ОНТОЛОГИЧЕСКАЯ МОДЕЛЬ ПРОЦЕССА ОЦЕНКИ РИСКОВ
Авторы:
1.
Астраханский государственный технический университет
Тип:
Статья
Страницы:
с 97
по 102
Статус:
Опубликован
Получено:
05.04.2015
Одобрено:
25.04.2015
Опубликовано:
25.04.2015
Классификаторы:
ВАК 05.12.2013 Системы, сети и устройства телекоммуникаций
ВАК 05.13.01 Системный анализ, управление и обработка информации (по отраслям)
ВАК 05.13.06 Автоматизация и управление технологическими процессами и производствами (по отраслям)
ВАК 05.13.10 Управление в социальных и экономических системах
ВАК 05.13.18 Математическое моделирование, численные методы и комплексы программ
ВАК 05.13.19 Методы и системы защиты информации, информационная безопасность
УДК 004.934.2
ГРНТИ 20.01 Общие вопросы информатики
ГРНТИ 28.01 Общие вопросы кибернетики
ГРНТИ 49.01 Общие вопросы связи
ГРНТИ 50.01 Общие вопросы автоматики и вычислительной техники
ГРНТИ 82.01 Общие вопросы организации и управления
ВАК 05.13.01 Системный анализ, управление и обработка информации (по отраслям)
ВАК 05.13.06 Автоматизация и управление технологическими процессами и производствами (по отраслям)
ВАК 05.13.10 Управление в социальных и экономических системах
ВАК 05.13.18 Математическое моделирование, численные методы и комплексы программ
ВАК 05.13.19 Методы и системы защиты информации, информационная безопасность
УДК 004.934.2
ГРНТИ 20.01 Общие вопросы информатики
ГРНТИ 28.01 Общие вопросы кибернетики
ГРНТИ 49.01 Общие вопросы связи
ГРНТИ 50.01 Общие вопросы автоматики и вычислительной техники
ГРНТИ 82.01 Общие вопросы организации и управления
Язык материала:
русский
Ключевые слова:
риск, оценка рисков, риск-менеджмент, онтологическая модель риска
Аннотация (русский):
Рассматривается история возникновения понятия «риск» и его этимология. Появление риска во всех областях жизнедеятельности общества повлекло за собой многочисленные трактовки этого термина: в экономике, психологии, инженерно-технической сфере, в страховании, в сфере информационных технологий и безопасности. Показано, что множественность определений понятия «риск» связана с многообразием ситуационных контекстов. На основе анализа научной литературы и существующей нормативной базы построена онтологическая модель предметной области. Данная модель является достаточно универсальной и гибкой, что позволяет легко адаптировать ее к различным областям оценки рисков. Рассмотрена интерпретация концептов построенной онтологической модели на примере оценки информационной и экологической безопасности.
Рассматривается история возникновения понятия «риск» и его этимология. Появление риска во всех областях жизнедеятельности общества повлекло за собой многочисленные трактовки этого термина: в экономике, психологии, инженерно-технической сфере, в страховании, в сфере информационных технологий и безопасности. Показано, что множественность определений понятия «риск» связана с многообразием ситуационных контекстов. На основе анализа научной литературы и существующей нормативной базы построена онтологическая модель предметной области. Данная модель является достаточно универсальной и гибкой, что позволяет легко адаптировать ее к различным областям оценки рисков. Рассмотрена интерпретация концептов построенной онтологической модели на примере оценки информационной и экологической безопасности.
Ключевые слова:
риск, оценка рисков, риск-менеджмент, онтологическая модель риска
риск, оценка рисков, риск-менеджмент, онтологическая модель риска
Введение Риск - это явление, с которым человек сталкивается постоянно и которое сопровождает все основные сферы жизнедеятельности общества. Любая управленческая деятельность в той или иной мере связана с рисками. Это обусловлено многофакторной динамикой управления и внешнего окружения, а также наличием антропогенного фактора в процессе принятия и реализации управленческих решений. Понятие риска находится в тесной взаимосвязи с понятием безопасности: физической, экономической, информационной. На основе значения уровня риска принимаются решения о применении тех или иных стратегий обеспечения требуемого уровня безопасности. Деятельность, связанная с оценкой уровня риска и выработкой решений по его снижению, получила название риск-менеджмента. Поскольку каждая конкретная отрасль или сфера применения риск-менеджмента имеет свои специфические особенности, в настоящее время существует большое количество определений понятия «риск», что затрудняет общее понимание данного явления. Постановка задачи Таким образом, возникает необходимость в анализе существующих определений риска, выявлении общих составляющих данного понятия и построении онтологической модели, отражающей взаимосвязь основных понятий, используемых в процессе определения уровня риска. Генезис и семантика понятия «риск» Концептуальный анализ различных аспектов понятия «риск» требует выявления генезиса данной проблемы. До XVII в. общего понятия для обозначения термина «риск» не существовало. Лишь в конце XIX - начале XX вв. различные аспекты данного феномена начали активно изучаться [1]. История становления понятия «риск» в значительной степени связана с процессом познания будущего. С древних времен люди сталкивались с неуверенностью в будущем, однако слово «риск» стало востребованным только тогда, когда люди начали осознавать собственную ответственность за последствия принимаемых решений [2]. Определенное влияние на изучение проблемы риска в средние века оказало развитие азартных игр, требовавших оценки будущего, что, в свою очередь, привело к возникновению теории вероятностей. В русском языке понятие «риск» впервые появляется в конце XVIII в.: в комедии Фонвизина «Бригадир» (1769 г.) встречаются фразы «риску нет», «на что же вы рискуете?». Согласно этимологическому словарю русского языка М. Фасмера, термин «риск» происходит от французского risquе или итальянского risico. Другие исследователи считают, что происхождение термина «риск» восходит к греческим словам ῥιζικόν, - «утес», ῥίζα - «подножие горы». Отсюда и происхождение слова «рисковать», которое определяется через французское «risquer» или итальянское «risicare» - «лавировать между скал» [3]. Постепенно термин «риск» появляется в различных сферах деятельности человека: в политологии, экономике, медицине и т. д. В современных толковых словарях даются следующие определения слова «риск» [3]: возможная опасность, действие наудачу в надежде на счастливый исход, возможный убыток или неудача в каком-либо деле, уровень неопределенности в предсказании результата, опасность, от которой производится страхование имущества. Рассмотрим определения термина «риск», продиктованные различными сферами жизнедеятельности человека. В экономике существуют следующие определения риска. 1. Риск - потенциальная, численно измеримая возможность потери. Понятием риска характеризуется неопределенность, связанная с возможностью возникновения неблагоприятных ситуаций и последствий в ходе реализации проекта [2]. 2. Риск - степень неопределенности получения в будущем доходов [2]. 3. Риск - угроза потери предприятием части своих ресурсов (финансовых, политических, социальных), недополучения доходов или появления дополнительных расходов в результате осуществления определенной производственной и финансовой деятельности [3]. 4. Риск - опасность возникновения непредвиденных потерь ожидаемой прибыли, денежных средств, дохода или имущества, других ресурсов в связи со случайным изменением условий экономической деятельности, неблагоприятными обстоятельствами [4]. В психологии термин «риск» связан с тремя направлениями исследований [3]. 1. Риск - действие, грозящее субъекту определёнными потерями (физическим, материальным, моральным ущербом). Различают мотивированный риск, предполагающий получение выгоды, и немотивированный (бескорыстный), т. е. не имеющий рационального основания, а также неоправданный и оправданный риск. 2. Риск - мера ожиданий неудачи в деятельности. Определяется как сочетание вероятности неудачи и степени неблагоприятных последствий. 3. Риск - ситуация выбора между стратегиями, имеющими различную привлекательность и надежность. В инженерно-технической сфере под техническим риском понимают вероятность отказа устройств, который приводит к последствиям определённого уровня (класса) за период функционирования опасного производственного объекта [5]. Кроме того, «риск» в технической сфере может иметь смысл комплексного показателя надежности механизмов, машин, технологических процессов, выражающего вероятность аварии или катастрофы при эксплуатации элементов техносферы. Уровень риска определяется по формуле: (1) где RT - технический риск; ΔТ - количество аварий за промежуток времени t на идентичных технических объектах и системах; Т - количество объектов и систем, подверженных фактору риска f [6]. В страховании [3] понятие «риск» имеет свои формулировки: 1. Риск - событие, наступление которого не определено во времени и в пространстве, не зависимо от волеизъявления человека, опасное и создающее стимул для страхования. Это тот риск, который может быть оценен с точки зрения вероятности наступления страхового случая и размеров возможного ущерба. 2. Риск - событие, способное причинить денежный ущерб, покрытие которого гарантирует договор страхования. В сфере информационных технологий и информационной безопасности существуют следующие определения: 1. Риск информационной безопасности - возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации [7]. 2. Риск - потенциальная возможность нанесения ущерба, связанного с нарушением безопасности информационной системы [8]. 3. Информационный риск - мера информационной опасности, характеризующая вероятность появления опасности и размеры связанного с ней ущерба для репутации объекта [3]. Таким образом, множественность определений понятия «риск» связана с многообразием ситуационных контекстов и с различными особенностями применения данного понятия. Обобщенное определение понятия «риск» Несмотря на то, что каждая предметная область вносит в определение риска свои особенности, некоторые стороны данного определения остаются неизменными. В общем случае под риском понимают сочетание вероятности и последствий наступления некоторого события. Обычно мера риска для отдельного класса событий определяется по формуле , (1) где P - вероятность наступления неблагоприятного события; U - последствия события; - определенная композиция. В большинстве случаев рассматривается возможность наступления некоторого негативного события, приводящего к различным потерям. Существующие методики оценки уровня риска предлагают различные трактовки данной формулы. В одних на первый план выдвигается вероятностная составляющая, в других - значение стоимости ущерба. В [8] формула (1) представляется более развернуто, поскольку стоимостное выражение ущерба от реализации угрозы по отношению к ресурсу зависит от ценности и степени разрушительности воздействия на ресурс, а возможность возникновения неблагоприятного события, в свою очередь, зависит от частоты возникновения рассматриваемого нежелательного события и вероятности успешной реализации угрозы. Формула определения уровня риска принимает следующий вид: , (2) где ν - частота возникновения неблагоприятного события (за фиксированный промежуток времени); p - вероятность успешной реализации угрозы; с - ценность ресурса; k [0; 1] - коэффициент разрушительности. Для обеспечения инвариантности формулы (2) необходимо нормировать входящие в нее параметры. В частности, значение ценности ресурса, подверженного неблагоприятному воздействию, целесообразно оценить в качестве суммарной ценности всех ресурсов. Онтологическая модель понятия «риск» Риск не существует сам по себе, а рассматривается в контексте какого-либо ценного ресурса (актива). Зачастую понятие «риск» путают с понятием «угроза». Угроза - потенциальная возможность возникновения неблагоприятного события, которое с некоторой степенью разрушительности повреждает механизмы защиты или воздействует непосредственно на ценный ресурс, что приводит к негативным последствиям. Последствия могут быть выражены в форме финансового, материального, морального, репутационного или иного ущерба. Как было отмечено ранее, значение уровня риска используется лицом, принимающим решения (риск-менеджером), для выбора стратегии защиты. На основе [7, 9] были выделены следующие стратегии защиты от угроз: - снижение риска путем понижения уровня условий реализации угрозы (уязвимостей) за счет применения механизмов защиты. - предотвращение риска путем уклонения от угрозы или ликвидации источника угрозы; - принятие негативных последствий, отсутствие каких-либо действий по снижению уровня риска или по переносу риска, т. е. полная или частичная передача ответственности за последствия от реализации неблагоприятного события на сторонние лица (страхование). Анализ научной литературы, в том числе существующей нормативной базы, позволил построить онтологическую модель процесса оценки риска (рис.). Онтологическая модель процесса оценки риска Данная модель отражает взаимосвязь основных концептов, используемых в риск-менеджменте. Она является, с одной стороны, достаточно универсальной, поскольку входящие в нее понятия инвариантны относительно различных определений риска, с другой - смысловое значение концептов может быть легко адаптировано к конкретной предметной области. Пример интерпретации концептов Пример интерпретации концептов онтологической модели при оценке информационной и экологической безопасности [7, 9, 10] приведен в таблице. Смысловая интерпретация концептов онтологической модели Риск Риск информационной безопасности Экологический риск Потенциальная угроза Угроза Природная (техногенная, антропогенная) опасность Условия реализации угрозы Уязвимость Уязвимость среды Неблагоприятное событие Атака Отрицательное воздействие на окружающую среду Последствия наступления события Ущерб Неблагоприятные изменения в природной среде Ценные ресурсы Информационные активы Окружающая природная среда Качество ресурса Качество информации Качество окружающей среды Необходимые свойства ресурса Свойства безопасности информации Необходимые свойства окружающей среды Механизмы защиты Механизмы защиты информации Меры по защите экологии Подобную интерпретацию можно дать и для других предметных областей. При этом общая схема останется неизменной. Заключение Таким образом, рассмотрение генезиса и семантики понятия «риск», анализ определений термина в различных сферах жизнедеятельности общества позволил определить его взаимосвязь с понятиями, используемыми в риск-менеджменте, выделить их инвариантную часть и построить онтологическую модель предметной области. Данная модель обладает универсальностью и гибкостью, что позволяет легко адаптировать ее к различным областям оценки рисков.
1. Матвеенко Ю. И. Современные подходы к изучению риска / Ю. И. Матвеенко // Изв. Тул. гос. ун-та. Гуманитарные науки. 2012. № 1. Ч. 1. С. 165-173.
2. Панфилова Э. А. Понятие риска: многообразие подходов и определений / Э. А. Панфилова // Теория и практика общественного развития // URL: http://www.teoria-practica.ru/rus/files/arhiv_zhurnala/2010/4/ filоsоfiyа/panfilova.pdf (дата обращения: 28.02.2015).
3. URL: http://dic.academic.ru/ (дата обращения 28.02.2015).
4. Ильин Е. П. Психология риска / Е. П. Ильин. СПб: Питер, 2012. 288 с.
5. Постановление Госгортехнадзора РФ от 10.07.2001 № 30 «Об утверждении «Методических указаний по проведению анализа риска опасных производственных объектов» // URL: http://uristu.com/library/ tekhnicheskie-normativy/rd/rd_59/ (дата обращения: 01.03.2015).
6. Надежность технических систем и техногенный риск // URL: http://www.obzh.ru/nad/2-1.html (дата обращения: 28.02.2015).
7. ГОСТ Р ИСО/МЭК 27005-2010. Информационные технологии. Методы защиты. Менеджмент рисков информационной безопасности // URL: http://docs.cntd.ru/document/1200084141.
8. Нестеров С. А. Анализ и управление рисками в сфере информационной безопасности / С. А. Нестеров // URL: http://www.krdu-mvd.ru/_files/kafedra_ib/52.pdf (дата обращения: 01.03.2015).
9. Ажмухамедов И. М. Системный анализ и управление социотехническими системами комплексного обеспечения информационной безопасности / И. М. Ажмухамедов // Проблемы информационной безопасности. Компьютерные системы. 2013. № 1. С. 132-151.
10. Понятие об экологическом риске // URL: http://www.oblasti-ekologii.ru/ecology/ekologiceskij-risk-kontrol-i-monitoring (дата обращения: 01.03.2015).
