятия и обобщенная схема управления
- •Принципы принятия решений по управлению шансами и рисками
- •Основные критерии выбора оптимальных решений по управлению шансами и рисками
- •7.2.Постановка задачи управления рисками и шансами
- •Интересо-ориентированные системы в контексте постановки задачи управления рисками
- •Общий вид модели управления
- •Формализация управления
- •Критерий принятия решений при управлении на основе функций полезности
- •Динамические модели управления
- •8.2.Алгоритмы управления рисками и шансами
- •Послесловие редактора
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Методы рационализации вычислений при расчете риска и шанса
При определении значений риска (например, при использовании меры риска на основе математического ожидании и/или дисперсии непрерывных случайных величин) приходится сталкиваться с достаточно сложными вычислительными задачами. В этом случае оправданным был бы переход от непрерывной к дискретной шкале значений, что, как правило, значительно сокращает вычислительные затраты. Кроме того, переход к дискретной шкале облегчает использования статистических методов оценки риска системы.
Также важно учитывать степень опасности какой-либо угрозы не в абсолютных, а в относительных показателях. Эту задачу можно решить с помощью нормировки используемых шкал меры риска (шанса). Рассмотрим вариант решения этих двух задач.
Пусть ущерб (шанс) распределен по закону и имеет область определения . Область значений в общем случае также выходит за пределы . Если областью определения ущерба является интервал , то необходимость в нормировке отпадает.
Итак, необходимо нормировать ущерб (пользу) [68] с плотностью вероятности , т.е. вписать его область определения и область значений в интервал . Для этого каким-либо путем (экспертным, по закону , с помощью задания квантили или др.) определяется значение – такое значение ущерба (пользы), при котором либо:
значение ущерба (пользы) большее или равное не допустимо для системы;
вероятность превышения значения очень мала.
После этого будем считать, что областью определения является интервал . Чтобы из интервала область определения привести к , необходимо найти распределение случайной величины , представленной следующим образом: , где – случайная величина ущерба; – .
Таким образом, плотность распределения будет иметь следующий вид:
, где .
При этом область значений остается прежней и выполняется условие: . Для уменьшения области значений (масштаба по ), необходимо разделить закон распределения на некоторый коэффициент, но при этом нарушится указанное выше условие (рис. 2.1).
y
<1
Рис. 2.1. Иллюстрация процесса нормировки величины ущерба (пользы) в системе
Формулы для расчета математического ожидания и дисперсии нормированного ущерба выглядят так: , .
Для решения первой задачи выполним следующие действия(рис. 2.2). Выбираем – число дискретов, – номер дискрета ( ).
Рис. 2.2. Дискретизация величины ущерба
Тогда, если принять во внимание, что , то можно записать:
.
Таким образом, при вычислении риска для непрерывных шкал ущерба можно переходить от интегралов к соответствующим суммам, причем для нормированных значений. Например, для использования математического ожидания в качестве меры риска выражение примет следующий вид:
,
где ,
Таким образом, получаем:
Вычисление значений плотности вероятности в точке является менее трудоемкой вычислительной задачей, чем взятие соответствующего интеграла.
Значение риска для меры, основанной на математическом ожидании, также является нормированным, поскольку:
Разумеется, данное методическое обеспечение полностью может быть перенесено в пространство шансов, где дискретизация также принесет свой положительный эффект.
Проиллюстрированные выше методы являются наиболее простыми средствами для упрощения вычислений при решении задачи оценки рисков (шансов) системы. Они позволяют значительно облегчить применения предлагаемых алгоритмов в инструментальном программном обеспечении. Кроме того, нормированная шкала ущерба (пользы) способствует упрощению перехода от количественной к качественной оценке и обратно.