Risk management on quality indicators..pdf В последнее время проблема управления информационным риском приобретаетроль одной из ключевых проблем информационной безопасности. Если в публикацияхи нормативных документах, изданных в период с начала 90-х до 2003 г., преобладаликонкретные технические задачи защиты информации, то начиная с принятия в 20052009гг. ряда гармонизированных международных стандартов актуальность управленияриском как элемента информационной безопасностью резко возросла. При рассмотренииданной проблемы возникает ряд задач, очевидно требующих комплексногорешения:1) определить, возможно (целесообразно) ли оценить информационный риск дляданного случая с учетом временных, технических и экономических ограничений;2) выбрать метод оценки информационного риска на основе данных о фоновомриске и доступных в заданной области методов;3) построить эффективный (оптимальный) алгоритм оценки информационногориска с использованием выбранного метода;4) показать, имеет ли смысл использование выбранного конкретного алгоритмаоценки информационного риска (с учетом его сложности и практической применимости);5) показать возможность воздействия на уровень риска по отдельным показателямили некоторой их совокупности, доказать эффективность (оптимальность)такого воздействия с учетом заданных ограничений.Таким образом, можно утверждать, что улучшающее воздействие на указаннуюпроблему возможно только при существовании такого объекта управления (и методикиуправления), который обладает следующими свойствами:1) пригоден к декомпозиции (стратификации, исследовании логики управления).Такое свойство в первую очередь ограничивает снизу количество исходной информацииоб объекте;2) пригоден к тестированию (то есть разработаны или возможны эффективныетестовые процедуры, оценивающие степень выполнения критичных функций);3) есть хотя бы один метод в границах принятых ограничений, позволяющий оценитьуровень риска;4) есть хотя бы один практически применимый алгоритм, позволяющий реализоватьданный метод (методы) оценки риска;5) возможно управляющее воздействие на объект управления с учетом принятыхранее ограничений.Можно также указать, что целесообразно выделять различные подходы к качественнойоценке уровня риска и управлению на ее основе:1) иерархический (структурный);2) логический (логико-функциональный);3) экспертный;4) аналитический;5) факторный.В рамках работы рассмотрены некоторые аспекты логического и факторного подходас частными решениями, использующими экспертные оценки (в том числе подходы,показанные в других работах автора [1, 2]). Показан способ расчета оптимальныхэкспертиз, планирования логики управления (на основе сценарного подхода),комплексной качественной оценки факторов, влияющих на уровень информационногориска, методика управления риском. Расчет оптимальных экспертиз рассматриваетсяна основе графоаналитического подхода и преследует цель определения такого способаоценки, учитывающего комплексные особенности анализируемой компьютернойсистемы, который при заданных начальных условиях имеет минимальные ресурсныезатраты. Этот подход имеет вспомогательное значение как элемент общей системыуправления риском, обеспечивающий пригодность к тестированию в рамках заданныхограничений. Планирование логики управления показано как модификация сценарногоподхода с использованием некоторых элементов стратификации. Комплекснаякачественная оценка факторов, влияющих на уровень риска, использует также элементыэкспертного подхода и представляет собой базовую модель видаR = Gfi,i Е { 1 ,.. ., N }. (1)Здесь R - интегральная оценка риска, размерность и качественная характеристикакоторой зависит от размерности исследуемых составляющих fi; N - количество исследуемыхсоставляющих; G = {*, + ,max,d} - множество операций взаимной связи,которое, кроме стандартных операций умножения, сложения и взятия максимума значенийдвух факторов, содержит операцию доопределения d. Модель имеет устраняемуюнеопределенность как элемент внутренней связи и некоторые компенсирующиеэлементы, зависящие от фонового и неучтенного риска. На примере задачи защитыпрограммного кода показана методика управления уровнем информационного риска,использующая помимо обозначенного базового подхода к качественной оценке и управлениюриском элементы аналитической оценки (к примеру, с использованием модификациимодели оценки надежности программного обеспечения Нельсона, определенияусловий возникновения неприемлемого риска [3]).В работе комплексно оценивается процедура управления информационным рискомна основе качественных показателей, при этом показаны элементы оценки оптимальностиряда внутренних процессов данной процедуры, что имеет практическую и теоретическуюценность в рамках рассматриваемой проблемы.

Скачать электронную версию публикации