Оценка информационных рисков на основе экспертной информации

Описание методики оценки информационных рисков, включающей алгоритм оценки приемлемого риска, нечеткую когнитивную модель и алгоритм экспертной оценки текущих рисков. Определение множества точек, характеризующих текущий уровень информационных рисков.

Рубрика Экономико-математическое моделирование
Вид статья
Язык русский
Дата добавления 30.07.2017
Размер файла 64,7 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Оценка информационных рисков на основе экспертной информации (на примере ГБУЗ АО «Центр медицинской профилактики»)

О.Н. Выборнова, Н.В. Давидюк, К.Л. Кравченко

Астраханский государственный технический университет

Аннотация: В настоящее время особенно актуальными, в том числе для медицинских учреждений, становятся риски, связанные с нарушением свойств безопасности информации. В данной работе описана методика оценки информационных рисков, включающая в себя: алгоритм оценки приемлемого риска, нечеткую когнитивную модель и алгоритм экспертной оценки текущих рисков. Предложенная модель и алгоритм оценки текущих рисков позволяют на координатной плоскости «ущерб-вероятность» определить множество точек, характеризующих текущий уровень информационных рисков. Основное отличие описанной методики от уже существующих - это учет значимости актива для деятельности организации, что в конечном итоге позволит принять обоснованные управленческие решения. Проведена апробация предложенной методики в ГБУЗ АО «Центр медицинской профилактики»: построена кривая приемлемого риска, оценены текущие (актуальные) информационные риски. Результаты оценки в дальнейшем были использованы для выработки управленческих решений по снижению рисков до приемлемых значений.

Ключевые слова: оценка информационных рисков, приемлемый риск, текущий риск, нечеткая когнитивная модель, информационный актив, экспертная информация, центр медицинской профилактики.

Введение

информационный риск текущий алгоритм

Любая деятельность в той или иной мере подвержена рискам. Поскольку информация является ценным активом практически в каждой организации, особенно актуальными в настоящее время становятся риски, связанные с нарушением свойств безопасности информации (конфиденциальности, целостности, доступности и т.д.) в процессе ее обработки - информационные риски [1, 2].

Это утверждение справедливо и для медицинских учреждений, в которых информационные технологии применяются для регистрации сведений о пациентах, а также используются в процессах диагностики и лечения.

От уровня информационной безопасности в значительной степени зависит нормальное функционирование любой организации, а случае медицинских учреждений - часто даже жизнь пациента. Таким образом, необходима корректная оценка информационных рисков.

Исходя из этого, цель данной работы: предложить методику оценки информационных рисков в медицинских учреждениях и апробировать ее на примере ГБУЗ АО «Центр медицинской профилактики».

Описание методики оценки рисков

Оценка информационных рисков включает в себя: оценку приемлемого и текущих (актуальных) рисков и определение степени приемлемости текущих значений. В работе [3] был предложен алгоритм оценки приемлемого риска. Для определения величины приемлемого риска экспертами организации задается массив значений «ущерб-вероятность» {(Ui; )} (опорные точки для построения кривой приемлемого риска (КПР)). Затем полученные значения аппроксимируются непрерывной функцией вида

P* = a·exp (-b·(U - Uнз), (1)

где a и b - некоторые константы: a - соответствует вероятности, с которой допускается возникновение незначимого ущерба Uнз; b - определяет скорость падения допустимой вероятности принятия ущерба по мере приближения к критическому ущербу Uкр. После построения КПР суммарная величина приемлемого риска находится по формуле:

. (2)

Знаменатель в формуле (2) отражает площадь зоны толерантного риска (ЗТР) - предельного уровня риска, который организация может выдержать без значительного ущерба для своей финансовой и конкурентной позиции. Деление на площадь ЗТР позволяет нормировать степень риска по отношению к критическому значению. Более подробное описание данной методики представлено в работе [3].

Для оценки текущих информационных рисков предлагается построить нечеткую когнитивную модель (НКМ), представленную кортежем:

RSK = <G, QL, {бij}, R, Def>, (3)

где G - нечеткий когнитивный граф; QL = {Низкий (Н); Ниже среднего (НС); Средний (С); Выше среднего (ВС); Высокий (В)} - терм-множество лингвистических оценок значений параметров с нечетким классификатором {«Н» (0; 0; 0,15; 0,25); «НС» (0,15; 0,25; 0,35; 0,45); «С» (0,35; 0,45; 0,55; 0,65); «ВС» (0,55; 0,65; 0,75; 0,85); «В» (0,75; 0,85; 1; 1)}; {бij} - множество весов ребер графа G; R - множество правил агрегирования влияния различных концептов нижнего уровня на концепт верхнего уровня; Def (А) = (а2 + а3) / 2 - функция дефаззификации нечетких значений А (a1, a2, a3, a4), полученных в результате вычислений по НКМ, а2 и а3 - абсциссы верхнего основания трапеции. При этом граф G включает в себя следующие уровни: нижний, 7-й - негативные события (НС); 6-й - угрозы активам, порождаемые НС; 5-й - защитные меры (ЗМ); 4-й - атаки (угрозы, прошедшие через ЗМ); 3-й - риски для информационных активов (ИА) (вероятное ухудшение состояния активов организации); 2-й - риски для подпроцессов (ПП) основных процессов организации; 1-й - риски для основных процессов (ОП) организации (вероятное снижение качества выполнения ОП); 0-й - риски для организации в целом [4, 5].

Формирование НКМ включает в себя следующие шаги:

1. Выявление ОП обработки информации организации и присвоение им весов.

2. Выделение (при необходимости) ПП в ОП и присвоение им весов.

3. Выявление перечня активов и присвоение им весов.

При определении весов ОП учитывается их вклад в деятельность организации (например, доля прибыли, приходящаяся на бизнес-процесс). Для присвоения весов подпроцессам используется предложенный в работах [4, 6] метод нестрого ранжирования, который позволяет находить искомые оценки в виде обобщенных весов Фишберна. Таким образом, веса ОП и ПП являются нормированными.

Веса активов в подпроцессе определяются как чувствительность ПП к выходу из строя данного актива и могут принимать значения от 0 до 1.

Вычисление рисков включает в себя следующие шаги:

Определение потенциальных НС.

Определение угроз, которые могут быть порождены НС, оценивание их интенсивности Ii и вероятности возникновения . При этом под интенсивностью понимается потенциальный ущерб, который может быть вызван угрозой.

Оценивание эффективности воздействия защитных мер (ЗМ) на интенсивность и вероятность возникновения угрозы.

Вычисление ущерба от воздействия атак (угроз, прошедших через ЗМ) на активы (рисков активам).

Для каждого ПП на основе значений, полученных на шаге 4, ущерб вычисляется по формуле:

, (4)

где - i-й ущерб j-му концепту k-го уровня НКМ; - весовой коэффициент, отражающий влияние i-го ущерба концепта (k+1)-го уровня на j-й концепт k-го уровня НКМ; - ущерб, нанесенный i-му концепту (k+1)-го уровня НКМ, влияющему на j-й концепт k-го уровня; k ? {0; 1; 2}.

Аналогично (по формуле (4) при k = 1) определяются уровни снижения качества основных процессов. При этом на этапах 5 и 6 вероятности атак остаются неизменными (вычисленными на шаге 4).

Вычисляются риски организации в целом по формуле (4) при k = 0. В результате получается множество точек, характеризующих текущие показатели риска для организации в целом, где i = 1...N; N - количество значений возможного ущерба.

Суммарное значение текущего риска находится по формуле:

, (5)

где ДUi = Ui - Ui-1; точки отсортированы по возрастанию величины ущерба; U0 = Uнз. Деление на площадь ЗТР и последующий перевод полученных значений Rтек в вербальную оценку по шкале Харрингтона [7] позволяет классифицировать степень опасности текущих рисков.

При этом если хотя бы одна из точек, описывающих текущее состояние риска, находится выше КПР, необходимо принять меры по снижению риска до приемлемого уровня.

Апробация методики

Описанная выше методика была апробирована в государственном бюджетном учреждении здравоохранения Астраханской области «Центр медицинской профилактики» (ГБУЗ АО «ЦМП»).

Деятельность ГБУЗ АО «ЦМП» включают в себя следующие направления [8]:

формирование здорового образа жизни;

совершенствование медицинских мер профилактики неинфекционных заболеваний, организация и методическое сопровождение диспансеризации и профилактических медицинских осмотров населения Астраханской области;

лечебно-оздоровительную деятельность.

В организации были выделены три основных процесса: «Лечение», «Диагностика» и «Профилактика». В рамках этих ОП были рассмотрены процессы обработки информации, выявлены информационные активы, обеспечивающие их функционирование. Была построена кривая приемлемого риска и в соответствии с построенной НКМ оценены текущие (актуальные) информационные риски.

В качестве примера оценки текущих рисков рассмотрим информационный актив «Сервер регистратуры», участвующий в процессе обработки данных о пациентах в рамках всех трёх ОП организации.

Эксперты составили перечень НС, которые могут породить угрозы данному активу: перепады напряжения, заражение вредоносным программным обеспечением (ПО) и т.д. При этом заданным лингвистически значениям ущерба были поставлены в соответствие трапециевидные числа, а для перехода от вербальных оценок вероятностей к численным значениям использована шкала Харрингтона (ШХ) [7]. Вероятность возникновения НС «Заражение вредоносным ПО» была оценена экспертами нечетким числом (НЧ) «выше среднего». Согласно ШХ данному значению была поставлена в соответствие вероятность 0,71.

Указанное НС порождает: угрозу утраты данных на сервере регистратуры (угроза 1), интенсивность которой была оценена как «высокая» (ей поставлено в соответствие трапециевидное число (0,75; 0,85; 1,0; 1,0)), вероятность была оценена как «средняя» (согласно шкале Харрингтона - 0,51); угрозу утраты доступа к данным на сервере регистратуры (угроза 2) с интенсивностью - «высокая» и вероятностью - «выше среднего» (согласно ШХ - 0,71). С учетов вероятности возникновения НС вероятность возникновения указанных угроз составляет 0,36 (0,71•0,51) и 0,5 (0,71•0,71) соответственно. Аналогичные оценки были получены для других угроз, а также для других информационных активов (ИА), обеспечивающих процессы обработки информации в организации.

Против угрозы 1 не применено никаких защитных мер (ЗМ). Против угрозы 2 применена, в частности, защитная мера «Антивирусное ПО», эффективность которой по снижению вероятности угрозы 2 была оценена экспертами как «средняя» (0,51 по ШХ), т.е. применение данной ЗМ позволяет уменьшить вероятность утраты доступа к данным на сервере до величины 0,5 • (1 - 0,51) = 0,25. Эффективность рассматриваемой ЗМ по снижению интенсивности угрозы 2 была оценена как «выше среднего», т.е. применение этой ЗМ снижает ущерб от утраты доступа к данным на сервере до величины В • (1 - ВС) = НЧ (0,11; 0,21; 0,35; 0,45). Таким образом, риск активу «сервер регистратуры» в результате воздействия угрозы 1 оценивается ущербом, представленным трапециевидным числом (0,75; 0,85; 1,0; 1,0) и вероятностью 0,36; в результате воздействия угрозы 2 - ущербом (0,11; 0,21; 0,35; 0,45) и вероятностью 0,25. Эти значения были переданы на следующий уровень.

В результате, после аналогичных оценок влияния всех информационных активов, поддерживающих основные процессы обработки информации, было получено множество пар (трапециевидное НЧ; вероятность), характеризующих риски для организации. Далее была осуществлена дефаззификация полученных НЧ методом «центра тяжести» [9, 10]. Некоторые из полученных значений приведены на рисунке 1.

При этом, поскольку некоторые информационные активы задействованы в более чем одном ОП, риски для ИА повторно учитываются с учетом их весов в ОП (в этом случае каждой такой угрозе на координатной плоскости «ущерб - вероятность» соответствует более одной точки).

Рис. 1. - Результаты оценки текущих информационных рисков в ГБУЗ АО «Центр медицинской профилактики»

Точке 2 на рисунке 1 соответствует риск, связанный с угрозой 2. Точка лежит в зоне приемлемого риска. Точке 1 соответствует риск, связанный с угрозой 1. Точка лежит выше КПР - риск неприемлем.

Заключение

Таким образом, для оценки информационных рисков предложена методика, включающая в себя алгоритм определения приемлемого риска, нечеткую когнитивную модель и алгоритм оценки текущих (актуальных рисков) на основе экспертной информации.

В результате применения методики в ГБУЗ АО «ЦМП» выявлены актуальные риски. Полученные значения в дальнейшем были использованы для выработки управленческих решений по снижению рисков до приемлемых значений.

Литература

Абрамова Н. А. О проблеме рисков из-за человеческого фактора в экспертных методах и информационных технологиях. // Проблемы управления. 2007. №2 С. 11-21.

Why Information Risk is a Board-level Issue. URL: iaac.org.uk/media/1066/why-information-risk.pdf

Ажмухамедов И. М., Выборнова О. Н. Формализация понятий приемлемого и толерантного рисков. // Инженерный вестник Дона, 2015, № 3 URL: ivdon.ru/ru/magazine/archive/ n3y2015/3240.

Выборнова О. Н., Кравченко К. Л. Оценка рисков на основе экспертной информации. // Математические методы в технике и технологиях - ММТТ-29: сб. трудов XXIX Междунар. науч. конф.: в 12 т. Т. 4. / под общ. ред. А. А. Большакова. - Саратов: Саратов. гос. техн. ун-т; Санкт-Петербург: СПбГТИ(ТУ), СПбПУ, СПИИРАН; Самара: Самарск. гос. техн. ун-т, 2016. С. 105-109.

Выборнова О. Н., Ажмухамедов И. М. Нечеткая когнитивная модель оценки актуальных рисков // Математические методы в технике и технологиях - ММТТ-29: сб. трудов XXIX Междунар. науч. конф.: в 12 т. Т. 2. / под общ. ред. А. А. Большакова. - Саратов: Саратов. гос. техн. ун-т; Санкт-Петербург: СПбГТИ(ТУ), СПбПУ, СПИИРАН; Самара: Самарск. гос. техн. ун-т, 2016. С. 182-186.

Проталинский О. М., Ажмухамедов И. М. Системный анализ и моделирование слабо структурированных и плохо формализуемых процессов в социотехнических системах // Инженерный вестник Дона, 2012, №3, URL: ivdon.ru/ru/magazine/archive/n3y2012/916.

Harrington E.C. The desirable function // Industrial Quality Control. 1965. V.21. №10. pp. 494-498.

Сайт ГБУЗ АО «Центр медицинской профилактики». URL: гбуз-ао-цмп.рф

Ротштейн А. П., Штовба С. Д. Влияние методов деффазификации на скорость настройки нечеткой модели // Кибернетика и системный анализ. 2002. № 1. С. 28-35.

Kosko B. Fuzzy systems as universal approximators // IEEE Transactions on Computers. November 1994. vol. 43, No. 11. pp. 1329-1333.

Размещено на Allbest.ru

...

Подобные документы

  • Определение понятия страховых рисков. Изучение основ математического и компьютерного моделирования величины премии, размера страхового портфеля, доходов компании при перестраховании рисков, предела собственного удержания при перестраховании рисков.

    дипломная работа [1,7 M], добавлен 17.09.2014

  • Повышение надежности метода оценки клиентов для снижения рисков при выдаче кредита путем определения ключевых параметров, влияющих на принятие решения. Использование банком скоринговых моделей на различных этапах оценки клиентов, алгоритм apriori.

    дипломная работа [2,4 M], добавлен 25.07.2015

  • Достоинства когнитивного моделирования. Нечеткие когнитивные карты. Оценка информационных рисков. Определение силы связи между концептами. Выбор управляющих воздействий. Классификация источников угроз. Функциональная модель вуза. Статистические данные.

    презентация [1,3 M], добавлен 25.07.2013

  • Анализ возможности применения нейронных сетей в оценке вероятности наступления банкротства предприятия в современных условиях хозяйствования. Проблема рисков в экономике. Финансовые коэффициенты, применяемые в российских методиках оценки банкротства.

    курсовая работа [451,6 K], добавлен 14.08.2013

  • Динамика средней урожайности озимой пшеницы для областей Украины. Циклические изменения объемов урожая. Составление прогнозной модели урожайности зерновых. Методика оценки рисков зернопроизводства на основе связи между урожайностью и рентабельностью.

    контрольная работа [1,7 M], добавлен 18.07.2010

  • Методики решения аналитической задачи оценки функционирования жилищно-коммунального хозяйства региона. Математическая модель, метод и алгоритм решения задачи планирования вывоза бытовых отходов на заводы по их переработке. Ввод дополнительной информации.

    автореферат [755,5 K], добавлен 23.03.2009

  • Соотношение объектов риска и нежелательных событий. Характерные источники и факторы риска. Классификация и характеристика основных видов риска. Особенности возникновения индивидуального, технического, экологического, социального и экономического рисков.

    презентация [70,6 K], добавлен 28.05.2013

  • Усовершенствование теории Альтмана. Разработка оптимизационных подходов для минимизации рисков. Реализация программных комплексов для анализа финансового состояния при оценке кредитоспособности предприятия о возможности принятия решения выдавать кредита.

    дипломная работа [6,9 M], добавлен 16.02.2016

  • Главные преимущества и недостатки моделей конкурсных торгов. Основные предлагаемые подходы к дифференцированному применению методов конкурсных закупок. Матрица моделей торгов. Алгоритм "отсеивания" конкурсантов по критериям рисков с оценочными баллами.

    контрольная работа [2,0 M], добавлен 17.03.2012

  • Сравнительная характеристика эффективности и простоты применения зажиточных за Кондорсе правил голосования Копленда и Симпсона, законов Бордо и оптимальности по Парето с целью разработки автоматизированной программы для нахождения победителя выборов.

    курсовая работа [141,8 K], добавлен 20.08.2010

  • Виды инвестиционного риска. Понятия доходности и риска ценной бумаги. Однофакторная модель рынка капитала. Модель размещения средств с анализом риска убытков Ф. Фабоцци. Практическое применении модели Г. Марковица для оптимизации фондового портфеля.

    презентация [109,0 K], добавлен 04.01.2015

  • Понятие искусственного интеллекта, основные цели разработок в этой области. Что такое интеллектуальное поведение и его возможности. Структура интеллектуальных информационных систем, базы данных и базы знаний. Области применения экспертной системы.

    презентация [80,1 K], добавлен 07.06.2010

  • Модель оценки долгосрочных активов (Capital Asset Pricing Model, САРМ). Оценка доходности и риска на основе исторических данных. Выбор оптимального портфеля из рискованных активов. Риск и неопределенность денежных потоков. Расчет бета-коэффициента.

    презентация [104,1 K], добавлен 30.07.2013

  • Определение экономических рисков разными авторами. Основные способы анализа чувствительности модели. Суть и технология анализа чувствительности модели как способ восстановления финансового равновесия, принятия оптимального решения, недостатки метода.

    курсовая работа [205,0 K], добавлен 27.05.2009

  • Методы социально-экономического прогнозирования. Статистические и экспертные методы прогнозирования. Проблемы применения методов прогнозирования в условиях риска. Современные компьютерные технологии прогнозирования. Виды рисков и управление ими.

    реферат [42,4 K], добавлен 08.01.2009

  • Методы экспертных оценок - методы организации работы со специалистами-экспертами и анализа мнений экспертов. Экспертные оценки - индивидуальные и коллективные. Индивидуальные оценки - оценки одного специалиста. Экспертные оценки используются при выборе.

    реферат [57,9 K], добавлен 08.01.2009

  • Описание лингвистической переменной. Моделирование оценки показателей проекта. Построение функции принадлежности термов, используемых для лингвистической оценки переменной "рост мужчины". Нечеткое моделирование конкурентоспособности кинотеатров.

    контрольная работа [281,6 K], добавлен 09.07.2014

  • Освоение методики организации и проведения выборочного наблюдения; статистических методов и методов компьютерной обработки информации; методов оценки параметров генеральной совокупности на основе выборочных данных. Проверка статистических гипотез.

    лабораторная работа [258,1 K], добавлен 13.05.2010

  • Рынок ритейла в России. Страхование собственности от бизнес-рисков. Характеристика временных рядов остатков денежных средств и запасов товаров в торговых точках ритейловых компаний. Эконометрическое моделирование и прогнозирование страхового покрытия.

    дипломная работа [3,3 M], добавлен 03.07.2017

  • Понятие страхования и его виды и особенности. Понятие перестрахования и его особенности. Определение тарифной нетто-ставки и учет страховых рисков. Статистический анализ и показатели эффективности страхования. Определение тарифной брутто-ставки.

    курсовая работа [184,7 K], добавлен 08.03.2011

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.