Задача управления информационными рисками компании добровольного медицинского страхования Текст научной статьи по специальности «Экономика и бизнес»

Уфа: УГАТУ, 2007

Вестник уГАТу • Управление, ВТ иИ т 9 №4(22) с 77-84

УПРАВЛЕНИЕ В СОЦИАЛЬНЫХ И ЭКОНОМИЧЕСКИХ СИСТЕМАХ

УДК 519:368

Г. А. КУСТОВ

ЗАДАЧА УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ КОМПАНИИ ДОБРОВОЛЬНОГО МЕДИЦИНСКОГО СТРАХОВАНИЯ

Обозначено место информационных рисков (ИР) в дереве рисков компаний добровольного медицинского страхования (ДМС). Выделены этапы и задачи управления ИР. Рассмотрены основные положения логико-вероятностного метода (ЛВМ) как механизма анализа и оценки ИР сложных систем. Рассмотрен пример оценки итоговой вероятности реализации опасного события для информационного ресурса конкретной страховой компании. Риски страховой компании; этапы риск-анализа; информационные риски; логико-вероятостный метод; анализ и оценка опасного состояния ресурса информационной системы

ВВЕДЕНИЕ

Актуальность исследований, представленных в этой статье, связана с принятием Федерального закона «О персональных данных» и реализацией законов «Об информации, информатизации и защите информации» и «О медицинском страховании граждан в Российской Федерации». Действительность такова, что нерешенными остаются проблемы правового, технического, финансового регулирования проблем функционирования медицинских информационных систем, которые располагают хранилищем весьма «дорогих данных». Открытыми остаются вопросы гарантий доступа к информации, ее цена, вопросы защиты врачебной тайны, обмена информацией с «третьими лицами» и, безусловно, вопрос об определении размера ущерба в случае реализации опасного состояния информационной системы.

Целью деятельности страховой компании (СК) является получение прибыли от проведения эффективной политики в области страхования и инвестирования. Другими словами, деятельность страховой компании сосредоточена на решении вопросов управления техническими, нетехническими и инвестиционными рисками.

Технические риски — это риски недостаточности средств страховой компании для выполнения обязательств по страховым выплатам, обусловленные выполнением ею страховых операций.

Инвестиционные риски связаны с инвестиционной деятельностью страховой компании.

Нетехнические риски обусловлены влиянием внешних и внутренних факторов, не связанных со страховой и инвестиционной деятельностью. К ним относятся риски, связанные с нарушением бизнес-процессов, в частности, риски управления, риск невыполнения нестраховых обязательств, риск неполучения средств от посредников и риски бизнеса.

К нетехническим рискам относятся и риски, связанные с функционированием информационных систем (ИС) и технологий организации. В рамках данной работы предлагается называть их «информационные риски» (ИР). Они являются важной составляющей группы нетехнических рисков.

На рис. 1 выделены технические риски. Алгоритмы их снижения представлены в работах [1, 2]. Цель данного исследования -эффективное управление информационными рисками.

Рассмотрим основные этапы риск-анализа и задачи, решаемые на каждом из этапов (табл. 1).

В данной статье остановимся подробнее на задаче определения структуры информационных рисков компании ДМС и на задаче оценки вероятности реализации опасного состояния ресурса ИС. Для решения этих задач предлагается использовать логико-вероятностный метод вычисления и анализа безопасности и риска И А. Рябинина [3].

Рис. 1. Дерево рисков страховой компании ДМС

Т аблица1

Основные этапы риск-анализа и задачи, решаемые на каждом из этапов

Название этапа

Задачи

Этап идентификации

Этап анализа и оценки риска ресурсов и всей системы

Этап управления риском

1. Задача определения структуры информационных рисков СК.

2. Задача оценки интегрального риска информационной системы (ИС) СК:

2.1. задача оценки вероятности реализации опасного состояния ресурса ИС,

2.2. задача оценки ущерба при реализации опасного состояния ресурса ИС:

2.2.1. задача оценки материального ущерба,

2.2.2. задача оценки величины ущерба при утечке конфиденциальной информации или персональных данных, в том числе задача определения размера компенсации морального вреда.

3. Задача оценки и выбора наиболее эффективных контрмер.

4. Задача страхования информационных рисков.

5. Задача формирования величины нагрузки с учетом информационных рисков.

1. ОСНОВНЫЕ ПОЛОЖЕНИЯ ЛВМ ВЫЧИСЛЕНИЯ И АНАЛИЗА БЕЗОПАСНОСТИ И РИСКА

ЛВМ возник в результате исследований проблем безопасности сложных систем. Основная идея метода состоит в сочетании логического и вероятностного подходов при решении задач оценки надежности и безопасности сложных систем — экономических, социальных, технических и др.

Сложные системы в общем случае являются человеко-машинными системами, состоящими из таких элементов, как оборудование, компьютеры, программные средства, действия персонала и т. д. [3].

Каждый элемент может быть связан с другими элементами специфическим образом, поэтому важным этапом является выяснение взаимосвязей и топологии системы.

В ЛВМ используются понятия опасного состояния системы и опасности — способности системы переходить в опасное состояние. Начинается описание опасного состояния системы с составления сценария опасного состояния, который строится с помощью дизъюнкций и конъюнкций над инициирующими условиями и событиями.

В качестве инициирующих условий и событий выступают отказы одного или нескольких элементов системы.

Каждому элементу системы ставится в соответствие логическая переменная

(к = 1,/г) с двумя возможными состояниями (например, работоспособности/отказа, готовности/не готовности и т.п.) с заданными вероятностными параметрами этих состояний

и.

Сценарий является основой для составления логической функции или функции алгебры логики (ФАЛ), описывающей опасное состояние системы.

Следующим шагом является преобразование функции алгебры логики к вероятностной функции, которая в дальнейшем используется для получения количественной оценки вероятности реализации опасного состояния.

1.1. Постановка задачи

Дано: ресурс, для которого выделены опасные состояния Sj, _] = 1, т.

Требуется найти: вероятности реализации опасных состояний ресурса Sj, _] = 1 ,т и значимость каждого инициирующего условия или события (в терминах теории безопасности — угрозы) с точки зрения вклада в реализацию опасного состояния.

1.2. Алгоритм решения

Шаг 1. Составление сценария опасного состояния .

Шаг 2. Построение функции алгебры логики с использованием опера-

ций конъюнкции и дизъюнкции на основе сценария опасного состояния .

Шаг 3. Построение вероятностной функции на основе функции

алгебры логики.

Шаг 4. Расчет вероятности реализации опасного состояния с помощью вероятностной функции.

Шаг 5. Расчет значимости каждой угрозы с точки зрения вклада в реализацию опасного состояния.

1.3. Шаг 1. Составление сценария опасного состояния

Составление сценария опасного состояния системы можно представить в виде последовательности:

1) выделение конечного события — опасного состояния (отказа),

2) выделение промежуточных событий, приводящих к реализации опасного состояния и получаемых как комбинация двух или более инициирующих событий,

3) выделение инициирующих событий-угроз.

Для представления опасного состояния используется дерево событий или отказов.

На рис. 2 представлен пример сценария опасного состояния в виде дерева событий.

Рис. 2. Пример дерева событий для описания опасного состояния системы

1.4. Шаг 2. Построение функции алгебры логики

С помощью дерева событий составляется функция алгебры логики, описывающая условия работоспособности системы или перехода системы в опасное состояние.

При этом для описания условий работоспособности системы используется понятие «кратчайший путь успешного функционирования», а для описания условий отказа или перехода системы в опасное состояние используется понятие «минимальное сечение отказов».

Кратчайший путь успешного функционирования (КПУФ) есть конъюнкция таких элементов системы, ни один из которых нельзя изъять, не нарушив успешного функционирования системы:

Т^= П хк,

кеКЫ

где — множество номеров переменных, соответствующих данному пути.

КПУФ позволяет описать один из вариантов успешного функционирования системы, причем набор элементов минимальный.

Совокупность ребер графа, при удалении которых граф теряет свою целостность, называют разрезом или сечением.

Минимальное сечение отказов (МСО) системы есть конъюнкция отрицаний тех элементов, ни один из которых нельзя изъять,

не нарушив условия неработоспособности системы:

Ql = Хк1

к£Кд1

где — множество номеров переменных, соответствующих данному сечению.

МСО описывает один из возможных способов нарушения работоспособности системы с помощью минимального набора неработоспособных элементов.

Условие работоспособности системы можно представить в виде дизъюнкции всех имеющихся КПУФ:

с/. с1,

/(жЬ Х-2, .... Х,г) = У И7/ = У Р Хк.

1=1 1=1 кеКи’1

Условие неработоспособности системы можно представить в виде дизъюнкции всех МСО:

/, /,

/(жЬ Ж-2, • • • . хн) = У <2/ = У Р| щ.

1=1 1=1 кеКд1

Пример. Пусть дерево событий имеет вид, представленный на рис. 2.

КПУФ являются: х\С\х^, х\С\х^, *2 Пжз, х^х^.

МСО являются: х\ П Х2, П х±.

Тогда условие работоспособности имеет вид

/(.7*1, .7*2, .7*3 , .7*4 ) = (.7*1 П .7*3 ) Ы (.7*1 П .7*4) Ы

и (.7*2 П .7*3 ) и (.7*2 П .7*4).

Условие неработоспособности имеет вид

/(.7*1..7*2..7*3..7*4) = (ШГ П Х^ ) Ы (Хз ПШ4).

1.5. Шаг3. Построение вероятностной функции

На предыдущем этапе была получена ФАЛ , описывающая опас-

ное состояние системы как дизъюнкцию всех МСО.

Следующим шагом является преобразование ФАЛ к специальному виду, в котором производится замещение каждой логической переменной вероятностью ее равенства единице. Этот вид ФАЛ называют формой перехода к полному замещению (ФППЗ). ФППЗ являются совершенная дизъюнктивная нормальная форма, ортогональная дизъюнктивная нормальная форма и бесповторная ФАЛ в базисе конъюнкция-отрицание.

Построение вероятностной функции (ВФ) на основе ФППЗ осуществляется согласно специальным правилам. Результатом данного этапа является вероятностная функция

Р{[(х 1.ж2. • • •-ж/О = 1) = Р({Рк,Як}, к = = 1».

Правила построения ВФ для ФАЛ, представленной в ФППЗ [3]:

1) каждая логическая переменная в ФППЗ заменяется вероятностью ее равенства единице:

Р {х4 =1} =]>,;.

Р {.-Г; = 0} = Р {щ = 1} = (Ц = 1 -

2) отрицание функции заменяется разностью между единицей и вероятностью равенства этой функции единице;

3) операции логического умножения и сложения заменяются операциями арифметического умножения и сложения.

1.6. Шаг 4. Расчет оценки вероятности реализации опасного состояния

Подставляя значения^. к = 1. К) в ВФ, полученную на предыдущем этапе, получаем оценку вероятности реализации опасного состояния.

2. ПРИМЕНЕНИЕ ЛВМ ПРИ АНАЛИЗЕ И ОЦЕНКЕ ИР КОМПАНИИ ДМС

В данной работе информационная система департамента ДМС страховой компании рассматривается как отдельная система, состоящая из ресурсов. Отказ какого-либо из ресурсов приводит к невозможности выполнения департаментом ДМС одной или нескольких своих функций.

ЛВМ используется для получения количественных оценок вероятностей реализации опасных состояний для каждого из информационных ресурсов. Таким образом, каждый ресурс в ЛВМ в свою очередь тоже рассматривается как система.

2.1. Описание ресурсов системы

В табл. 2 представлены ресурсы департамента ДМС исследуемой страховой компании. Для выделения ресурсов департамента ДМС использовался перечень ресурсов, представленный в методике СИАММ [4]. В результате были выделены четыре группы ресурсов:

1) информационные ресурсы;

2) сервисы;

3) физические ресурсы;

4) программное обеспечение.

Для информационных ресурсов выделены следующие опасные состояния:

1) потеря ресурса (П);

2) временная недоступность ресурса (Н);

3) сочетание потери ресурса и отсутствия резервной копии ресурса (С);

4) нарушение конфиденциальности ресурса (К).

Для сервисов опасным состоянием является временная недоступность (Н). Для физических ресурсов опасными состояниями являются невосстанавливаемый и восстанавливаемый аппаратный отказ (О). Для программного обеспечения опасными состояниями являются сбой и отказ программного обеспечения (О).

Величина потерь от однократной реализации опасного состояния зависит от типа ресурса и типа опасного состояния. Оценки величины потерь от однократной реализации опасного состояния для каждого ресурса были получены в результате совместной работы с сотрудниками СК. Вопрос оценки величины потерь от нарушения конфиденциальности информационного ресурса был выделен в отдельную задачу.

Частота реализации опасного состояния в течение года была рассчитана на основе статистических данных или оценена экспертно.

Стоимость считается низкой, если восстановление сервиса производится в течение одного/двух часов, средней, если восстановление сервиса производится в течение одного рабочего дня, и высокой во всех остальных случаях.

В этой статье рассмотрим только часть ресурсов компании ДМС, а именно информационные ресурсы.

2.2. Выбор опасных состояний ресурсов для анализа

Теперь необходимо выявить те опасные состояния, потери от которых наиболее существенны, то есть наиболее значимые состояния. Для них в дальнейшем будут строиться сценарии опасных состояний и выявляться наиболее значимые угрозы (инициирующие события или условия).

На величину потерь от реализации того или иного опасного состояния или на значимость опасного состояния влияют два фактора — собственно стоимость потерь от однократной реализации опасного состояния и ча-

стота реализации опасного состояния в течение рассматриваемого временного интервала.

Для предварительной оценки стоимости потерь от реализации определенного опасного состояния в течение года предлагается использовать подход на основе нечеткой логики, а именно алгоритм Мамадани [5]. Входными данными для алгоритма являются описание и значения нечетких переменных и правила вывода вида «если ... , то ... ». Результатом работы алгоритма являются четкие значения выходной(ых) переменной(ых).

В качестве входных нечетких переменных в данном случае выступят «стоимость потерь от однократной реализации опасного состояния» и «частота реализации опасного состояния в течение года». В качестве выходной переменной — значимость опасного состояния.

Результатом данного этапа является перечень опасных состояний ресурсов, для которых необходимо провести дальнейший анализ.

2.3. Составление сценария опасного состояния

На рис. 3 представлен сценарий опасного состояния «нарушение конфиденциальности БД системы аналитической поддержки деятельности страховой компании» (подсистема «Учет оперативной деятельности»).

2.4. Построение функции алгебры логики

Согласно описанному сценарию логическая функция выглядит следующим образом:

/<' = Л', Л'2Л';!Л'|иЛ'г)Л'(,Л'7иЛ'нЛ'.)Л'|„иЛ'и и и Х12Х13Х14Х15 и ХхьХиХхъ и

и Х1дХ-2оХ-21 и Х22 и Х-2з и Х24Х20 и Х2в и и Х27Х28 и Х2д и Х30 и Х31 и Х32.

2.5. Построение вероятностной функции

Для расчета итоговой вероятности опасного события функция алгебры логики переводится в базис конъюнкция-отрицание и вычисляется по формуле

^ = Х1Х2ХзХ4Х5Х6Х7Х8Х9Х10 Х11Х12Х13Х14Х15Х16Х17Х18Х19Х20Х21Х22 Х23 Х24 Х25 Х26 Х27Х28 Х29 Х30 Х31Х32 •

Таблица 2

Информационные ресурсы компании ДМС

№ Название ресурса Тип опас- Экспертная оценка частоты Оценка стоимости реа-

ного события реализации опасного события в течение года лизации опасного события, руб.

1 БД системы аналитической поддержки деятельности страховой компании (САПД СК) П Средняя 0,33 Низкая 5 000

Н Средняя 0,2 Низкая 5 000

К Средняя 0,15 Очень высокая 3 400 000

2 Ежедневные резервные копии БД САПД СК за последние 30 дней С Низкая 0,01 Высокая 384 000

К Низкая 0,02 Очень высокая 3 400 000

3 Хранилище агрегированных данных П Средняя 0,20 Низкая 5 000

Н Средняя Средняя 5 000

К Низкая 0,02 Очень высокая 4 800 000

4 Еженедельные резервные копии хранилища агрегированных данных за последние 12 недель С Низкая 0,01 Очень высокая 700 000

К Низкая 0,02 Очень высокая 1 152 000

5 Почтовые адресные книги сотрудников департамента ДМС П Средняя 0,35 Низкая 10 000

К Средняя 0,10 Высокая 950 000

6 Почтовые БД сотрудников департамента ДМС П Средняя 0,25 Средняя 475 000

К Низкая 0,09 Очень высокая 1 900 000

7 Электронные документы департамента ДМС, хранящиеся на сетевом диске (тексты договоров, отчеты, письма и пр.) П Высокая 0,55 Высокая 576 000

К Средняя 0,12 Очень высокая 2 304 000

2.6. Расчет оценки вероятности реализации опасного состояния

В базисе конъюнкция-отрицание для расчета итоговой вероятности опасного события элементарные составляющие события могут быть заменены их вероятностями, полученными в результате экспертной оценки.

Расчетное значение вероятности

Р = 0,49.

Величина риска реализации опасного события может быть определена как

Д = .Р • 5,

где 5 — оценка стоимости реализации опасного события из табл. 2.

Таким образом, получаем

Л = 0,49 • 3400000 = 1 666 000 (руб.)

Это значительная сумма для СК. В примере рассчитанная вероятность реализации опасного события значительно превосходит первоначальную экспертную оценку. Полученный результат говорит о более тщательной оценке информационных рисков ресурсов с помощью ЛВМ.

Задачу о вкладе составляющих в итоговый риск автор решил, используя также ЛВМ.

Рис. 3. Сценарий опасного состояния «Нарушение конфиденциальности БД САПД СК»

ТаблицаЗ

Вероятности составляющих событий сценария «Нарушение конфиденциальности БД САПД СК»

XI А2 АЗ А 4 А 5 А 6 А 7 А 8 А 9 А10 АН А12 А13 А14 А15 А16

0,5 0,4 0,3 0,1 0,5 0,4 0,05 0,01 0,05 0,8 0,005 0,5 0,1 0,3 0,1 0,5

XI7 А18 А19 А20 А21 Х’2’2 А23 А24 А25 А26 А27 А 28 А29 АЗО А31 А32

0,4 0,05 0,01 0,01 0,2 0,07 0,05 0,3 0,1 0,15 0,5 0,05 0,1 0,15 0,01 0,005

Наиболее существенные ингредиенты заслуживают особого внимания и влекут за собой определение контрмер. Реализация алгоритма построения медианы Кемени позволила решить задачу выбора наиболее эффективных контрмер.

ЗАКЛЮЧЕНИЕ

ЛВМ предоставляет механизм для анализа опасных состояний информационной системы и теоретически обосновывает подход к количественной оценке риска.

Применение метода позволяет наиболее полно учитывать особенности реализации угроз в сложных информационных системах и выявлять вклад конкретной угрозы в реали-

зацию опасного состояния ресурса и всей системы.

Эта информация является ключевой для принятия решения о выборе контрмер аналитиком информационной безопасности.

Кроме того, наиболее значимые опасные состояния ресурсов могут быть проанализированы с высокой степенью детализации.

Повторная оценка риска ИС может быть произведена при существенных изменениях в сценариях опасных состояний ресурсов или в составляющих информационной системы.

СПИСОК ЛИТЕРАТУРЫ

1. Кустов, Г. А. Управление рисками в добровольном медицинском страховании / Г. А. Кустов, О. Ф. Зотова // Принятие решений в условиях неопределенности. Вопросы моде-

лирования : межвуз. науч. сб. Уфа : УГАТУ, 2006.

2. Николаева, М. А. Сравнительный анализ программного и математического обеспечения для решения задач добровольного медицинского страхования / М. А. Николаева, О. Ф. Зотова // Информационные технологии. 2005. № 8. С. 72—79.

3. Соложенцев, Е. Д. Сценарное логико-вероятностное управление риском в бизнесе и технике / Е. Д. Соложенцев. СПб. : Бизнес-Пресса, 2004. 432 с.

4. Петренко, С. А. Управление информационными рисками. Экономически оправданная безопасность / С. А. Петренко, С. В. Симонов. М.: Компания АйТи; дМк Пресс, 2005.384 с.

5. Уэно, Х. Представление знаний и использование знаний / Х. Уэно, М. Исудзука. М. : Мир, 1989. 220 с.

ОБ АВТОРЕ

Кустов Георгий Алексеевич,

аспирант каф. выч. техники и защиты информации. Дипл. инж. по орг. и технол. защиты информации (УГАТУ, 2003). Готовит дис. по управлению информ. рисками компании добр. мед. страхования.