Мельник Г.
(Чернівецький національний університет ім. Юрія Федьковича)
МОДЕЛЬ УПРАВЛІННЯ «ПРИЙНЯТНИМИ» ІНФОРМАЦІЙНИМИ РИЗИКАМИ
mehalyna@rambler.ru
Інформаційні
технології значно розширили можливості структур бізнесу. Але нові можливості
завжди зв’язані з новими ризиками, подібно тому, як у фінансовій сфері більш
висока прибутковість означає більш високий ступінь ризику. Чим складніша
інформаційна система, тим вище ризик здійснення стосовно неї різних загроз:
проникнення ззовні чи несанкціонований доступ зсередини компанії з метою
фінансового шахрайства або викриття комерційної таємниці. Таким чином,
застосування інформаційних технологій в бізнесі завжди супроводжується певним
набором ризиків.
Аналіз інформаційних
ризиків – це процес комплексної оцінки захищеності інформаційної системи з
переходом до кількісних або якісних показників. При цьому ризик – це, зокрема,
вірогідні збитки, які залежать від захищеності системи. Отже, з визначення
слідує, що на виході алгоритму аналізу ризику можна отримати або кількісну оцінку ризиків (ризик
вимірюється в грошах), або — якісну
(рівні ризику; зазвичай: високий, середній, низький). Після проведення
первинної оцінки ризиків отримані значення слід систематизувати за ступенем
важливості для виявлення низьких, середніх і високих рівнів ризику. Після
ранжування ризиків визначаються ті з них, що вимагають першочергової уваги.
Основним методом управління такими ризиками є зниження, інколи — передача.
Ризики середнього рангу можуть передаватися або знижуватися нарівні з високими
ризиками [1].
Ризики низького
рангу, як правило, приймаються. Ризики даної категорії вважаються свідомо
допустимими, – підприємство повинно змиритися з можливими наслідками. Зазвичай
це означає, що вартість контрзаходів значно перевищує можливі фінансові втрати
у випадку реалізації загрози, або ж організація не зможе підібрати належні
заходи та засоби безпеки. Як правило, «прийнятні» ризики виключаються з
подальшого аналізу. Такий підхід є допустимим, якщо він використовується в
інформаційних системах невеликих підприємств. Але при проектуванні системи
безпеки в корпоративних інформаційних системах (КІС) дану категорію ризику не
можна залишати без уваги. В умовах великих підприємств та корпорацій КІС є найбільш
ефективними системами, тому що забезпечують взаємодію масових процесів
швидкодіючими засобами сучасних інформаційних та телекомунікаційних технологій.
Чим складнішою є структура КІС, тим вищим є ризик
здійснення стосовно неї загроз: проникнення ззовні чи несанкціонований доступ
зсередини підприємства, зокрема з метою фінансового шахрайства або розкриття
комерційної таємниці, несанкціонована зміна чи знищення інформації тощо. Інформаційні
ризики всіх рангів в межах КІС повинні підлягати аналізу, попередньому
оцінюванню та вибору стратегії щодо зниження їх рівня.
В цій статті
пропонується теоретико-ігровий підхід до вибору стратегії управління «прийнятними»
інформаційними ризиками в КІС [3]. Розглянемо множину інформаційних
ризиків, що приймаються в КІС, де – експертним чином
визначена кількість таких ризиків. Згідно з положеннями теоретико-ігрового
підходу до моделювання вибору рішення щодо управління -тим ризиком (), покладемо:
1) – множина стратегій
управління (використання певних заходів безпеки) - тим ризиком ();
2) – множина попарно
несумісних станів середовища, що характеризують негативний вплив агентів
загрози на роботу КІС;
3) – функціонал
оцінювання (матриця), елемент якого є кількісною
оцінкою збитків у випадку вибору стратегії управління за реалізації стану
середовища (впливу)
Оскільки інформація
про дії агентів загрози відсутня і, крім того, його поведінка може
характеризуватися активною протидією заходам безпеки, суб’єкт управління
прийматиме рішення за обставин, що відносяться до шостої інформаційної ситуації
(). В полі рекомендовано [3] застосовувати
критерій Гурвіца, згідно з яким оптимальним є рішення
де
При виборі коефіцієнта l суб’єктом управління можуть бути використані
евристичні методи, пов’язані з його досвідом та знанням особливостей обрання
середовищем своїх станів з множини Q [2].
Таким чином суб’єкт прийняття рішень
(ризик-менеджер, наприклад) обирає оптимальні стратегії щодо управління
«прийнятними» інформаційними ризиками для всієї множини ризиків . Результатом представленої технології застосування ігрових
моделей для управління інформаційними ризиками в КІС є опис моделі вибору
стратегії для зниження рівня «прийнятних» ризиків та зменшення величини збитків
внаслідок їх реалізації. Теоретико-ігровий підхід до моделювання управління
інформаційними ризиками дозволяє формувати модель не тільки з можливістю
адаптації її до конкретної системи, але й з урахуванням переоцінки ризику
надалі. Подібна модель має властивості гнучкості та адаптивності, тонкого
налаштування у відповідності до вимог КІС.
Література
1.
Jack A. Jones.
An Introduction to FAIR. – Trustees of Norwich University, 2005.
2.
Вітлінський В.В.,
Великоіваненко Г.І. Ризикологія в економіці та підприємництві: Монографія.- В.:
КНЕУ, 2004.- 480 с.
3.
Економічний ризик:
ігрові моделі: Навч.посібник / В.В. Вітлінський, П.І. Верченко, А.В. Сігал,
Я.С. Наконечний; За ред.д-ра екон.наук, проф. В.В. Вітлінського. – К.: КНЕУ,
2002. – 446 с.