2.3 Принятие решений в условиях риска и неопределенности

Из рис. 2.7 видно, что неопределенность порождает риск, иначе говоря, недостаточное знание может привести к определенным потерям. Исходя из критерия определенности информации, принятие решений может проводиться как в условиях полной определенности, так и полной неопределенности. В условиях вероятностной определенности будет пониматься риск.

Рис. 2.7 - Взаимосвязь неопределенности, риска и возможных потерь

В случае достоверной информации увеличивается оперативность разработки, уменьшаются затраты на выбор целесообразного варианта. Руководитель достаточно точно предполагает результат каждой из имеющихся альтернатив решений. Если решение принимается в условиях риска (измеримой определенности), то с помощью введения вероятностных оценок неопределенность уменьшается. Риск же заключается в возможных ошибках при оценке степени вероятности наступления события. Здесь полагаются не только на расчеты - используются опыт, интуиция, искусство руководителя. Сущность неопределенности проявляется в том, что при неограниченном количестве возможных будущих состояний оценка вероятности наступления каждого из них невозможна из-за отсутствия способов оценки. Критерий выбора решений в этих обстоятельствах определяется склонностями и субъективными оценками ЛПР (лица, принимающего решения). Задача решается уменьшением неопределенности путем сведения ее к условиям риска. Решающее слово - за руководителем, а также за экспертами, коллегами, представителями общественных органов. Важна при этом роль эвристических способностей ЛПР. Экспертами являются специалисты, выступающие в роли «советчиков» ЛПР, суждения и интуиция которых способны уменьшить сложность решаемых проблем.

Генерирование альтернативных решений требует от ЛПР и экспертов анализа и синтеза предшествующих элементов процесса разработки решений: проблемной ситуации, времени и ресурсов, целей и ограничений. Множество управленческих решений, в зависимости от новизны проблемной ситуации, можно разделить на стандартные, усовершенствованные и оригинальные решения. Если проблемная ситуация является типовой и неоднократно встречалась в прошлом, проще всего воспользоваться известным стандартным решением. Если ситуация отличается от типовой существенными конкретными особенностями, имеет смысл на основе стандартных решений попытаться получить усовершенствованное решение - чтобы в случае успеха пополнить базу типовых ситуаций и стандартных решений. Оригинальные решения разрабатываются, когда известные пути решения в принципе непригодны либо имеют низкую эффективность в плане достижения целей системы управления (СУ).

Для разработки оригинальных решений ЛПР наиболее часто используют экспертные методы. Число сгенерированных альтернатив на начальном этапе не ограничивается, однако затем каждый вариант решения подлежит анализу с позиции всех факторов, определяющих возможность его осуществления. Полнота множества решений может быть достигнута путем генерирования промежуточных вариантов решений между двумя крайними - идеальным и наихудшим. Идеальный (как правило, нереализуемый) вариант характеризуется достижением цели СУ любой ценой, наихудший вариант может характеризоваться бездействием (отсутствием) СУ. После формирования альтернативных решений приступают к выявлению наиболее предпочтительного из них. Выделим четыре типовых способа организации совместной работы ЛПР и экспертов, представляющих собой основу для рассмотрения конкретных вопросов, связанных с риском принятия управленческих решений.

1. Метод «мозговой штурм», предложенный А. Осборном (США) в 40-х годах ХХ века - универсальный метод, который до сих пор с успехом применяется в научной, технической, административной и другой деятельности для поиска как нестандартных научно-технических решений, так и новых бизнес-идей. Его сущность состоит в том, что при принятии коллективного решения решаются две основные задачи: генерирование новых идей в отношении возможных вариантов развития процесса и анализ и оценка выдвинутых идей. Выбираются группы лиц для генерации идей и группы лиц для оценки идей, происходит ознакомление их с правилами. Формулируются проблемы и представляются в форме, наиболее удобной для всех участников. И, в конечном итоге, происходит заключительное рассмотрение каждой выдвинутой идеи группой экспертов в данной области. Разновидностями мозгового штурма являются обратная мозговая атака - отличающаяся более полным и подробным анализом недостатков системы и СУ, и теневая мозговая атака - позволяющая вовлечь в процесс коллективного творчества всех желающих в нем участвовать.

2. Метод конференции идей («круглый стол»), авторы В. Гильде, К.Д. Штарке (ГДР), 1970 г. Суть метода - это хорошо организованное совещание, где от участников требуется лишь обсуждение и поиск оптимального решения проблемы. Процессом управляет председатель, который обеспечивает продвижение к цели, поддерживая творческую обстановку в коллективе. Участники вправе предлагать любые идеи, однако они не отвечают за выбор решения и не участвуют в его реализации, поскольку все выдвинутые идеи поступают затем к специалистам и экспертам. По результативности метод считается несколько выше, чем мозговой штурм.

3. Метод разработки сценариев применяется, если решение проблемы призвано определить будущее развитие событий. Альтернативами здесь являются различные последовательности действий и вытекающие из них события, которые могут произойти в исследуемой системе. Эти последовательности имеют общее начало (настоящее состояние системы), но далее начинают различаться между собой. Для создания сценариев - гипотетических альтернативных описаний того, что может произойти в дальнейшем, необходим эвристический опыт. Рекомендуется создавать «верхний» и «нижний» сценарии - два крайних случая, между которыми, скорее всего, будет находиться будущее, что позволяет выявить и частично скомпенсировать неопределенности, связанные с предсказанием поведения системы. В сценарий может быть включен виртуальный «псевдозлоумышленник», преследующий противоположные интересы. Этапы создания сценария:

1. формулировка вопроса;

2. определение сфер влияния;

3. установление показателей будущего развития критически важных факторов среды организации;

4. формирование и отбор согласующихся наборов предположений;

5. сопоставление намеченных показателей будущего состояния сфер влияния с предположениями об их развитии;

6. введение в анализ разрушительных (непредвиденных) событий;

7. установление последствий;

8. принятие мер.

Метод разработки сценария можно увидеть на модели «воронка» сценариев (рис. 2.8).

Рис. 2.8 - «Воронка» сценариев

4. К широко распространенным методам экспертной оценки относится метод Дельфи, разработанный О. Хелмером, Т. Гордоном и Н. Далкеем (США) в 50-е годы прошлого века, который представляет собой программу последовательных индивидуальных опросов, проводимых в форме анкетирования. Экспертам предлагается ответить на ряд вопросов и аргументировать свои ответы, причем общение с кем-либо кроме организаторов экспертизы запрещено. Экспертам сообщаются результаты первого тура опроса и во втором туре они или аргументируют, или изменяют свои оценки с объяснением причин корректировки - затем эти данные вновь сообщаются экспертам и т.д. Обычно после 3-4 туров в результате такой итерации оценки стабилизируются и дальнейший опрос прекращается.

Среди типовых ситуаций, с которыми сталкиваются ЛПР, особое место занимает ситуация риска - необходимостью выбора альтернативы (причем отказ от выбора также является альтернативой), а также возможностью оценить последствия выбираемых альтернатив. Таким образом, ситуация риска допускает возможность количественно или качественно определить степень вероятности и последствия конкретных вариантов реализации каждого выбранного решения.

Простой мерой риска управленческого решения или операции можно считать среднеквадратичное отклонение (СКО) - квадратный корень из дисперсии показателя эффективности принятого решения или предпринятой операции при управлении системы. Это вызвано тем, что риск обусловлен неопределенностью исхода конкретных решений или операций - поэтому, чем меньше дисперсия их результатов, тем более они предсказуемы и тем меньше риск. В бизнес-структурах показателем эффективности решений и операций обычно служит прибыль, поэтому речь идет об СКО предполагаемой прибыли. Аналогичными критериями оценки принимаемых решений в условиях риска могут быть также ожидаемое значение результата, ожидаемое значение результата в сочетании с минимумом его дисперсии, известный предельный уровень результата и др.

Обобщенный критерий риска выражается так:

, (2.1)

где - это значение риска,

- вероятность наступления события ,

- «стоимость» события для системы.

Он является основой для формирования более сложных критериев, используемых при количественной оценке индивидуальных и коллективных рисков [11, с. 5]. Дерево решений в условиях риска применяется, когда одна совокупность состояний системы и среды порождает другое состояние. Каждая ветвь дерева отображает цепочку решений, вытекающих одно из другого и соответствующих событиям, происходящим друг за другом с некоторой вероятностью. В целом дерево решений иллюстрирует процесс решения задачи и отражает альтернативные варианты развития событий, состояния среды, соответствующие им вероятности и выигрыши для разных сочетаний альтернатив и состояний среды.

Процесс принятия решения с помощью дерева решений реализуется в виде следующих пяти основных этапов [11, с. 31].

1. Формулировка задачи - сбор информации о системе, составление перечня событий, которые могут произойти в системе, определение факторов, способных повлиять на них.

2. Построение схемы дерева решений - процедура, оформляющая сведения о системе, альтернативных вариантах решений и связанных с ними вероятностях в графическом виде, что способствует наглядности хода решения задачи.

3. Оценка вероятностей событий и состояний системы - сопоставление шансов возникновения каждого события в рассматриваемых цепочках (соответствующие вероятности определяются либо по имеющейся статистике, либо экспертным путем).

4. Определение выигрышей (или проигрышей - как выигрышей со знаком «минус») для каждой комбинации альтернативных решений и действий, состояний системы и внешней среды.

5. Решение задачи путем расчета ожидаемого значения показателя, оценивающего эффективность функционирования системы.

Пример построения фрагмента дерева решений c двумя типами вершин: одна решающая и двух случайных представлен на рис. 2.9. Схема соответствует n вариантам решений (n-oе решение - бездействие СУ) и двум возможным ситуациям: благоприятной и неблагоприятной. Каждой случайной вершине соответствуют вероятности и возникновения, соответственно, благоприятной и неблагоприятной ситуации, а также значения выигрышей … , соответствующие каждой возможной комбинации «вариант-ситуация». Достоверная информация о том или ином варианте развития событий в системе существенно упрощает дерево решений: поскольку вместо значений вероятностей в соответствующей ветви будут фигурировать единицы и нули. Ценность информации при этом может быть вычислена как разность между выигрышем в условиях определенности и выигрышем в условиях риска. При анализе процессов принятия решений деревья решений могут быть построены из большого числа фрагментов с установлением «контрольных рубежей» принятия промежуточных решений и отсечением ветвей, наименее благоприятных по сравнению с другими.

Рис. 2.9 - Фрагмент дерева решений

Подводя итоги, необходимо сказать, что для проектирования эффективной СЗ (системы защиты) КИ необходим полный анализ инфокоммуникационной системы (ИКС) корпорации, в состав которой входят оборудование и аппаратура, предназначенные для обмена, обработки и хранения КИ, а также наиболее непредсказуемые элементы для системы обеспечения КБ - люди (персонал, в том числе ЛПР, партнеры и клиенты корпорации). В первую очередь нужно выделить все активы, подлежащие защите и определить, какие угрозы могут быть реализованы по отношению к ним. Другими словами нужно проанализировать риски.

Риски ИБ тесно связаны с бизнес-рисками - любая реализуемая угроза ИБ может привести к определенным последствиям, начиная с мелких потерь до полного краха бизнеса. Для того чтобы это не допустить, существует риск-менеджмент, позволяющий в той или иной степени минимизировать последствия неблагоприятных событий. В условиях риска можно и нужно качественно и количественно оценивать степень вероятности наступления события, что позволит принять правильные решения по отношению к построению СЗ КИ и тем самым обезопасить, на сколько это возможно, деятельность бизнес-корпорации.



3. Применение новых информационных технологий при обеспечении информационной безопасности

3.1 Принципы проектирования системы обеспечения информационной безопасности

Анализируя угрозы корпоративной безопасности, руководству корпорации и службе безопасности необходимо уделять основное внимание планам и действиям конкурентов, направленным на получение НСД к КИ и другому имуществу (в том числе интеллектуальной собственности), которые принадлежат корпорации. Наряду с изучением данных, относящейся к конкретным юридическим и физическим лицам, при этом целесообразно создание некоего обобщенного «портрета» потенциального противника (также с применением новых информационных технологий) путем моделирования совокупности его типовых признаков (интересов, связей, возможностей и т.п.) в виде модели вероятного злоумышленника. Злоумышленник стремится приобрести и использовать новейшую аппаратуру отечественного и зарубежного производства. Достижения в области космических исследований, радиоэлектронной, вычислительной и рентгеновской техники позволяют создавать высокоэффективные средства для НСД к КИ и другому имуществу корпорации. В итоге наиболее вероятным и опасным злоумышленником для корпорации оказывается служба коммерческой разведки (КР) недобросовестного конкурента.

Располагая моделью злоумышленника, служба безопасности корпорации может приступить к проектированию системы обеспечения корпоративной безопасности (СО КБ). Наиболее уязвимой подсистемой будет являться ИКС корпорации. Разработка комплексного плана мероприятий (технологических, организационных, юридических, экономических) по защите ИКС и проектирование СО КБ производятся в соответствии с концепцией приемлемого риска. Особенностью подхода при этом является использование качественных критериев и характеристик риска, включая оценку влияния на него ЛПР - как в структуре корпорации, так и у конкурентов.

Современная СО КБ относится к иерархическим системам, при проектировании которых может быть использован метод статистического имитационного моделирования (СИМ) [11, с. 46]. Для эффективного применения критерия риска проектировщику СО КБ необходимо задавать его в понятном компьютеру формализованном виде. Между ЛПР в составе корпорации-владельца ИКС и ее конкурентов возникает ситуация игры с противоположными интересами, в рамках которой используются как вполне законные, так и подчас нечестные (административные, коррупционные, криминальные и т.п.) действия. Рассмотрим принципы моделирования и прогнозирования риска в интересах создания СО КБ на примере проектирования СЗ КИ (или СО

ИБ) в современной ИКС.

Построение и экспериментальная проверка модели, то есть математическое описание связей между реальными элементами рассматриваемой системы основаны на одновременном использовании информации двух типов: априорной информации о природе исследуемых связей и исходных статических данных, характеризующих процесс и результат функционирования системы. При этом используется один из подходов: либо первый, либо комбинация обоих.

Опыт применения метода СИМ позволяет разделить объекты, относящиеся к СЗ КИ, на системы двух видов: системы I рода - это объекты техногенного происхождения, состав и структура которых в принципе известны, поэтому исследованию с помощью СИМ подлежат их реакции на воздействия внешней среды в интересах управления и обеспечения необходимой эффективности их функционирования; системы II рода - это объекты, происхождение, состав и структура которых известны «в общих чертах», поэтому исследованию с помощью СИМ подлежат и сами реальные объекты, и возможность управлять ими в интересах повышения эффективности их функционирования.

Объекты в составе СЗ КИ преимущественно являются системами I рода, однако в ряде случаев имеют признаки систем II рода. В обоих случаях целью СИМ является создание моделей, отражающих кумулятивные (минимальные по объему и максимальные по содержательности) данные о характеристиках и свойствах объектов (компонентов СО КБ), необходимые и достаточные для проектирования СЗ КИ. В схематичном виде это утверждение иллюстрирует рис. 3.1.

Рис. 3.1 - Определение принципов СИМ при проектировании СЗ КИ

Системный подход к проектированию СЗ КИ имеет в виду ряд особенностей, к числу которых относятся:

§ множество каналов утечки КИ, поскольку каждый потенциально возможный канал утечки необходимо рассматривать как реальную опасность, которую СЗ КИ должна ликвидировать (снизить до приемлемого по технико-экономическим соображениям уровня);

§ множество сценариев возможных действий злоумышленника, на каждый из которых СЗ КИ призвана реагировать с требуемой эффективностью (надежностью и оперативностью);

§ нежелательность «перемещения» процедур комплексного тестирования и всесторонней проверки СЗ КИ, а тем более ее практического перемещения из виртуальной среды в реальную: как по технико-экономическим, так и по иным очевидным причинам;

§ невозможность использовать критерии оценки эффективности СЗ КИ, связанные с объективным абсолютным знанием, и замена их субъективными оценками, основанными на сравнительном представлении или полученными с помощью метода аналогий;

§ необходимость поиска превентивных решений, учитывающих прогресс в области НСД к КИ и противодействия СЗ КИ, креативность и повышение качества профессиональной подготовки потенциального злоумышленника;

§ поиск решений, не являющихся оптимальными, но приемлемыми в практическом плане, при ограничениях, вводимых по критерию «затраты-эффективность», с возможностью усиления первоначально принятых решений.

Все это приводит к представлению СЗ КИ в виде сложной системы организационно-технического типа, где главными являются ЛПР (менеджеры, эксперты), от действий которых во многом зависит эффективность функционирования данной системы.

Примем априори, что ценность (рисковая стоимость) КИ однозначно определяет представляющий интерес для нас параметр в формуле риска (2.1). В соответствии с принципами теории систем и системного анализа, структурируем бизнес-процесс, связанный с обеспечением ИБ объекта (рис. 3.2). Злоумышленником здесь является субъект , осуществляющий воздействие на КИ (прецедент 1) с целью перевода ее в обесцененное состояние (ОКИ) - прецедент 2. Будем считать, что перевод КИ в ОКИ может произвести двумя способами: путем раскрытия (перехват и расшифровка) КИ и ее компрометации (искажение, разрушение).

Рис. 3.2 - Схема бизнес-процесса обеспечения информационной безопасности объекта

Защиту КИ осуществляет субъект (противник и владелец КИ), в распоряжении которого три основных способа: воздействие на злоумышленника (прецедент 3), воздействие на объект с целью реализации мероприятий по защите КИ (прецедент 4) и воздействие на ОКИ (прецедент 5), результатом чего является восстановление КИ из ОКИ (прецедент 6). При этом нужно учитывать и возможность воздействия на с целью вывода СЗ КИ на объекте из строя (прецедент 7).

Для формализации стоимости КИ нужно связать между собой ее ценность и степень важности, а также необходимые и доступные для время воздействия и объем КИ. Если считать, что КИ является аналогом дорогостоящего и скоропортящегося продукта, ее рисковую стоимость можно задать в виде экспоненциальной модели:

(3.1)

где - множитель масштаба, определяемый категорией КИ;

- объем КИ, подверженный воздействию субъекта (доступный для злоумышленника);

- объем КИ, необходимый для эффективного перевода КИ в ОКИ;

- время воздействия на КИ;

- время, необходимое для эффективного перевода КИ в ОКИ.

Из (3.1) видно, например, что при << или >> стоимость > 0, так как рисковать субъекту и при невозможности перевести КИ в ОКИ, и ради устаревшей за длительное время КИ, смысла нет. Рисковая стоимость в (3.1) отличается от ценности КИ для ее владельца , которая определяется значением в денежном выражении или в других условных единицах (баллах) и в данном случае совпадает с ней только при / > ? и / > 0. Значения и связаны с кумулятивностью КИ, под которой по-прежнему понимается свойство минимального объема данных давать максимальную информацию о состоянии объекта.

План, по которому должен работать проектировщик системы защиты с учетом рисков, приведен на рис. 3.3. Бизнес-модель информационной безопасности позволяет специалистам по безопасности рассмотреть безопасность с точки зрения системы, создания среды, где безопасность может осуществляться комплексно, учитывая фактические риски.

Рис. 3.3 - Основа для проектирования системы обеспечения информационной безопасности с учетом рисков

3.2 Методы исследования и моделирования риска

При исследовании рисков принято руководствоваться методами качественного и количественного анализа. Качественный анализ риска в инновационной деятельности предприятия позволяет выявить источники и причины риска. Результаты качественного анализа, в свою очередь, служат исходной базой для проведения количественного анализа (статистические, аналитические, логико-вероятностные, методы аналогий). Применимость средств, используемых для оценки рисков ИБ, указана в табл. 5 (Приложение Ж).

Также существуют нетрадиционные методы анализа рисков, такие как системы искусственного интеллекта (нейронные сети) и моделирование на основе аппарата нечеткой логики.

Рассмотрим эвристические методы анализа рисков (рис. 3.4), которые в современных условиях применяются достаточно часто. Эвристические методы основаны на логических правилах и приемах, генерируемых мышлением. Вероятностно-эвристические методы используются при недостатке статистических данных и в случае редких событий, когда возможности применения точных математических методов ограничены из-за отсутствия достаточной статистической информации о показателях надежности и технических характеристиках систем, а также из-за отсутствия надежных математических моделей, описывающих реальное состояние системы. Вероятностно-эвристические методы основываются на использовании субъективных вероятностей, получаемых с помощью экспертного оценивания.

Выделяют два уровня использования экспертных оценок: качественный и количественный. На качественном уровне определяются возможные сценарии развития опасной ситуации из-за отказа системы, выбор окончательного варианта решения и др. Точность количественных оценок зависит от научной квалификации экспертов, их способностей оценивать те или иные пути развития ситуации. Поэтому при проведении экспертных опросов необходимо использовать методы: согласования групповых решений на основе коэффициентов конкордации (множественный коэффициент корреляции); построения обобщенных ранжировок с использованием метода парных сравнений и другие.

Рис. 3.4 - Эвристические методы определения рисков

Метод Монте-Карло требует большого числа испытаний, поэтому его часто называют методом статистических испытаний или методом статистического моделирования в связи с применением ЭВМ для проведения испытаний. Метод позволяет найти значение случайной величины риска с определенной погрешностью с помощью ЭВМ, что также называется компьютерным разыгрыванием. Он проходит в несколько этапов. Первым этапом является моделирование на ЭВМ псевдослучайных последовательностей с заданной корреляцией и законом распределения вероятностей, имитирующих на ЭВМ случайные значения параметров при каждом испытании. Далее полученные числовые последовательности используются в имитационных математических моделях. В конце происходит статистическая обработка результатов моделирования. Более подробно метод описан на рис. 3.5.

Рис. 3.5 - Моделирование риска методом Монте-Карло

Возможность и целесообразность учитывать с помощью метода СИМ динамику работы системы не представляются очевидными, поэтому здесь необходим предварительный анализ перспектив построения динамических моделей. Вообще говоря, необходимость в динамическом моделировании может возникнуть по самым разным причинам, например, если нужно учесть особенности режима функционирования ЭВМ при решении задач, связанных с утечкой КИ [11, с. 81].

Рассмотрим принципы моделирования индивидуального риска. Напомним, что приемлемый риск призван минимизировать суммарные потери (затраты) для рассматриваемой организации, связанные с достижением поставленной цели. Пусть субъект , принадлежащий совокупности n [1; N], рассматривает K вариантов своих действий (сценариев развития событий), направленных на достижение указанной цели как некоего важного для него позитивного эффекта (выигрыша) , который может быть им лично достигнут с вероятностью при затратах, равных , которые могут быть лично им обеспечены с вероятностью . Если субъектом является злоумышленник, для него выигрыш , то есть определяется рисковой стоимостью КИ. При этом полагает, что k-ый сценарий приводит к достижению цели с вероятностью , которая характеризует некие объективные обстоятельства. Тогда в качестве критерия эффективности k-го сценария им может быть выбрана расчетная величина

(3.2)

где k [1; K], которая и является в данном случае прогнозируемой и оправданной (по его мнению) мерой риска - условимся именовать ее критерием оправданности риска (КОР) [11, с. 54]. Анализ КОР (3.2) начнем с критического указания на то, что внешняя вероятность здесь очевидным образом зависит от : поскольку пока субъект не решится на действия по переводу КИ в обесцененную КИ и не пойдет для этого на затраты , получение выигрыша для него весьма маловероятно, тогда как по мере увеличения эта вероятность должна возрастать.

Зависимость от определим также в виде экспоненциальной функции

(3.3)

где - затраты, связанные с реализацией основного (базового) сценария, условно принятого за «единицу отсчета». Заметим, что из (3.3) следует ? 0 при << или << 1; и ? 1 при >> и ? 1. Подставим (3.3) в (3.2) и сформируем индивидуальный КОР в окончательном виде

(3.4)

Схема выбора оптимального (наилучшего из рассматриваемых вариантов) сценария по критерию = MAX () показана на рис. 3.6 в наиболее важном для практики случае , который соответствует решимости и потенциальной возможности обеспечить своими силами достижение поставленной цели.

Рис. 3.6 - Выбор оптимального сценария действий субъекта по критерию

Если считать, что базовый сценарий приводит к выигрышу , достаточному для удовлетворения запросов субъекта, то задача может быть поставлена следующим образом: во-первых, существует ли сценарий, при котором в (3.4) достигается оптимум ; во-вторых, какими в данном случае должны быть затраты по сравнению с . Максимум КОР (3.4) будет соответствовать условию

(3.5)

которое преобразуется к виду

(3.6)

Если теперь в разложении логарифма оставить только первый член, результат получим в самом простом приближенном виде

(3.7)

Таким образом, во-первых, искомый оптимум существует (в частном случае он может соответствовать и базовому сценарию), во-вторых, при наиболее целесообразном сценарии затраты должны составлять примерно половину прогнозируемого выигрыша. Подставив (3.7) в (3.4), получаем, что при этом

(3.8)

где - вероятность достижения выигрыша при оптимальном сценарии. Это означает, в частности, что если планирует мероприятия, связанные с раскрытием или компрометацией КИ, он должен быть уверен, что ожидаемый выигрыш (в денежном выражении - выгода, прибыль) как минимум вдвое будет превышать расходы, связанные с реализацией оптимального (наилучшего, но возможно и наиболее дорогостоящего) сценария.

Предпринимая действия по переводу КИ в обесцененную КИ, субъект обычно рассчитывает остаться безнаказанным (за исключением варианта «камикадзе», когда ради выигрыша он не только идет на повышенный риск, но вообще снимает ограничения на безопасность для себя). Поэтому должен учитывать, что с увеличением продолжительности его действий в рамках k-го сценария (см. прецеденты 1-2 на рис. 3.2) по ходу игры с противоположными интересами возрастает вероятность реакции на это со стороны его противника (в лучшем для случае - это прецеденты 4-6, в худшем - прецедент 3).

Таким образом, с увеличением времени , во-первых, возрастает объем КИ : если считать, что функция () линейна, то в (3.1) , где - параметр, учитывающий характер зависимости от (в реальных условиях зависит от кумулятивности КИ и от эффективности оборудования, с помощью которого переводит КИ в ОКИ). Тогда КОР (3.4) будет выглядеть как

(3.9)

Во-вторых, как уже было сказано, также зависит от продолжительности действий . Будем считать, что в рамках модели (3.1) также где - аргумент , отражающий зависимость данной вероятности от . По физическому смыслу - это уровень сигнала тревоги для , который в разных конкретных задачах может быть реализован разными способами (как напряжение, ток, напряженность поля и др. в системе защиты КИ). Параметр зависит от чувствительности аппаратуры , «отвечающей» за обнаружение действий ; значение определяется нормативным (например, предельно-допустимым) значением . Вероятность необнаружения действий противником при этом равна

Возможны две схемы определения КОР с учетом специфики процедуры обнаружения. Первая схема не учитывает возможность каких-либо «карательных» воздействий со стороны на (прецедент 7 на рис. 3.2 отсутствует), когда

(3.10)

Вторая схема учитывает, что противником при > может быть нанесен ущерб в виде штрафа или ущерба от иных действенных санкций:

(3.11)

где - максимально-возможная величина штрафа или ущерба.

Приведенные соотношения являются достаточно общими, поэтому их можно применять для решения целого ряда других задач, связанных с оценкой КОР в рамках игры с противоположными интересами, возникающей в организационно-технических системах - например, при анализе рыночной конкурентоспособности корпораций-владельцев ИКС, оценке экологической безопасности ИКС.

Пример расчета индивидуального риска приведен в Приложении З.

Смоделируем коллективный риск в системе. Рассмотрим коллектив из N субъектов , в конкурентной борьбе преследующих цель в виде выигрыша . Считается, что, в соответствии со схемой рис. 3.5, каждый из них выбрал сценарий собственных действий и согласен на приемлемые для него затраты , сумма которых для совокупности N субъектов неизменна и равна . Тогда при моделировании зависимости от необходимо учитывать, что наибольшие шансы достичь цели будут у субъекта с максимумом затрат . Это можно сделать, например, определив внешнюю вероятность (3.3) как

. (3.12)

Из (3.12) следует, что рост затрат отдельного субъекта , во-первых, увеличивает его личные шансы, поскольку для него растет, а разность уменьшается, и в итоге существенно возрастает; во-вторых, снижает шансы остальных субъектов, поскольку для каждого из них возрастает нежелательная разность , уменьшающая для них значения вероятности (поскольку бюджет суммарных затрат ).

Рассмотрим более сложный в теоретическом отношении случай определения индивидуального и коллективного риска при коалиционной игре, сочетающей не противоположные и противоположные интересы N участников некоего корпоративного проекта, нацеленного на получение общего выигрыша .

Иерархическая схема формирования КОР Q, представленная на рис. 3.7, который является прогнозируемой количественной мерой оправданности коллективного риска, соответствует развернутой записи формулы следующего вида:

, (3.13)

где - индивидуальный риск для n-го участника проекта, n [1; N];

- коллективный риск для участников проекта из m-го кластера, m [1; M] и ; - «позитивная часть» риска проекта в виде возможного выигрыша для всех N участников;

- «негативная часть» риска проекта в виде возможного проигрыша (потери ресурсов, невозврата затрат и т.п.) для всех N участников;

- вероятность успеха проекта: достижения выигрыша за счет внешних факторов;

- вероятность достижения выигрыша за счет внутренних факторов;

- вероятность успешного объединения ресурсов всех N участников проекта;

- вероятностный «вес» коллективного вклада в проект для участников из m-го кластера;

- вероятностный «вес» вклада для n-го участника проекта.

Анализ (3.13) позволяет определить правила работы с риском RS, соответствующие принципам теории вероятностей. Во-первых, процедура определения коллективного риска имеет ввиду не просто суммирование индивидуальных рисков (даже при условии их взаимной независимости), а сложение с некоторым (в общем случае вероятностным) весом. Во-вторых, указанные весовые коэффициенты могут иметь смысл условных вероятностей, если при формировании риска проекта RS речь идет о зависимых друг от друга случайных событиях.

Рис. 3.7 - Иерархическая схема формирования КОР Q

Приведем пример использования схемы на рис. 3.7 и формулы (3.13) для решения практических задач. Пусть, например, экономический проект увенчался успехом (частичным или полным) и выигрыш предстоит разделить в виде вознаграждения между участниками проекта в ситуации, когда предварительной договоренности на этот счет не существует. Если за основу распределения принять вклады участников в «негативную часть» риск проекта : как коллективные риски в пределах каждого из M кластеров , так и индивидуальные риски , то для m-го кластера получаем вознаграждение , а для n-го участника, аналогичным образом, , поскольку , а риск для m-го кластера .

При проектировании системы защиты КИ следует учитывать, что КОР в данном случае можно конкретизировать как

, (3.14)

где - вероятность прерывания N-элементной системой защиты действий злоумышленника, которая также может быть записана в более конкретном виде

, (3.15)

где - вероятность того, что n-ный элемент системы защиты не обнаружит злоумышленника; n[1; N]. Прогноз эффективности функционирования разных вариантов реализации системы защиты по критерию риска ведется при этом согласно схеме рис. 3.6, которую дополняют анализ параметров и расчета стоимости элементов системы.

Эффективность контрмеры также можно вычислить по формуле

, (3.16)

где ? риск с учетом принятой контрмеры,

? риск без нее.

3.3 Критерии оценки безопасности и ущерба

Конкретизируем определение безопасности объекта применительно к задачам и целям СЗ КИ. Согласно рис. 3.6-3.7, субъекту , решающему при k-ом сценарии задачу достижения выигрыша , в рамках игры с противоположными интересами противостоит его противник , решающий противоположную задачу (субъект рискует, - защищается, обеспечивая безопасность КИ). Успех и обратный результат (успех противника ) должны представлять собой полную группу событий. Тогда в качестве критерия эффективности противодействия k-му сценарию может быть выбрана расчетная величина

(3.17)

где - вероятность затрат , направленных на предотвращение выигрыша , с вероятностью достигаемого субъектом в рамках k-го сценария [11, с. 65]. По аналогии с КОР значение выберем в качестве прогнозируемой меры эффективности защиты - будем именовать критерием обеспечения безопасности (КОБ) для .

Если субъект и его противник оба решительно настроены на борьбу, «внутренние» вероятности . Оценим, какой при этом может быть плата за безопасность по сравнению с затратами , направленными на достижения выигрыша рискующей стороной. Если принять, что восстановлению текущего положения между интересами и соответствует равенство , получаем

(3.18)

Если субъект и его противник находятся в равных условиях, для них «внешняя» вероятность и , то есть плата за безопасность (расходы на защиту КИ) равна затратам рискующей (нападающей) стороны. Как и в предыдущих случаях, этот вывод вполне соответствует «опытным данным» и представляется непротиворечивым. Оценим ущерб, прогнозируемый в случае проигрыша как субъекта , так и его противника . Если внешние условия оказались неблагоприятными для и в рамках k-го сценария вероятность , это означает, что при любых значениях и значение КОР и тогда ущерб для субъекта составляет , поскольку эти затраты оказались напрасными. Значение КОБ в данном случае представляет собой цену победы , который избежал для себя ущерба ценой затрат .

В случае победы соперники как бы меняются местами: вероятность , значение КОР дает оценку победы субъекта , значение КОБ и ущерб для его противника составляет , поскольку выигрыш оказался утраченным, а затраты на защиту - напрасными.

Таким образом, оценивая ситуацию в рамках k-го сценария, рискующий субъект понимает, что в случае победы он может иметь реальную выгоду в виде КОР , тогда как в случае поражения - ущерб . Его противник в случае победы (обеспечения безопасности КИ) имеет «виртуальную» выгоду в виде КОБ , а фактически - реальный ущерб , связанный с необходимостью обеспечения безопасности (сохранения ), тогда как в случае поражения - ущерб . Такой расчет, по-видимому, может явиться хорошим стимулом для агрессивного поведения злоумышленника (что зачастую и наблюдается на практике, поскольку добывание КИ всеми законными и незаконными способами оказывается выгодным: более «сильный и богатый» субъект может разорить владельца КИ как получив от него КИ, так и «измотав» его в длительном противостоянии).

С помощью (3.2) и (3.17) могут быть смоделированы и более сложные ситуации: например, отказ субъекта от продолжения борьбы, когда . В этом случае прогнозируемый ущерб для составляет КОР , тогда как ущерб для его противника (затраты на ненужною защиту) соответствует КОБ . Это означает, что в случае << 1 и << p_H субъект также может получить преимущество (так как в данном случае по абсолютной величине может быть >> даже при << ), основательно «напугав» противника и тем самым нанеся ему существенно больший, по сравнению с собственным, ущерб.

Подводя промежуточный итог, можно сказать, что достаточно простая, с точки зрения математики и логики, модель (3.1), (3.2) и (3.17), оказывается полезной в том смысле, что позволяет объективно проследить стратегические закономерности поведения субъекта и его противника , преследующих противоположные цели.

Максимально-допустимое (с точки зрения невозможности обнаружения действий субъекта ) значение промежутка времени можно определить из условия , откуда следует

(3.19)

В то же время оптимальное, с точки зрения максимизации КОБ, значение соответствует условию

(3.20)

которое дает

(3.21)

Очевидно, что в случае проблем у субъекта возникать не должно. При , а особенно если , субъекту , напротив, придется реализовывать M-кратные действия (с паузами между ними), чтобы выполнить условие , необходимое для перевода КИ в ОКИ. В этом случае в (3.10)-(3.11) вместо промежутков времени будут фигурировать суммы вида , если сохраняется целостность объема КИ (в более общем случае фрагментарность создает новую и существенно более сложную ситуацию).

Можно видеть, что КОБ и КОР относятся к группе критериев оценки эффективности системы, увеличивающих до максимума величину выходного показателя при ограничении вероятности нежелательных побочных эффектов. На его основе можно определить тактику наиболее целесообразных (в том числе наиболее безопасных) действий субъекта по переводу КИ в ОКИ, сравнивая разные конкретные сценарии, например:

§ с помощью затрат получить объем КИ стоимостью и попытаться использовать его для перевода КИ в ОКИ, не привлекая больше к себе внимания;

§ в случае ? повторять действия по первому варианту до тех пор, пока не удастся достичь цели: перевести КИ в ОКИ;

§ с помощью затрат получить максимально-возможный объем КИ стоимостью для гарантированного обеспечения ? , не считаясь с условием безопасности ? ;

§ с помощью затрат получить объем КИ стоимостью и начинать использовать его для перевода КИ в ОКИ, продолжая одновременно наращивать объем КИ > для скорейшего обеспечения ? - до той поры также не считаясь с условием ? , и т.д.

3.4 Новые информационные технологии

ИТ-инфраструктура является важным аспектом для стабильной работы любого предприятия, так как обеспечивает надежность и безопасность работы. Предприятия должны добиваться оптимальной ценности от ИТ, поддерживая баланс между получением выгоды и оптимизацией рисков и ресурсов (Приложение И, рис. 3) [20, с. 13].

Новыми информационными технологиями называются компьютерные технологии информационных и экспертных систем, реинжиниринга бизнес-процессов (BPR, БПР), создания систем управления взаимоотношениями с клиентами (CRM-Systems) и системы поддержки принятия решений в условиях риска (DSS). Инновации могут не только быть успешно внедрены в производство, но и способны давать существенный экономический эффект. В соответствии с реалиями рынка, во всех рассматриваемых процессах в качестве одной из ключевых фигур присутствует человек, виртуальный образ которого (модель партнера, конкурента, потребителя услуг и т.п.) также создается с помощью новых информационных технологий.

Инжиниринг обозначает набор приемов и методов, которые корпорация использует для проектирования бизнеса в соответствии со своими целями - важнейшей из которых является улучшение ее финансового состояния. В соответствии с этим определением БПР имеет в виду перепроектирование деловых процессов для достижения резких улучшений в основных показателях деятельности компании: таких как стоимость, услуги и темпы (рис. 3.8). Чтобы удовлетворять постоянно меняющимся запросам клиентов и не уступать конкурентам, корпорация периодически должна сама трансформироваться как система, изменять свою структуру и состав.

То же касается и СО ИБ, в которой необходимо постоянно проводить мониторинг, оптимизацию, автоматизацию, т. е. совершенствовать (рис. 3.9).

Рис. 3.8 - Реинжиниринг бизнес-процессов

Рис. 3.9 - Модели «как есть» и «как будет»

Традиционную иерархическую структуру службы безопасности (СБ) корпорации иллюстрирует схема на рис. 3.10. Согласно методике проведения БПР и его терминологии, рис. 3.10 соответствует этапу обратного инжиниринга и схеме бизнес-процесса «Как есть». Во главе структуры стоит ее руководитель (РСБ), заместители РСБ являются менеджерами верхнего уровня (ВМ), отделы и другие подразделения возглавляют менеджеры среднего уровня (СМ), на нижнем уровне находятся линейные менеджеры (ЛМ).

Рис. 3.10 - Традиционная иерархическая структура СБ корпорации, соответствующая схеме «Как есть»

В то же время корпоративные СБ относятся к системам организационно-технического типа, где важную роль играет «человеческий фактор» - считается, что наилучшей их структурой является одноуровневая гетерархическая сложная система (ГСС), в условном виде показанная на рис. 3.11. Схема ГСС включает аппарат СБ, систему сбора информации (ССИ), а также ряд центров ответственности (ЦО), среди которых основными являются владельцы процессов (ВП) и владельцы ресурсов (ВР) корпорации, ее коммерческая разведка (КР) и контрразведка (ККР), аналитическая служба (АС).

Рис. 3.11 - Одноуровневая гетерархическая структура СБ корпорации (соответствующая схеме «Как будет»)

Структура ГСС на рис. 3.11 является достаточно гибкой в том смысле, что допускает образование временных иерархий, если того требует оперативная обстановка - когда уполномоченные ЛПР принимают на себя повышенную ответственность за те или иные решения и возглавляют работу СБ по их реализации. Интересно, что фактор времени при этом становится «дискретным» - изменяющимся от ситуации к ситуации, как это имеет место, например, в динамических имитационных моделях. Вместо «плавной трансформации» решений может происходить их нелинейное преобразование, связанное с непредсказуемостью поведения людей, динамикой наблюдаемой ситуации, изменением условий решаемых задач. Одним из важных критериев для количественной оценки эффективности работы СБ с помощью ЭВМ является риск, связанный с возможным информационным ущербом для производственно-экономической деятельности корпорации.

Одновременно возникает вопрос о том, какие практические действия могут быть предприняты для обеспечения КБ после проведения БПР и какие выгоды могут быть извлечены из моделирования действий злоумышленника. Работник, занимающий в СБ «должность» псевдозлоумышленника, руководствуясь моделью вероятного злоумышленника, планирует и проводит мероприятия, направленные на поиск уязвимых мест в системе защиты (СЗ) корпорации, провоцируя СБ на действия, связанные с пресечением такого рода деятельности. В отличие от компьютерной модели злоумышленника, псевдозлоумышленник является «физической моделью», значимость которой при проведении БПР также достаточно велика: с ее помощью корпорация апробирует предложенные решения в области КБ, тестирует варианты реализации СЗ, отрабатывает на практике методы и средства защиты КИ.

Система поддержки принятия решений или СППР (DSS) -- компьютерная система, которая путем сбора и анализа большого количества информации может влиять на процесс принятия решений организационного плана в бизнесе. Интерактивные системы позволяют руководителям получить полезную информацию из первоисточников, проанализировать ее, а также выявить существующие бизнес-модели для решения определенных задач (рис. 3.12). Аналитическое обоснование решений с использованием СППР является важнейшим средством повышения качества управленческих решений [9, с. 1].

Рис. 3.12 - Система поддержки принятия решений

Опыт показывает, что ни одна корпорация не может сегодня обойтись без мониторинга и анализа рыночной среды, не располагая достоверной информацией о том, что в ней происходит. Поэтому сотрудники КР, при помощи экспертов и аналитиков корпорации, постоянно собирают, анализируют и стараются использовать в своих целях информацию о ресурсах, достоинствах и слабых местах, планах и намерениях конкурентов, то есть проводят указанный системный мониторинг - уделяя особое внимание технологиям, способным обеспечивать конкурентные преимущества. Сегодня все крупнейшие компании - лидеры мировой экономики имеют в своей структуре подразделения КР. Отметим, что для злоумышленника КР также представляет собой важный бизнес-процесс, позволяющий выжить и победить в конкурентной борьбе.

В оперативном плане назначением службы КР является получение и предоставление руководству информации (обычно под грифом КИ) о действиях конкурентов, затрагивающих интересы корпорации, а также анализ общей ситуации на рынке и удовлетворение других информационных потребностей руководства и ведущих ЛПР. Стратегической целью КР является сбор и анализ сведений о процессах в экономике, политике, технике и технологии, способных повлиять на бизнес корпорации, а также определение направлений ее дальнейшего развития. Тактические цели КР связаны со сбором и анализом информации для принятия решений по текущим коммерческим и технологическим вопросам. Объектами КР, помимо конкурентов, являются поставщики информационных и материальных ресурсов, посредники, обеспечивающие продвижение, сбыт и распространение товаров, клиенты, контактные организации и группы, административные органы, владеющие официальной информацией о состоянии коммерческой деятельности.

После проведения БПР работа КР приобретает системный характер, поскольку она в качестве системы включает подсистемы добывания, сбора и обработки КИ, подсистему накопления и хранения КИ в виде автоматизированной БД и справочно-информационного фонда, подсистему обслуживания руководства и ведущих ЛПР.

После проведения БПР организация противодействия КР недобросовестного конкурента базируется на понимании факторов, определяющих уровень КБ - с учетом модели вероятного злоумышленника и результатов деятельности псевдозлоумышленника. Системный характер контрразведки (ККР) предполагает концентрацию усилий в данном направлении всех специализированных подразделений корпорации: оперативников СБ, аналитиков КР, АС и др. Задачу обеспечения КБ службы КР и ККР решают совместно [11, с. 152-153]. Однако, в отличие от КР, объектом ККР является внутренняя среда корпорации - которая включает руководство и персонал, имеющий доступ к КИ, сотрудников, способных обеспечить НСД к КИ или помочь сделать это, работников СБ и КР. Важной функцией ККР является консультирование руководства и ЛПР по вопросам КБ. В основе работы ККР лежит закон «О частной детективной и охранной деятельности в РФ», разрешающий указанную деятельность - в том числе при добывании КИ.

Застраховаться от всех видов мошенничества, в основе которых лежат обман и злоупотребление доверием коллег, корпорации достаточно сложно. Поэтому обеспечение КБ требует проведения кадровой политики, базирующейся на трех принципах: прием и отбор персонала с помощью современных методов; продуманная система вознаграждения и служебного роста; организационная культура, поддерживающая климат взаимоотношений, благоприятный для совместной деятельности. Технологии БПР и CRM-Systems не заменяют и не отменяют систематическую работу с персоналом, контроль сотрудников и управление их поведением.

Обобщим все выше изложенное. Одной из главных задач организации является построение сбалансированной и отказоустойчивой СО КБ, в частности, СО ИБ, в которой основной подсистемой, подлежащей защите, является ИКС. Производить наилучшую оценку рисков в системе позволяет метод СИМ, так как он включает в себя и экспертную оценку, и оценку с помощью компьютерных технологий. При разработке СО КБ он выступает и как средство создания СО ИБ, и как метод изучения системы (ее подсистем). Внедрение СО КБ сопряжено с риском, так как оценка ее эффективности производится экспертными методами, а также по причине того, что ее во многом определяет «человеческий фактор». Компьютерные технологии информационных и экспертных систем, реинжиниринга бизнес-процессов, имитационного моделирования бизнес-процессов, а также системы поддержки принятия решений в условиях риска способны давать существенный экономический эффект за счет того, что от них во многом зависит КБ, на обеспечение которой направлены усилия СБ, КР и ККР, которые помогают регулировать все процессы, происходящие во внутренней и внешней среде организации.

...