ONTOLOGICAL MODEL OF THE PROCESS OF RISK ASSESSMENT
Authors:
1.
Astrakhan State Technical University
Type:
Article
Pages:
from 97
to 102
Status:
Published
Received:
05.04.2015
Accepted:
25.04.2015
Published:
25.04.2015
Subject area:
VAC 05.12.2013 Системы, сети и устройства телекоммуникаций
VAC 05.13.01 Системный анализ, управление и обработка информации (по отраслям)
VAC 05.13.06 Автоматизация и управление технологическими процессами и производствами (по отраслям)
VAC 05.13.10 Управление в социальных и экономических системах
VAC 05.13.18 Математическое моделирование, численные методы и комплексы программ
VAC 05.13.19 Методы и системы защиты информации, информационная безопасность
UDK 004.934.2
GRNTI 20.01 Общие вопросы информатики
GRNTI 28.01 Общие вопросы кибернетики
GRNTI 49.01 Общие вопросы связи
GRNTI 50.01 Общие вопросы автоматики и вычислительной техники
GRNTI 82.01 Общие вопросы организации и управления
VAC 05.13.01 Системный анализ, управление и обработка информации (по отраслям)
VAC 05.13.06 Автоматизация и управление технологическими процессами и производствами (по отраслям)
VAC 05.13.10 Управление в социальных и экономических системах
VAC 05.13.18 Математическое моделирование, численные методы и комплексы программ
VAC 05.13.19 Методы и системы защиты информации, информационная безопасность
UDK 004.934.2
GRNTI 20.01 Общие вопросы информатики
GRNTI 28.01 Общие вопросы кибернетики
GRNTI 49.01 Общие вопросы связи
GRNTI 50.01 Общие вопросы автоматики и вычислительной техники
GRNTI 82.01 Общие вопросы организации и управления
Language:
Russian
Keywords:
risk, risk assessment, risk management, ontological model of risk
Abstract (English):
The paper considers the history of the formation of the concept "risk" and its etymology. The emergence of risk in all areas of social life led to many interpretations of the term: in economics, psychology, engineering and technology, insurance, information technology and security. It is shown that the multiplicity of the definitions of the concept "risk" is associated with a variety of situational contexts. Based on the analysis of scientific literature and the existing regulatory framework, an ontological domain model is built. This model is quite versatile and flexible, making it easy to adapt it to different areas of risk assessment. The interpretation of the concepts of the designed ontological model is studied by the example of assessment of information and environmental safety.
The paper considers the history of the formation of the concept "risk" and its etymology. The emergence of risk in all areas of social life led to many interpretations of the term: in economics, psychology, engineering and technology, insurance, information technology and security. It is shown that the multiplicity of the definitions of the concept "risk" is associated with a variety of situational contexts. Based on the analysis of scientific literature and the existing regulatory framework, an ontological domain model is built. This model is quite versatile and flexible, making it easy to adapt it to different areas of risk assessment. The interpretation of the concepts of the designed ontological model is studied by the example of assessment of information and environmental safety.
Keywords:
risk, risk assessment, risk management, ontological model of risk
risk, risk assessment, risk management, ontological model of risk
Введение Риск - это явление, с которым человек сталкивается постоянно и которое сопровождает все основные сферы жизнедеятельности общества. Любая управленческая деятельность в той или иной мере связана с рисками. Это обусловлено многофакторной динамикой управления и внешнего окружения, а также наличием антропогенного фактора в процессе принятия и реализации управленческих решений. Понятие риска находится в тесной взаимосвязи с понятием безопасности: физической, экономической, информационной. На основе значения уровня риска принимаются решения о применении тех или иных стратегий обеспечения требуемого уровня безопасности. Деятельность, связанная с оценкой уровня риска и выработкой решений по его снижению, получила название риск-менеджмента. Поскольку каждая конкретная отрасль или сфера применения риск-менеджмента имеет свои специфические особенности, в настоящее время существует большое количество определений понятия «риск», что затрудняет общее понимание данного явления. Постановка задачи Таким образом, возникает необходимость в анализе существующих определений риска, выявлении общих составляющих данного понятия и построении онтологической модели, отражающей взаимосвязь основных понятий, используемых в процессе определения уровня риска. Генезис и семантика понятия «риск» Концептуальный анализ различных аспектов понятия «риск» требует выявления генезиса данной проблемы. До XVII в. общего понятия для обозначения термина «риск» не существовало. Лишь в конце XIX - начале XX вв. различные аспекты данного феномена начали активно изучаться [1]. История становления понятия «риск» в значительной степени связана с процессом познания будущего. С древних времен люди сталкивались с неуверенностью в будущем, однако слово «риск» стало востребованным только тогда, когда люди начали осознавать собственную ответственность за последствия принимаемых решений [2]. Определенное влияние на изучение проблемы риска в средние века оказало развитие азартных игр, требовавших оценки будущего, что, в свою очередь, привело к возникновению теории вероятностей. В русском языке понятие «риск» впервые появляется в конце XVIII в.: в комедии Фонвизина «Бригадир» (1769 г.) встречаются фразы «риску нет», «на что же вы рискуете?». Согласно этимологическому словарю русского языка М. Фасмера, термин «риск» происходит от французского risquе или итальянского risico. Другие исследователи считают, что происхождение термина «риск» восходит к греческим словам ῥιζικόν, - «утес», ῥίζα - «подножие горы». Отсюда и происхождение слова «рисковать», которое определяется через французское «risquer» или итальянское «risicare» - «лавировать между скал» [3]. Постепенно термин «риск» появляется в различных сферах деятельности человека: в политологии, экономике, медицине и т. д. В современных толковых словарях даются следующие определения слова «риск» [3]: возможная опасность, действие наудачу в надежде на счастливый исход, возможный убыток или неудача в каком-либо деле, уровень неопределенности в предсказании результата, опасность, от которой производится страхование имущества. Рассмотрим определения термина «риск», продиктованные различными сферами жизнедеятельности человека. В экономике существуют следующие определения риска. 1. Риск - потенциальная, численно измеримая возможность потери. Понятием риска характеризуется неопределенность, связанная с возможностью возникновения неблагоприятных ситуаций и последствий в ходе реализации проекта [2]. 2. Риск - степень неопределенности получения в будущем доходов [2]. 3. Риск - угроза потери предприятием части своих ресурсов (финансовых, политических, социальных), недополучения доходов или появления дополнительных расходов в результате осуществления определенной производственной и финансовой деятельности [3]. 4. Риск - опасность возникновения непредвиденных потерь ожидаемой прибыли, денежных средств, дохода или имущества, других ресурсов в связи со случайным изменением условий экономической деятельности, неблагоприятными обстоятельствами [4]. В психологии термин «риск» связан с тремя направлениями исследований [3]. 1. Риск - действие, грозящее субъекту определёнными потерями (физическим, материальным, моральным ущербом). Различают мотивированный риск, предполагающий получение выгоды, и немотивированный (бескорыстный), т. е. не имеющий рационального основания, а также неоправданный и оправданный риск. 2. Риск - мера ожиданий неудачи в деятельности. Определяется как сочетание вероятности неудачи и степени неблагоприятных последствий. 3. Риск - ситуация выбора между стратегиями, имеющими различную привлекательность и надежность. В инженерно-технической сфере под техническим риском понимают вероятность отказа устройств, который приводит к последствиям определённого уровня (класса) за период функционирования опасного производственного объекта [5]. Кроме того, «риск» в технической сфере может иметь смысл комплексного показателя надежности механизмов, машин, технологических процессов, выражающего вероятность аварии или катастрофы при эксплуатации элементов техносферы. Уровень риска определяется по формуле: (1) где RT - технический риск; ΔТ - количество аварий за промежуток времени t на идентичных технических объектах и системах; Т - количество объектов и систем, подверженных фактору риска f [6]. В страховании [3] понятие «риск» имеет свои формулировки: 1. Риск - событие, наступление которого не определено во времени и в пространстве, не зависимо от волеизъявления человека, опасное и создающее стимул для страхования. Это тот риск, который может быть оценен с точки зрения вероятности наступления страхового случая и размеров возможного ущерба. 2. Риск - событие, способное причинить денежный ущерб, покрытие которого гарантирует договор страхования. В сфере информационных технологий и информационной безопасности существуют следующие определения: 1. Риск информационной безопасности - возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации [7]. 2. Риск - потенциальная возможность нанесения ущерба, связанного с нарушением безопасности информационной системы [8]. 3. Информационный риск - мера информационной опасности, характеризующая вероятность появления опасности и размеры связанного с ней ущерба для репутации объекта [3]. Таким образом, множественность определений понятия «риск» связана с многообразием ситуационных контекстов и с различными особенностями применения данного понятия. Обобщенное определение понятия «риск» Несмотря на то, что каждая предметная область вносит в определение риска свои особенности, некоторые стороны данного определения остаются неизменными. В общем случае под риском понимают сочетание вероятности и последствий наступления некоторого события. Обычно мера риска для отдельного класса событий определяется по формуле , (1) где P - вероятность наступления неблагоприятного события; U - последствия события; - определенная композиция. В большинстве случаев рассматривается возможность наступления некоторого негативного события, приводящего к различным потерям. Существующие методики оценки уровня риска предлагают различные трактовки данной формулы. В одних на первый план выдвигается вероятностная составляющая, в других - значение стоимости ущерба. В [8] формула (1) представляется более развернуто, поскольку стоимостное выражение ущерба от реализации угрозы по отношению к ресурсу зависит от ценности и степени разрушительности воздействия на ресурс, а возможность возникновения неблагоприятного события, в свою очередь, зависит от частоты возникновения рассматриваемого нежелательного события и вероятности успешной реализации угрозы. Формула определения уровня риска принимает следующий вид: , (2) где ν - частота возникновения неблагоприятного события (за фиксированный промежуток времени); p - вероятность успешной реализации угрозы; с - ценность ресурса; k [0; 1] - коэффициент разрушительности. Для обеспечения инвариантности формулы (2) необходимо нормировать входящие в нее параметры. В частности, значение ценности ресурса, подверженного неблагоприятному воздействию, целесообразно оценить в качестве суммарной ценности всех ресурсов. Онтологическая модель понятия «риск» Риск не существует сам по себе, а рассматривается в контексте какого-либо ценного ресурса (актива). Зачастую понятие «риск» путают с понятием «угроза». Угроза - потенциальная возможность возникновения неблагоприятного события, которое с некоторой степенью разрушительности повреждает механизмы защиты или воздействует непосредственно на ценный ресурс, что приводит к негативным последствиям. Последствия могут быть выражены в форме финансового, материального, морального, репутационного или иного ущерба. Как было отмечено ранее, значение уровня риска используется лицом, принимающим решения (риск-менеджером), для выбора стратегии защиты. На основе [7, 9] были выделены следующие стратегии защиты от угроз: - снижение риска путем понижения уровня условий реализации угрозы (уязвимостей) за счет применения механизмов защиты. - предотвращение риска путем уклонения от угрозы или ликвидации источника угрозы; - принятие негативных последствий, отсутствие каких-либо действий по снижению уровня риска или по переносу риска, т. е. полная или частичная передача ответственности за последствия от реализации неблагоприятного события на сторонние лица (страхование). Анализ научной литературы, в том числе существующей нормативной базы, позволил построить онтологическую модель процесса оценки риска (рис.). Онтологическая модель процесса оценки риска Данная модель отражает взаимосвязь основных концептов, используемых в риск-менеджменте. Она является, с одной стороны, достаточно универсальной, поскольку входящие в нее понятия инвариантны относительно различных определений риска, с другой - смысловое значение концептов может быть легко адаптировано к конкретной предметной области. Пример интерпретации концептов Пример интерпретации концептов онтологической модели при оценке информационной и экологической безопасности [7, 9, 10] приведен в таблице. Смысловая интерпретация концептов онтологической модели Риск Риск информационной безопасности Экологический риск Потенциальная угроза Угроза Природная (техногенная, антропогенная) опасность Условия реализации угрозы Уязвимость Уязвимость среды Неблагоприятное событие Атака Отрицательное воздействие на окружающую среду Последствия наступления события Ущерб Неблагоприятные изменения в природной среде Ценные ресурсы Информационные активы Окружающая природная среда Качество ресурса Качество информации Качество окружающей среды Необходимые свойства ресурса Свойства безопасности информации Необходимые свойства окружающей среды Механизмы защиты Механизмы защиты информации Меры по защите экологии Подобную интерпретацию можно дать и для других предметных областей. При этом общая схема останется неизменной. Заключение Таким образом, рассмотрение генезиса и семантики понятия «риск», анализ определений термина в различных сферах жизнедеятельности общества позволил определить его взаимосвязь с понятиями, используемыми в риск-менеджменте, выделить их инвариантную часть и построить онтологическую модель предметной области. Данная модель обладает универсальностью и гибкостью, что позволяет легко адаптировать ее к различным областям оценки рисков.
1. Matveenko Yu. I. Sovremennye podhody k izucheniyu riska / Yu. I. Matveenko // Izv. Tul. gos. un-ta. Gumanitarnye nauki. 2012. № 1. Ch. 1. S. 165-173.
2. Panfilova E. A. Ponyatie riska: mnogoobrazie podhodov i opredeleniy / E. A. Panfilova // Teoriya i praktika obschestvennogo razvitiya // URL: http://www.teoria-practica.ru/rus/files/arhiv_zhurnala/2010/4/ filosofiya/panfilova.pdf (data obrascheniya: 28.02.2015).
3. URL: http://dic.academic.ru/ (data obrascheniya 28.02.2015).
4. Il'in E. P. Psihologiya riska / E. P. Il'in. SPb: Piter, 2012. 288 s.
5. Postanovlenie Gosgortehnadzora RF ot 10.07.2001 № 30 «Ob utverzhdenii «Metodicheskih ukazaniy po provedeniyu analiza riska opasnyh proizvodstvennyh ob'ektov» // URL: http://uristu.com/library/ tekhnicheskie-normativy/rd/rd_59/ (data obrascheniya: 01.03.2015).
6. Nadezhnost' tehnicheskih sistem i tehnogennyy risk // URL: http://www.obzh.ru/nad/2-1.html (data obrascheniya: 28.02.2015).
7. GOST R ISO/MEK 27005-2010. Informacionnye tehnologii. Metody zaschity. Menedzhment riskov informacionnoy bezopasnosti // URL: http://docs.cntd.ru/document/1200084141.
8. Nesterov S. A. Analiz i upravlenie riskami v sfere informacionnoy bezopasnosti / S. A. Nesterov // URL: http://www.krdu-mvd.ru/_files/kafedra_ib/52.pdf (data obrascheniya: 01.03.2015).
9. Azhmuhamedov I. M. Sistemnyy analiz i upravlenie sociotehnicheskimi sistemami kompleksnogo obespecheniya informacionnoy bezopasnosti / I. M. Azhmuhamedov // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. 2013. № 1. S. 132-151.
10. Ponyatie ob ekologicheskom riske // URL: http://www.oblasti-ekologii.ru/ecology/ekologiceskij-risk-kontrol-i-monitoring (data obrascheniya: 01.03.2015).
