Меню

Что такое измерение рисков



Методы измерения риска

Количественная оценка вероятности и последствий (или распределения случайных величин, с помощью которых моделируется рисковая ситуация) может осуществляться разными методами. Выбор того или иного способа зависит, в первую очередь, от объема доступной, в т.ч. статистической, информации о риске и требуемой точности оценок. Также приходится учитывать фактический уровень риска. Чем меньше вероятность наступления, тем труднее измерить риск.

Общий принцип при выборе методов измерения сводится к максимально возможному использованию доступных статистических данных. Если их нет, они недостаточны или неприменимы, фактический материал заменяется теоретическими гипотезами или экспертными оценками.

Всего можно выделить четыре группы методов количественной оценки рисков:

5.9.1. Статистические методы

В основе данных методов лежит оценка вероятности наступления случайного события исходя из относительной частоты появлений данного события в серии наблюдений. Данные методы являются наиболее предпочтительными, поскольку, во-первых, они достаточно просты, и, во-вторых, их оценки базируются на фактических данных (а, практика, как известно, является критерием истины).

Но статистические методы не применимы там, где нет достаточного объема наблюдений. Для корректной оценки рисков редких событий требуется очень больший объем статистических данных. Кроме того, сбор и обработка таких массивов информации может оказаться слишком долгой и дорогой.

Отдельный узел сложной технической системы разработан уже давно, производится и эксплуатируется достаточно длительный период. За это время накоплено большое число статистических данных, которые позволяют рассчитать частоту отказа данного узла, которая служит несмещенной оценкой вероятности реализации риска отказа.

5.9.2. Вероятностно-статистические методы

Если имеющаяся статистическая информация недостаточно полная, то иногда возможно восполнить имеющиеся пробелы за счет анализа дополнительных косвенных данных или за счет логических рассуждений. Использование комбинации статистических данных и теоретических гипотез для оценки риска составляет основную идею вероятностно-статистических методов. Это расширяет область применения данной группы методов, но надежность полученных результатов может оказаться ниже, чем при использовании статистических методов.

У страховой компании имеется достаточно большой объем статистических данных о заявленных убытках по страхованию гражданской ответственности. За все время наблюдений не было ни одного убытка, превышающего некоторую сумму. Однако возможность их наступления существует. Чтобы оценить вероятность убытков, превышающих эту сумму, актуарий страховой компании должен по имеющимся статистическим данным построить теоретическое распределение убытка и на его основе оценить вероятность убытков в той области, о которой еще нет фактических данных.

5.9.3. Теоретико-вероятностные методы

Две предыдущие группы методов требуют наличия достаточного или хотя бы ограниченного объема статистических данных об исследуемом явлении. Однако при управлении рисками приходится сталкиваться с необходимостью оценки редких событий, которые допускают очень тяжелые последствия. В прошлом данные события могли вообще не происходить в силу их «редкости» (т.е. малой вероятности) или уникальности рассматриваемых объектов. В этом случае статистика либо вообще отсутствует, либо относится к другим объектам, которые существенно отличаются от исследуемого. Это делает невозможным применение статистических и вероятностно-статистических методов. Приходится использовать теоретико-вероятностные методы, в основе которых лежит построение математической модели изучаемого риска и теоретической оценки его параметров. Данные методы очень трудоемки и имеют относительно невысокую точность, но в ряде случаев являются единственным возможным научно-обоснованным способом оценки. В частности, они применяются при разработке деклараций промышленной безопасности предприятий.

Разрабатывается новый уникальный технический объект. Статистики по отказам для него, разумеется, нет. В этом случае можно составить принципиальную схему функционирования объекта. На ее основе вывести аналитическую формулу для расчета вероятности отказа через вероятности отказа на каждом этапе (звене). Оценивать вероятность отказа отдельных звеньев, как правило, легче, т.к. некоторые используются в других объектах и для них есть статистика, для некоторых — можно оценить по аналогии или экспертным путем. В результате расчета по общей аналитической формуле получают оценку вероятности отказа для сложного объекта в целом.

В отличие от статистического метода, где объект рассматривается как «черный ящик», в приведенном примере изучается структура объекта и влияние каждого его элемента на вероятность реализации риска. Но при использовании подобных теоретических методов полученное абсолютное значение вероятности может быть неточно, т.к. оно зависит от правильности определения вероятности отказа всех звеньев. Зато, если модель адекватна, то хорошо учитывается влияние изменения схемы (структуры) объекта. Поэтому теоретико-вероятностные методы лучше работают при сравнении надежности различных схем, чем при абсолютной оценке степени их безопасности.

5.9.4. Экспертные методы

В ситуации, когда нет ни статистики, ни возможности построить математическую модель, остается использование опыта и знаний экспертов. Это имеет место при исследовании объектов с неопределенными параметрами или неизученными свойствами. Количественная оценка риска происходит на основе обработки ответов специально отобранных экспертов. При этом большое внимание должно уделяться процедуре отбора экспертов и формированию шкал оценок. Для организации процесса может использоваться так называемый метод Дельфи. Однако и он не дает гарантии достоверности результатов.

5.9.5. Область применения методов измерения риска

Особенности рассмотренных методов количественной оценки рисков определяют области их применения в зависимости от имеющихся статистических данных и возможности построения теоретических моделей (см. Рис.5.5).

Следует также отметить, что поскольку в подавляющем большинстве случаев понятие риска относится к будущим событиям, то при любом методе количественной оценки приходится учитывать возможное изменение существующего уровня риска, то есть делать прогноз. Выбор метода прогнозирования также является сложной задачей.

Рис.5.5. Области применения методов измерения риска.

«Управление риском в социально-экономических системах»
© Богоявленский С.Б., 2010

Источник

Оценка рисков: величина, основные методы

Ведение бизнеса и принятие управленческих решений неразрывно сопряжено с риском. Поэтому оценка рисков — это важный навык в менеджменте.

Оценка рисков — основное понятие

Риск — это сочетание вероятности и последствий наступления неблагоприятных событий. Риском зачастую называют само неблагоприятное событие, например, ущерб имуществу организации или убытки, однако более корректно называть это «фактор риска».

Читайте также:  Векторный магнитный потенциал единица измерения

Оценка риска — это измерение величины (степени, уровня) риска с применением специальных методов оценки – как количественных, так и качественных.

Описание процесса оценки

Процесс оценки риска является более или менее типичным для всех видов организации. В нем можно выделить следующие этапы:

  • установление источников — процессов, при осуществлении которых возникает риск;
  • составление примерного списка рисков, возможных в текущей ситуации;
  • оценка уровня выявленных рисков по отдельности и в целом для организации и определение рентабельности действий, которые можно назвать факторами риска;
  • определение допустимого для организации уровня риска;
  • разработка мер и действий, направленных на управление риском и его предотвращение.

Основная роль оценки рисков

Такая оценка необходима в первую очередь для того, чтобы минимизировать возможные убытки и обеспечить безопасность для сотрудников организации. Согласно исследованиям Международной ассоциации социального обеспечения, сумма, вложенная в оценку рисков, возвращается двойной прибылью.

Величина рисков

Исходя из оценки риска его можно классифицировать на следующие категории:

  1. Допустимый. Существует опасность потери большей части прибыли, однако выгода более вероятна.
  2. Критический. На данном этапе теряется не только прибыль, но и выручка.
  3. Катастрофический. Такой риск подразумевает под собой потерю капитала, имущества, банкротство всей организации.

Методы оценки рисков, список

Методы оценки рисков подразделяются на качественные и количественные.

Качественные методы используются в случаях, когда риск не поддается количественному измерению либо в силу неточности данных, либо ввиду невозможности эти данные получить. К таким методам относятся:

  • мозговой штурм — в ходе применения этого приема происходит генерация идей, необходимых для решений небанальных творческих задач; обычно группа включает в себя до 10 человек и относится к высшему руководству организации;
  • структурированные (частично) интервью — метод схож с предыдущим, но при этом используется в ситуациях, когда собрать группу по каким-либо причинам невозможно;
  • метод Дельфи — процедура, предназначенная для получения единого мнения группы, описанной выше;
  • контрольные листы – перечни опасностей и угроз, составленные с опорой на опыт функционирования определенной организации.

Количественные методы отличаются большей точностью результата. Они включают в себя:

  • метод Value at Risk (Var) — выраженная в денежных единицах оценка величины, которую не превысят ожидаемые в течение данного периода времени потери с заданной вероятностью;
  • анализ чувствительности — позволяет учитывать сразу несколько параметров (исходных функций) и определять их взаимозависимость;
  • сценарный анализ — моделирование различных ситуаций и оценка вероятностных последствий.

Широкое применение получают смешанные методы оценки рисков. Перечислим самые популярные:

  1. Статистический.
  2. Аналитический.
  3. Метод экспертных оценок.

Статистический

Метод заключается в изучении статистики потерь и прибылей, которые были на данном или аналогичном предприятии торговли. Опирается на данные прошлого.

Величина риска измеряется с помощью таких показателей, как среднее ожидаемое значение и колеблемость возможного результата.

Средняя величина представляет собой обобщенную количественную характеристику. С этой целью измеряется колеблемость, или размах, полученного результата.

Колеблемость — это степень отклонения ожидаемого значения результата от его средней величины. Для определения колеблемости вычисляют такие статистические величины, как дисперсия и среднее квадратическое отклонение.

Дисперсия (σ 2 ) представляет собой среднее взвешенное из квадратов отклонений действительных результатов от средних ожидаемых и рассчитывается по формуле:

где \(х\) — ожидаемое значение для каждого случая наблюдения;

\(\vec<х>\) — среднее ожидаемое значение;

\(f \) — частота случаев или число наблюдений.

Аналитический

Аналитические методы применяются в том случае, когда имеющаяся информация ограниченна, в отличие от статистического метода, данные которого во многом опираются на функционирование данной или аналогичной организации в прошлом.

Метод экспертных оценок

Классификация методов экспертных оценок может быть следующей:

  • коллективные методы проведения экспертизы;
  • меры, направленные на получение индивидуального мнения эксперта.

Для чего может потребоваться такой метод:

  • прогнозирование ситуации в организации;
  • характеристика грядущих событий;
  • унификация мнений других экспертов;
  • составление плана по минимизации риска;
  • формирование выводов и итогов экспертизы.

Ключевыми особенностями метода экспертных оценок являются:

  • высокая степень контроля в ходе всего цикла проведения экспертной оценки, что обеспечивает эффективность работы;
  • получение во время проведения экспертизы всей потребной информации.

Метод экспертной оценки универсален, его возможно использовать в разных сферах человеческой деятельности — отличаться будет лишь состав экспертной группы.

Источник

Измерение рисков

Существует ряд подходов к измерению рисков. Обсудим наиболее распространенные из них, а именно ‑ оценку рисков по двум и по трем факторам.

Оценка рисков по двум факторам

В простейшем случае производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой

РИСК = Рпроисшествия × ЦЕНА ПОТЕРИ.

Если переменные являются количественными величинами, то риск ‑ это оценка математического ожидания потерь.

Когда переменные ‑ качественные величины, метрическая операция умножения не определена. Таким образом, в явном виде эту формулу применять не следует. Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация).

Сначала должны быть определены шкалы.

Приведем пример субъективной шкалы вероятностей событий [2]:

А — событие практически никогда не происходит;

В — событие случается редко;

С — вероятность события за рассматриваемый промежуток времени — около 0,5;

D — скорее всего, событие произойдет;

Е — событие почти обязательно произойдет.

Кроме того, устанавливается субъективная шкала серьезности происшествий, скажем, в соответствии с [2]:

N (Negligible) — воздействием можно пренебречь;

Mi (Minor) — незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на информационную технологию незначительно;

Mo (Moderate) — происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию небольшое и не затрагивает критически важные задачи;

Читайте также:  Как измерить объем лесоматериалов

S (Serious) — происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, влияет на выполнение критически важных задач;

С (Critical) — происшествие приводит к невозможности решения критически важных задач.

Для оценки рисков устанавливается шкала из трех значений:

Риск, связанный с конкретным событием, зависит от двух факторов и может быть определен так, как в табл. 1.

Таблица 1. Определение риска в зависимости от двух факторов

Шкала Negligible Minor Moderate Serious Critical
А Низкий риск Низкий риск Низкий риск Средний риск Средний риск
В Низкий риск Низкий риск Средний риск Средний риск Высокий риск
С Низкий риск Средний риск Средний риск Средний риск Высокий риск
D Средний риск Средний риск Средний риск Средний риск Высокий риск
Е Средний риск Высокий риск Высокий риск Высокий риск Высокий риск

Шкалы факторов риска и сама таблица могут быть построены иначе, иметь другое число градаций.

Подобный подход к оценке рисков достаточно распространен.

При разработке (использовании) методик оценивания рисков надо учитывать следующие особенности:

– значения шкал должны быть четко определены (необходимо их словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки;

– требуется обоснование выбранной таблицы. Следует убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков. Для этого существуют специальные процедуры проверки.

Оценка рисков по трем факторам

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. В этих методиках под понятиями «угроза» и «уязвимость» понимается следующее.

Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Уязвимость — слабость в системе защиты, которая делает возможным реализацию угрозы.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:

Pпроисшествия = Ругрозы × Руязвимости

Соответственно, риск рассчитывается следующим образом:

РИСК = Ругрозы ´ Руязвимости × ЦЕНА ПОТЕРИ.

Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал — качественная. В последнем случае применяются различного рода табличные методы для расчета риска в зависимости от трех факторов.

Например, показатель риска измеряется по 8-балльной шкале следующим образом:

1 — риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик;

2 — риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики;

8 — риск очень велик. Событие, скорее всего, наступит, и последствия будут чрезвычайно тяжелыми.

Матрица может быть построена так, как в табл. 2.

Таблица 2. Определение риска в зависимости от трех факторов

Степень серьезности происшествия (цена потери) Уровень угрозы
низкий средний высокий
Уровни уязвимостей Уровни уязвимостей Уровни уязвимостей
Н С В Н С В Н С В
Negligible
Minor
Moderate
Serious
Critical

В данной таблице уровни уязвимости Н, С, В означают, соответственно, низкий, средний и высокий.

Такие таблицы используются как в «бумажных» вариантах методик оценки рисков, так и в различного рода инструментальных средствах — ПО анализа рисков.

В последнем случае матрица задается разработчиками ПО и, как правило, не подлежит корректировке. Это один из факторов, ограничивающих точность подобного рода инструментария.

Технология оценки угроз и уязвимостей

Как правило, для оценки угроз и уязвимостей применяются различные методы, в основе которых могут лежать:

– учет факторов, влияющих на уровни угроз и уязвимостей.

Один из возможных подходов к разработке подобных методик — накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. Эта информация позволяет оценить угрозы и уязвимости в других информационных системах.

Однако при практической реализации такого подхода возникают следующие сложности.

Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области.

Во-вторых, данный подход оправдан далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если же система сравнительно невелика и эксплуатирует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз и уязвимостей могут оказаться недостоверными.

Наиболее распространен в настоящее время подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Он позволяет абстрагироваться от малосущественных технических деталей, принять во внимание не только программно-технические, но и иные аспекты.

Рассмотрим пример реализации подобного подхода, используемого в методе GRAMM 4.0 (the UK Government Risk Analysis and Management Method) для одного из классов рисков.

Оценка факторов риска использования чужого идентификатора сотрудниками организации («маскарад»)

Для оценки угроз выбраны следующие косвенные факторы:

– статистика по зарегистрированным инцидентам;

– тенденции в статистке по подобным нарушениям;

– наличие в системе информации, представляющей интерес для потенциальных внутренних или внешних нарушителей;

– моральные качества персонала;

– возможность извлечь выгоду из изменения обрабатываемой в системе информации;

– наличие альтернативных способов доступа к информации;

– статистика по подобным нарушениям в других информационных системах организации.

Оценка уязвимостей выполняется на основе следующих косвенных факторов:

– количество рабочих мест (пользователей) в системе;

– размер рабочих групп;

– осведомленность руководства о действиях сотрудников (разные аспекты);

– характер установленного на рабочих местах оборудования и ПО;

По косвенным факторам предложены вопросы и несколько фиксированных вариантов ответов, которые «стоят» определенное количество баллов. Итоговая оценка угрозы и уязвимости данного класса определяется путем суммирования баллов.

Читайте также:  Набор для измерения компрессии 11555

Ответьте на вопросы.

1. Сколько раз за последние три года сотрудники организации пытались получить несанкционированный доступ к хранящейся в информационной системе информации с использованием прав других пользователей?

а Ни разу
b Один или два раза
с В среднем раз в год
d В среднем чаще одного раза в год
е Неизвестно

2. Какова тенденция в статистике такого рода попыток несанкционированного проникновения в информационную систему?

а К возрастанию
b Оставаться постоянной
с К снижению -10

3. Хранится ли в информационной системе информация (например, личные дела), которая может представлять интерес для сотрудников организации и побуждать к несанкционированному доступу к ней?

а Да
b Нет

4. Известны ли случаи нападения, угроз, шантажа, давления на сотрудников со стороны посторонних лиц?

а Да
b Нет

5. Есть ли среди персонала группы лиц или отдельные лица с недостаточно высокими моральными качествами?

а Нет, все сотрудники отличаются высокой честностью и порядочностью
b Существуют группы лиц и отдельные личности с недостаточно высокими моральными качествами, но это вряд ли может спровоцировать их на несанкционированное использование системы
с Существуют группы лиц и отдельные личности с настолько низкими моральными качествами, что это повышает вероятность несанкционированного использования системы сотрудниками

6. Хранится ли в системе информация, несанкционированное изменение которой может принести прямую выгоду сотрудникам?

a Да
b Нет

7. Предусмотрена ли в информационной системе поддержка пользователей, обладающих техническими возможностями совершить подобные действия?

а Нет
b Да

8. Существуют ли другие способы просмотра информации, позволяющие злоумышленнику добраться до нее более простыми методами, чем с использованием «маскарада»?

а Да -10
b Нет

9. Имеются ли другие способы несанкционированного изменения информации, позволяющие злоумышленнику достичь желаемого результата более простыми методами, чем с использованием «маскарада»?

а Да -10
b Нет

10. Сколько раз за последние три года сотрудники пытались получить несанкционированный доступ к информации, хранящейся в других подобных системах в вашей организации?

а Ни разу
b Один или два раза
с В среднем раз в год
d В среднем чаще одного раза в год
е Неизвестно

Степень угрозы при количестве баллов

До 9 Очень низкая
От 10 до 19 Низкая
От 20 до 29 Средняя
От 30 до 39 Высокая
40 и более Очень высокая

Ответьте на вопросы.

1. Сколько людей имеют право пользоваться информационной системой?

а От 1 до 10
b От 11 до 50
с От 51 до 200
d От 200 до 1000
е Свыше 1000

2. Будет ли руководство осведомлено о том, что сотрудники, работающие под его началом, ведут себя необычным образом?

а Да
b Нет

3. Какие устройства и программы доступны пользователям?

а Только терминалы или сетевые контроллеры, ответственные за предоставление и маршрутизацию информации, но не за передачу данных -5
b Только стандартные офисные устройства и программы, а также управляемые с помощью меню подчиненные прикладные программы
с Пользователи могут получить доступ к операционной системе, но не к компиляторам
d Пользователи могут получить доступ к компиляторам

4. Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе?

а Да
b Нет

5. Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информационной системе?

а Менее 10 человек
b От 11 до 20 человек
с Свыше 20 человек

6. Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)?

а Да
b Нет

7. Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных?

а Официальное право предоставлено всем пользователям -2
b Официальное право предоставлено только некоторым пользователям

8. Насколько необходимо пользователям знать всю информацию, хранящуюся в системе?

а Всем пользователям необходимо знать всю информацию -4
b Отдельным пользователям необходимо знать лишь относящуюся к ним информацию

Степень уязвимости при количестве баллов

До 9 Низкая
От 10 до 19 Средняя
20 и более Высокая

Возможности и ограничения данного подхода

Несомненным достоинством данного подхода является возможность учета многих косвенных факторов (не только технических). Методика проста и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить оценки.

К недостаткам относится то, что косвенные факторы и их вес зависят от сферы деятельности организации, а также от ряда иных обстоятельств.

Таким образом, методика всегда требует подстройки под конкретный объект. При этом доказательство полноты выбранных косвенных факторов и правильности их весовых коэффициентов ‑ задача мало формализованная и сложная, которая на практике решается экспертными методами (проверка соответствия полученных по методике результатов ожидаемым для тестовых ситуаций).

Подобные методики, как правило, разрабатываются для организаций определенного профиля (ведомств), апробируются и затем используются в качестве ведомственного стандарта. По такому пути пошли и создатели GRAMM, выпустив около десятка версий метода для разных ведомств (министерство иностранных дел, вооруженные силы и т.д.).

Оценки рисков и уязвимостей в рассмотренном примере являются качественными величинами. Однако подобными методами могут быть получены и количественные оценки, необходимые при расчете остаточных рисков и решении оптимизационных задач. Для этого применяется ряд методов, позволяющих установить на упорядоченном множестве оценок систему расстояний.

Получение объективных количественных оценок рисков должно быть актуально для страховых агентств, занимающихся страхованием информационных рисков.

На практике страховые агентства пользуются в большинстве случаев качественными оценками. Простые методики, без длительного и дорогостоящего обследования, позволяют отнести информационную систему к той или иной группе риска (по классификации страховой компании) на основе интервью с рядом должностных лиц. В таких методиках также фиксируются и анализируются косвенные факторы.

Источник