- •Введение
- •1. Методы управления рисками
- •1.1. Общая характеристика процесса управления рисками
- •1.2. Качественные методики управления рисками
- •1.2.1. Методика cobra
- •1.2.2. Методика ra Software Tool
- •1.3. Количественные методики управления рисками
- •1.3.1. Метод cramm
- •1.3.2. Метод RiskWatch
- •1.3.3. Метод гриф
- •1.3.4. Метод octave
- •1.3.5. Метод mitre
- •2. Стандарты в области оценки и управления рисками
- •2.1. Гост р исо/мэк 17799-2005
- •2.2. Стандарт СоbiТ
- •2.3. Стандарт score
- •2.4. Стандарт SysTrust
- •2.5. Анализ руководства по анализу и управлению рисками nist 800-30 (сша)
- •3. Методы анализа рисков на основе экспертных оценок и аппарата теории нечетких множеств
- •3.1. Классификация методов получения субъективной вероятности
- •3.2. Методы получения субъективной вероятности
- •3.3. Методы оценок непрерывных распределений
- •3.4. Некоторые рекомендации
- •4. Меры риска систем на основе вероятностных параметров и характеристик ущерба
- •4.1. Аналитический подход к расчету параметров рисков для компонентов систем
- •4.2. Расчет параметров риска для компонент систем
- •4.3. Алгоритмическое обеспечение риск-анализа систем в диапазоне ущербов
- •4.4. Оценка рисков сложных систем на основе параметров рисков их компонентов
- •4.4. Интегральная оценка риска системы, ущерб которых имеет гамма-распределение
- •5. Исследование движения параметров риска при изменении параметров атаки
- •5.1. Построение матрицы чувствительности рисков системы
- •5.1.1. Анализ чувствительности модели информационного риска системы к изменению параметров риска
- •5.2. Разработка динамических моделей рисков систем при изменении параметров атак
- •5.2.1. Уравнение движения вероятностной модели информационного риска системы относительно параметров риска
- •5.2.2. Исследование влияния функций чувствительности информационного риска на его движение
- •Заключение
- •Библиографический список
- •394026 Воронеж, Московский просп., 14
1. Методы управления рисками
1.1. Общая характеристика процесса управления рисками
Управление риском можно охарактеризовать как совокупность методов, приемов и мероприятий, позволяющих в определенной степени прогнозировать наступление рисковых событий и принимать меры к исключению или снижению отрицательных последствий наступления таких событий [2].
Управление риском – это системный процесс принятия и выполнения управленческих решений, направленных на преодоление негативных событий [5].
Управление рисками должно быть интегрировано в общеорганизационный процесс, должно иметь свою стратегию, тактику, оперативную реализацию. Важно не только осуществлять управление рисками, но и периодически пересматривать мероприятия и средства такого управления.
Процесс управления риском имеет ряд основополагающих принципов [4]:
принцип максимизации, который предусматривает стремление к наиболее полному охвату возможных рисков, то есть этот принцип обуславливает сведение степени неопределенности до минимума;
принцип минимизации заключается в стремлении свести к минимуму спектр возможных рисков и степень их влияния на функционирование системы;
принцип адекватности реакции сводится к адекватному и быстрому реагированию на те изменения, которые происходят в случае реализации риска, то есть когда риск становится реальностью;
принцип принятия – только когда риск обоснован (оправдан), его можно принять.
Весь процесс управления рисками можно отобразить следующим образом (рис. 1.1):
Рис. 1.1. Процесс управления рисками
постановка целей управления рисками;
качественный анализ;
количественный анализ;
выбор методов воздействия на риск;
анализ эффективности принятых решений и корректировка целей управления рисками.
По отношению к риску, как вероятной неудаче, возможны следующие управляющие действия:
предупреждение,
снижение,
компенсация ущерба,
поглощение.
Предупреждением (устранением) называют исключение источника риска в результате целенаправленных действий субъекта риска.
Под снижением (контролем) риска понимаются меры, направленные на уменьшение риска. Снижение рисков достигается рациональным выбором мер и средств защиты.
Для компенсации ущерба используется механизм страхования риска.
Поглощением риска называют принятие его без дополнительных мер предупреждения, снижения или страхования.
Управление риском возможно [1]:
1) на этапе планирования или проектирования системы – введением дополнительных элементов и мер;
2) на этапе принятия решений – использованием соответствующих критериев оценки эффективности решения, например, критериев Вальда («рассчитывай на худшее»), Седвиджа («рассчитывай на лучшее») или критерия, при котором показатель риска ограничен по величине (при этом альтернативы, не удовлетворяющие ограничению на риск, не рассматриваются);
3) на этапе функционирования (эксплуатации) системы – посредством строгого соблюдения и контроля режимов эксплуатации.
Основной целью системы управления рисками является обеспечение успешного функционирования системы, находящейся в условиях риска и неопределенности.