?

Log in

No account? Create an account

serge_gorshkov


Сергей Горшков - о бизнесе в сфере ИТ

о семантической интеграции, программировании, управлении...


Previous Entry Share Next Entry
К формированию показателей безопасности
serge_gorshkov
В управлении безопасностью, как и во многих других областях, принято описывать состояние управляемой системы при помощи ключевых показателей. Приведу одно простое рассуждение на примере, чтобы продемонстрировать, как стоит формировать эти показатели, а как - нет.
На языке показателей безопасность обычно определяется как величина, обратная риску наступления неблагоприятных событий. Риск же является произведением возможного ущерба на вероятность его возникновения. Управление рисками составляет достаточно зрелую дисциплину, применяемую во многих предметных областях. Ключевые показатели риска (KRI) обычно задаются для каждого вида факторов влияния, существенных для системы. Возьмем в качестве примера предельно простой случай технологической системы, и опишем для нее набор KRI.
Пусть наша система состоит из свечи, над пламенем которой расположена ось с лопастями из фольги. Будем считать, что система выполняет свою функцию, пока восходящий поток газа от пламени свечи вращает ось. Будем принимать в расчет два фактора влияния для этой системы:

  • Если температура воздуха превысит 700C, парафин расплавится, свеча потеряет форму и потухнет.

  • Если скорость ветра превысит 0,5 м/с, свечу задует.

Введем также следующие исходные положения:

  • Мы не имеем возможности предсказывать изменение температуры воздуха и скорости ветра, то есть любое неблагоприятное событие наступает для нас полностью неожиданно.

  • Ущерб в результате наступления любого из событий примем равным 1 рублю.

  • Из статистики наблюдений известно, что в 75% случаев система выходит из строя из-за расплавления свечи, а в 25% случаев – из-за задувания.

  • Известно, что вероятность расплавления свечи составляет 1 час-1 (событие происходит 1 раз в час), вероятность задувания – 0,33 час-1 (1 раз в 3 часа).

  • Исчерпанием ресурса свечи пренебрежем.

Имея эти исходные данные, оценим показатели риска. Риск равен произведению ущерба на вероятность его наступления, то есть риск расплавления будет равен Rр=1, а риск задувания – Rз=0,33. Общий риск для системы предлагаем рассчитать, как сумму двух указанных рисков, что составит R = Rр + Rз = 1,33 руб/час. Такого подхода придерживаются, например, «Методические рекомендации по оценке рисков на железнодорожной инфраструктуре ОАО «РЖД». В некоторых других источниках предлагается при группировке частоты аварий с разными причинами использовать весовые коэффициенты, соответствующие относительному «вкладу» причины в общую статистику отказов. По такой методике, суммарный риск составил бы R=0,75 Rр+ 0,25 Rз=0,83, что, на наш взгляд, неверно.
Примем этот уровень риска за «естественный», и опишем при помощи количественных показателей безопасность системы. Для этого нужно перейти от показателей риска к показателям защищенности системы, и здесь возникает риск (уже для нас, как авторов методики расчета) существенной потери информации и искажения картины. В общем случае, степень защищенности должна быть обратна вероятности реализации риска, то есть описывать вероятность его не-реализации. Для этого авторы книги "Управление ресурсом эксплуатации высокорисковых объектов" (под ред. Н.А. Махутова) предлагают использовать формулу S = 1 – R, где S – защищенность; однако, в этом случае шкала S сильно зависит от порядка значения R, которое, к тому же, должно быть нормировано к 1. Использовать выражение S = 1/R на практике тоже чаще всего неудобно из-за того, что значение показателя оказывается не нормированным. В результате этого, например, специалисты ФГУ ВНИИ ГОЧС (Глебов В.Ю., Головина Н.С. Методический подход к оценке защищенности критически важных для национальной безопасности объектов Российской Федерации от угроз техногенного, природного характера и террористических проявлений) рекомендуют использовать в качестве метрики защищенности степень реализации мероприятий по защите, предусмотренных требованиями нормативной документации. Здесь происходит важный смысловой сдвиг: защищенность становится характеристикой мероприятий по защите и теряет привязку к риску, который обеспечивал физический смысл ее значения.
Посмотрим, что происходит при реализации этого метода. Пусть для нас защищенность от фактора риска равна 0, если этот риск равен «естественному», то есть в отсутствие проводимых мероприятий; и равен 1, если риск сведен к 0, то есть объект абсолютно защищен от данного риска. Общую защищенность будем определять как среднее арифметическое от защищенности по всем направлениям, с весовыми коэффициентами, соответствующими исходной статистике причин аварий. В начальном состоянии системы защищенность от обоих факторов равна 0, как и общая защищенность системы. Предположим, мы установили защитный экран, который вдвое снижает частоту события «задувание свечи», то есть соответствующий риск становится равным 0,16 руб/час. Общий риск будет равен 1,16 руб/час, защищенность от задувания – 0,5, а общая защищенность S = 0,75*0 + 0,25*0,5 = 0,125. Обратим внимание на то, что защищенность при этом становится безразмерной величиной. Далее, предположим, что вместо экрана мы установили систему кондиционирования воздуха, которая сделала невозможным подъем температуры до 70 градусов. Тогда риск расплавления становится равен 0, общий риск – 0,33 руб/час, защищенность от расплавления – 1, а общая защищенность S = 0,75*1 + 0,25*0 = 0,75. Полученные результаты, казалось бы, соответствуют здравому смыслу. Проблемы начнутся в тот момент, когда риски начнут увеличиваться по сравнению с «естественными» значениями. Предположим, в атмосфере увеличилась турбулентность, и вероятность задувания свечи повысилась до 0,66 час-1 (1 раз в полтора часа). Защищенность, в соответствии с нашим алгоритмом, останется равной 0, или примет отрицательное значение (в зависимости от методики вычисления). Общий риск, однако, возрастет до 1,66 руб/час (в отсутствие мероприятий). Более того, если кондиционер в помещении был установлен, защищенность будет равна 0,75, а риск составит 0,66. Показатель риска будет в два раза выше, чем при исходном значении турбулентности, а на показателе защищенности это никак не отразится: он будет по-прежнему высок. Увидев такой показатель на панели, руководитель будет считать, что система находится в относительной безопасности, и не нуждается в дальнейшей защите. Сведем результаты нашего эксперимента в таблицу:

Ситуация Риск Защищенность
Без мероприятий
(низкая турбулентность)
1,33 0
Установлен экран 1,16 0,125
Установлен кондиционер 0,33 0,75
Без мероприятий
(высокая турбулентность)
1,66 0
Установлен кондиционер 0,66 0,75

Цветами выделены разные ситуации, характеризующиеся различным уровнем риска, но одинаковой «защищенностью».
Более того – при этом происходит и потеря информации. В классической теории информации (Голдман и др.) количество (не объем!) информации является мерой устранения неопределенности. Применим этот принцип к нашему случаю. Показатель риска полностью информативен – он устраняет неопределенность относительно того, какими будут средние материальные потери в единицу времени. Показатель защищенности, казалось бы, должен устранять неопределенность относительно того, насколько система устойчива к воздействию неблагоприятных факторов. Однако мы видим, что для двух разных случаев – с низкой и высокой турбулентностью атмосферы – значение защищенности одно и то же. Следовательно, имея в своем распоряжении значение этого показателя, мы не устраняем неопределенность относительно способности системы сопротивляться внешним факторам – просто потому, что показатель описывает только защитный потенциал самой системы, безотносительно внешних условий, которые могут сложиться таким образом, что наши средства защиты окажутся абсолютно бесполезными. Значит, заключающееся во введенном нами показателе «защищенность» количество информации меньше, чем в показателе «риск».
Каково же решение проблемы? Оно состоит в том, чтобы понятие защищенности не теряло прямой связи с риском. Приняв S=1/R, получим следующие результаты:

Ситуация Риск Защищенность
Без мероприятий
(низкая турбулентность)
1,33 0,75
Установлен экран 1,16 0,86
Установлен кондиционер 0,33 3
Без мероприятий
(высокая турбулентность)
1,66 0,6
Установлен кондиционер 0,66 1,5

При таком варианте защищенность имеет размерность – час/руб, и физический смысл – она соответствует среднему времени, в течение которого мы теряем 1 рубль стоимости активов вследствие неблагоприятных событий. Очевидно, что чем лучше объект защищен, тем больше времени будет требоваться на накопление потерь. Эти результаты хорошо согласованы, но, к сожалению, значение защищенности оказывается не нормированным, и при риске, стремящемся к нулю, стремится к бесконечности – что делает его крайне неудобным для использования в панелях индикаторов.
Однако, этим проблемы оценки рисков не исчерпываются. Вернемся к самому началу нашего рассуждения. Мы определили риск через вероятность наступления события, несущего негативные последствия. Что же делать в случае, когда эта вероятность принципиально не может быть определена? Хрестоматийным примером является ситуация с защищенностью золотого запаса США, хранящегося в Форт Нокс. За всю историю не произошло ни одного ограбления этого хранилища, и при всей изощренности воображения аналитиков невозможно представить себе сколько-нибудь достоверную ситуацию, при которой оно могло бы удаться. Следовательно, риск ограбления этого объекта стремится к нулю, а его защищенность – к бесконечности. Однако, это совсем не означает, что можно ослабить охрану данного объекта. Таким образом, в этом случае становится очевидным, что значения показателей не могут быть единственным основанием для принятия управленческих решений.
Наш вывод состоит в том, что ключевые показатели риска и безопасности могут быть полезными, но при этом необходимо:
а) четко соблюдать и обосновывать наличие у них физического смысла,
б) исключать произвольность методики вычисления показателей,
в) исключать их нормирование с потерей смысла и размерности,
г) при принятии управленческих решений принимать во внимание, что следствием этих решений может быть изменение «правил игры», которое может повлечь перестройку в том числе системы показателей как таковой, правил их определения, а не только значений.