Рекомендованные программные продукты для анализа рисков проектов. Методики и программные продукты для оценки рисков Riscis Watch

В программе оценки риска определяются процедуры оценки и присвоения степени (уровня) риска клиенту с учетом требований к его идентификации:

  • а) при возникновении договорных отношений с клиентом (принятии его на обслуживание);
  • б) в ходе обслуживания клиента (по мере совершения операций (сделок));
  • в) в иных случаях, предусмотренных организацией в правилах внутреннего контроля.

Программа оценки риска предусматривает проведение оценки риска клиентов на основе признаков операций, видов и условий деятельности, имеющих повышенный риск совершения клиентами операций в целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма, с учетом рекомендаций Группы разработки финансовых мер борьбы с отмыванием денег (ФАТФ).

В информационном письме Росфинмониторинга от 2 августа 2011 г. № 71 представлены признаки операций, видов и условий деятельности, имеющих повышенный риск совершения клиентами операций в целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма (за исключением кредитных организаций). Это:

  • 1. Деятельность по организации и проведению азартных игр.
  • 2. Деятельность, связанная с реализацией, в том числе комиссионной, предметов искусства, антиквариата, мебели, легковых транспортных средств, предметов высокой роскоши.
  • 3. Деятельность, связанная со скупкой, куплей-продажей драгоценных металлов, драгоценных камней, а также ювелирных изделий, содержащих драгоценные металлы и драгоценные камни, и лома таких изделий.
  • 4. Деятельность, связанная с совершением сделок с недвижимым имуществом и/или оказанием посреднических услуг при совершении сделок с недвижимым имуществом.
  • 5. Туроператорская и турагентская деятельность, а также иная деятельность по организации путешествий (туристская деятельность).
  • 6. Любая деятельность, связанная с интенсивным оборотом наличности.
  • 7. Период деятельности с даты государственной регистрации юридического лица, индивидуального предпринимателя, получения статуса адвоката, нотариуса, составляющий менее 1 года.
  • 8. Период нахождения клиента на обслуживании в организации (срок, прошедший с даты принятия на обслуживание клиента), составляющий менее 1 года.
  • 9. Отсутствие по адресу места нахождения юридического лица постоянно действующих органов управления, иных органов или лиц, имеющих право действовать от имени такого юридического лица без доверенности.
  • 10. Осуществление клиентом взаимодействия с организацией, ведущей операции с денежными средствами или иным имуществом, исключительно через представителя, действующего по доверенности.
  • 11. Участие клиента (выгодоприобретателя, учредителя) в федеральных целевых программах или национальных проектах либо назначение его резидентом особой экономической зоны.
  • 12. Случай, когда клиент (выгодоприобретатель, учредитель) является организацией, в уставном капитале которой присутствует доля государственной собственности.
  • 13. Случай, когда клиент (выгодоприобретатель) является нерезидентом Российской Федерации.
  • 14. Случай, когда клиент является иностранным публичным должностным лицом либо действует в интересах (к выгоде) иностранного публичного должностного лица.
  • 15. Случай, когда клиент является супругом, близким родственником (родственником по прямой восходящей и нисходящей линии (родителем и ребенком, дедушкой, бабушкой и внуком), полнородным и неполнородным (имеющим общих отца или мать) братом или сестрой, усыновителем и усыновленным) иностранного публичного должностного лица.
  • 16. Совершение клиентом операций с денежными средствами или иным имуществом, подлежащих обязательному контролю в соответствии с п. 2 ст. 6 Федерального закона.
  • 17. Наличие в деятельности клиента подозрительных операций, сведения по которым представлялись в уполномоченный орган.
  • 18. Осуществление клиентом расчетов по операции (сделке) с использованием интернет-технологий, электронных платежных систем, альтернативных систем денежных переводов или иных систем удаленного доступа, либо иным способом без непосредственного контакта (за исключением внесения разовых платежей через платежный терминал на сумму менее 15 000 руб. либо эквивалента этой суммы в иностранной валюте).
  • 19. Случай, когда клиент (его контрагент, представитель клиента, выгодоприобретатель или учредитель клиента) является фигурантом Перечня организаций и физических лиц, в отношении которых имеются сведения об их участии в экстремистской деятельности.
  • 20. Случай, когда адрес регистрации (места нахождения или места жительства) клиента (представителя клиента, выгодоприобретателя или учредителя клиента) совпадает с адресом регистрации (местом нахождения или местом жительства) фигурантов Перечня организаций и физических лиц, в отношении которых имеются сведения об их участии в экстремистской деятельности.
  • 21. Случай, когда клиент является близким родственником лица, включенного в Перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму.
  • 22. Осуществление деятельности общественных и религиозных организаций (объединений), благотворительных фондов, иностранных некоммерческих неправительственных организаций и их представительств и филиалов на территории Российской Федерации.
  • 23. Случай, когда клиент является руководителем или учредителем общественной или религиозной организации (объединения), благотворительного фонда, иностранной некоммерческой неправительственной организации, ее филиала или представительства, осуществляющего свою деятельность на территории РФ.
  • 24. Случай, когда клиент (его контрагент, представитель клиента, выгодоприобретатель или учредитель клиента) зарегистрирован в государстве или на территории с высокой террористической или экстремистской активностью.
  • 25. Случай, когда клиент (его контрагент, представитель клиента выгодоприобретатель или учредитель клиента) имеет, соответственно, регистрацию, место жительства или место нахождения в государстве (на территории), которое (которая) не выполняет рекомендации Группы разработки финансовых мер борьбы с отмыванием денег (ФАТФ), либо если указанные операции проводятся с использованием счета в банке, зарегистрированном в указанном государстве (на указанной территории).
  • 26. Случай, когда клиент или его учредитель (выгодоприобретатель) либо контрагент клиента по операции (сделке) зарегистрирован или осуществляет деятельность в государстве или на территории, предоставляющем(щей) льготный налоговый режим налогообложения и (или) не предусматривающем(щей) раскрытия и предоставления информации при проведении финансовых операций (оффшорной зоне).
  • 27. Иные признаки по усмотрению организации.

Вышеуказанный перечень может быть дополнен организацией (иным лицом) с учетом особенностей ее (его) деятельности, а также специфики совершаемых операций (сделок).

Программа оценки риска предусматривает порядок и периодичность осуществления мониторинга операций (сделок) клиента в целях проведения оценки степени (уровня) риска и последующего контроля за ее изменением.

CRAMM, RiskWatch и ГРИФ

Актуальность задачи обеспечения информационной безопасности для бизнеса

Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности современного крупного бизнеса. Основной вопрос современного бизнеса - как оценить достаточный уровень вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ - применение систем анализа рисков, позволяющих оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).

Для подтверждения факта актуальности задачи обеспечения безопасности бизнеса, воспользуемся отчетом ФБР за 2003 год. Данные были собраны на основе опроса 530 американских компаний (средний и крупный бизнес).

Статистика инцидентов области ИТ-безопасности неумолима. Согласно данным ФБР в 2003 году 56% опрошенных компаний подвергались атаке:

Потери от разного вида информационных воздействий показаны на следующем графике:

Обоснование необходимости инвестиций в информационную безопасность компании

По статистике, самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины:

  1. ограничение бюджета;
  2. отсутствие поддержки со стороны руководства.

Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности для ИТ-менеджера задачи обосновать, зачем необходимо вкладывать деньги в информационную безопасность. Зачастую многие склонны думать, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках - техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.

Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и все это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным.

Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: британский CRAMM (компания Insight Consulting), американский RiskWatch (компания ) и российский ГРИФ (компания ). Рассмотрим далее данные методы и построенные на их базе программные системы.

CRAMM

Метод (the UK Goverment Risk Analysis and Managment Method) был разработан Службой безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется, начиная с 1985 года, правительственными и коммерческими организациями Великобритании. К настоящему моменту CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.

Метод CRAMM выбран нами для более детального рассмотрения и это не случайно. В настоящее время CRAMM - это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:

  • проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;
  • проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 - Code of Practice for Information Security Management BS7799;
  • разработку политики безопасности и плана обеспечения непрерывности бизнеса.

В основе CRAMM, в котором сочетаются количественные и качественные методы анализа, лежит комплексный подход к оценке рисков. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется коммерческий профиль (Commercial Profile), для правительственных организаций - правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»).

Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

Если по результатам проведения первого этапа , установлено, что уровень критичности ресурсов является очень низким и существующие риски заведомо не превысят некоторого базового уровня, то к системе предъявляется минимальный набор требований безопасности. В этом случае большая часть мероприятий второго этапа не выполняется, а осуществляется переход к третьему этапу, на котором генерируется стандартный список контрмер для обеспечения соответствия базовому набору требований безопасности.

На втором этапе производится анализ угроз безопасности и уязвимостей. Исходные данные для оценки угроз и уязвимостей аудитор получает от уполномоченных представителей организации в ходе соответствующих интервью. Для проведения интервью используются специализированные опросники.

На третьем этапе решается задача управления рисками, состоящая в выборе адекватных контрмер. Решение о внедрении в систему новых механизмов безопасности и модификации старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задачей аудитора является обоснование рекомендуемых контрмер для руководства организации.

В случае принятия решения о внедрении новых контрмер и модификации старых, на аудитора может быть возложена задача подготовки плана внедрения новых контрмер и оценки эффективности их использования. Решение этих задач выходит за рамки метода CRAMM.

Концептуальная схема проведения обследования по методу CRAMM показана на схеме:

К недостаткам метода CRAMM можно отнести следующее:

  • Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора.
  • CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки.
  • Аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора.
  • Программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике.
  • CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся.
  • Возможность внесения дополнений в базу знаний CRAMM недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.
  • ПО CRAMM существует только на английском языке.
  • Высокая стоимость лицензии.

RiskWatch

Программное обеспечение RiskWatch , разрабатываемое американской компанией , является мощным средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

  • RiskWatch for Physical Security - для физических методов защиты ИС;
  • RiskWatch for Information Systems - для информационных рисков;
  • HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA;
  • RiskWatch RW17799 for ISO17799 - для оценки требованиям стандарта ISO17799.

В методе RiskWatch в качестве критериев для оценки и управления рисками используются «предсказание годовых потерь» (Annual Loss Expectancy - ALE) и оценка «возврата от инвестиций» (Return on Investment - ROI). Семейство программных продуктов RiskWatch, имеет массу достоинств.

RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 фазы:

Первая фаза - определение предмета исследования. На данном этапе описываются общие параметры организации - тип организации, состав исследуемой системы, базовые требования в области безопасности. Описание формализуется в ряде подпунктов, которые можно выбрать для более подробного описания или пропустить.

Далее каждый из выбранных пунктов описывается подробно. Для облегчения работы аналитика в шаблонах даются списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют в организации.

Вторая фаза - ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. На этом этапе подробно описываются ресурсы, потери и классы инцидентов.

Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов. Для выявления возможных уязвимостей используется опросник, база которого содержит более 600 вопросов, связанных с категориями ресурсов. Допускается корректировка вопросов, исключение или добавление новых. Задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это используется в дальнейшем для расчета эффективности внедрения средств защиты.

Третья фаза - оценка рисков. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах. Для рисков рассчитываются математические ожидания потерь за год по формуле:
m=p * v, где p - частота возникновения угрозы в течение года, v - стоимость ресурса, который подвергается угрозе.

Например, если стоимость сервера $150 000, а вероятность того, что он будет уничтожен пожаром в течение года, равна 0.01, то ожидаемые потери составят $1 500. Дополнительно рассматриваются сценарии «что если... », которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедрения защитных мер и без них можно оценить эффект от таких мероприятий.

Четвертая фаза - генерация отчетов. Типы отчетов: краткие итоги; полные и краткие отчеты об элементах, описанных на стадиях 1 и 2; отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз; отчет об угрозах и мерах противодействия; отчет о результатах аудита безопасности.

К недостаткам RiskWatch можно отнести:

  • Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов. Полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций - метод не учитывает комплексный подход к информационной безопасности.
  • ПО RiskWatch существует только на английском языке.
  • Высокая стоимость лицензии - от $15 000 за одно рабочее место для небольшой компании и от $125 000 за корпоративную лицензию.

ГРИФ

Для проведения полного анализа информационных рисков, прежде всего, необходимо построить полную модель информационной системы с точки зрения ИБ. Для решения этой задачи , в отличие от представленных на рынке западных систем анализа рисков, довольно громоздких и часто не предполагающих самостоятельного использования ИТ-менеджерами и системными администраторами, ответственными за обеспечение безопасности информационных систем компаний, обладает простым и интуитивно понятным для пользователя интерфейсом. Однако за внешней простотой скрывается сложный алгоритм анализа рисков, учитывающий более ста параметров, который позволяет на выходе дать точную оценку существующих в информационной системе рисков, основанную на анализе особенностей практической реализации информационной системы.

Основная задача системы ГРИФ - дать возможность ИТ-менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе и эффективность существующей практики по обеспечению безопасности компании, а также предоставить возможность доказательно (в цифрах) убедить руководство компании в необходимости инвестиций в сферу ее информационной безопасности.

На первом этапе метода ГРИФ проводится опрос ИТ-менеджера с целью определения полного списка информационных ресурсов, представляющих ценность для компании.

На втором этапе проводится опрос ИТ-менеджера с целью ввода в систему ГРИФ всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т. д.). Заключительная фаза - указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.

На третьем этапе проходит определение всех видов пользовательских групп с указанием числа пользователей в каждой группе. Затем фиксируется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащим ценную информацию.

На четвертом этапе проводится опрос ИТ-менеджера для определения средств защиты ценной информации на ресурсах. Кроме того, в систему вводится информация о разовых затратах на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также ежегодные затраты на сопровождение системы информационной безопасности компании.

На завершающем этапе необходимо ответить на вопросы по политике безопасности, реализованной в системе, что позволит оценить реальный уровень защищенности системы и детализировать оценки рисков.

Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т. д.

В результате выполнения всех действий по данным этапам, на выходе будет сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволит перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета.

Подробный отчет по системе , дающий картину возможного ущерба от инцидентов, готов для представления руководству компании:

К недостаткам ГРИФ можно отнести:

  • Отсутствие привязки к бизнесс-процессам (запланировано в следующей версии).
  • Отсутствие возможности сравнения отчетов на разных этапах внедрения комплекса мер по обеспечению защищенности (запланировано в следующей версии).
  • Отсутствие возможности добавления специфичных для данной компании требований политики безопасности.
При написании статьи использовалась литература:
  1. Современные технологии анализа рисков в информационных системах (PCWEEK N37"2001), Сергей Симонов
  2. Материалы компании «Джет Инфосистемс»
  3. Материалы компании «Digital Security»

Необходимость инвестиций в информационную безопасность (ИБ) бизнеса не вызывает сомнений. Чтобы подтвердить актуальность задачи обеспечения безопасности бизнеса, воспользуемся отчетом ФБР, выпущенным по материалам опроса американских компаний (средний и крупный бизнес). Статистика инцидентов в области ИТ-секьюрити неумолима. Согласно данным ФБР, в нынешнем году 56% опрошенных компаний подвергались атаке (рис. 1).

Но как оценить уровень вложений в ИБ, который обеспечит максимальную эффективность вложенных средств? Для решения этой задачи существует только один способ - применять системы анализа рисков, позволяющие оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).

Обоснование инвестиций

По статистике, самые серьезные препятствия на пути принятия каких-либо мер для обеспечения информационной безопасности в компании связаны с двумя причинами: ограничение бюджета и отсутствие поддержки со стороны руководства.

Обе эти причины возникают из-за непонимания руководством серьезности вопроса и неспособности ИТ-менеджера обосновать, зачем вкладывать деньги в информационную безопасность. Часто считается, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках - техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для улучшения защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.

Если ИТ-менеджер четко представляет себе, сколько денег компания может потерять в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно принять для повышения уровня защищенности, не потратив при этом лишних денег, и все это подтверждено документально, то решение его задачи - убедить руководство обратить внимание и выделить средства на обеспечение ИБ - становится значительно более реальным.

Для решения такого рода задач разработаны специальные методы и построенные на их базе программные комплексы анализа и контроля информационных рисков. Мы рассмотрим систему CRAMM британской компании Insight Consulting (http://www.insight.co.uk), американскую RiskWatch одноименной компании (http://www.riskwatch.com) и российский пакет ГРИФ компании Digital Security (http://www.dsec.ru). Их сравнительные характеристики приведены в таблице.

Сравнительный анализ инструментальных средств анализа рисков

Критерии сравнения CRAMM RiskWatch ГРИФ 2005 Digital Security Office
Поддержка Обеспечивается Обеспечивается Обеспечивается
Легкость работы для пользователя Требует специальной подготовки и высокой квалификации аудитора Интерфейс ориентирован на ИТ-менеджеров и руководителей; не требует специальных знаний в области ИБ
Стоимость лицензии за одно рабочее место, долл. От 2000 до 5000 От 10 000 От 1000
Системные требования

ОС Windows 98/Me/NT/2000/XP
Свободное дисковое пространство 50 Мбайт

Минимальные требования:
частота процессора 800 МГц, 64 Мбайт памяти

 ОС Windows 2000/XP
Свободное дисковое пространство для инсталляции 30 Мбайт
Процессор Intel Pentium или совместимый, 256 Мбайт памяти

ОС Windows 2000/XP

Минимальные требования:
свободное дисковое пространство (для диска c данными пользователя) 300 Мбайт, 256 Мбайт памяти
Функциональность

Входные данные:

  • ресурсы;
  • ценность ресурсов;
  • угрозы;
  • уязвимости системы;
  • выбор адекватных контрмер.

Варианты отчетов:

  • отчет по анализу рисков;
  • общий отчет по анализу рисков;
  • детализированный отчет по анализу рисков.

Входные данные:

  • тип информационной системы;
  • базовые требования в области безопасности;
  • ресурсы;
  • потери;
  • угрозы;
  • уязвимости;
  • меры защиты;
  • ценность ресурсов;
  • частота возникновения угроз;
  • выбор контрмер.

Варианты отчетов:

  • краткие итоги;
  • отчет о стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз;
  • отчет о ROI

Входные данные:

  • ресурсы;
  • сетевое оборудование;
  • виды информации;
  • группы пользователей;
  • средства защиты;
  • угрозы;
  • уязвимости;
  • выбор контрмер.

Состав отчета:

  • инвентаризация ресурсов;
  • риски по видам информации;
  • риски по ресурсам;
  • соотношение ущерба и риска информации и ресурса;
  • выбранные контрмеры;
  • рекомендации экспертов.
Количественный/качественный метод Качественная оценка Количественная оценка Качественная и количественная оценки
Сетевое решение Отсутствует Отсутствует Корпоративная версия Digital Security Office 2005

CRAMM

Метод CRAMM (CCTA Risk Analysis and Management Method) был разработан Агентством по компьютерам и телекоммуникациям Великобритании (Central Computer and Telecommunications Agency) по заданию британского правительства и взят на вооружение в качестве государственного стандарта. Начиная с 1985 г. он используется правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting занимается разработкой и сопровождением программного продукта, реализующего метод CRAMM.

Метод CRAMM (http://www.cramm.com) не случайно выбран нами для более детального рассмотрения. В настоящее время CRAMM - это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать ряд других аудиторских задач, включая:

  • обследование ИС и выпуск сопроводительной документации на всех этапах его проведения;
  • аудит в соответствии с требованиями британского правительства, а также стандарта BS 7799:1995 Code of Practice for Information Security Management;
  • разработку политики безопасности и плана обеспечения непрерывности бизнеса.

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод универсален и подходит и для больших, и для малых организаций как правительственного, так и коммерческого сектора. Версии ПО CRAMM, ориентированные на разные типы организаций, отличаются друг от друга базами знаний (profiles): для коммерческих организаций имеется Commercial Profile, для правительственных - Government profile. Правительственный вариант профиля также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC ("Оранжевая книга"). Концептуальная схема проведения обследования по методу CRAMM показана на рис. 2.

При грамотном использовании метода CRAMM удается получать очень хорошие результаты, из которых, пожалуй, наиболее важный - возможность экономического обоснования расходов организации на обеспечение ИБ и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет в конечном счете сохранить средства, избегая неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задача первого этапа состоит в ответе на вопрос: "Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?" На втором этапе проводится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

На первой стадии исследования выполняется идентификация и определение ценности защищаемых ресурсов. Оценка проводится по десятибалльной шкале, причем критериев оценки может быть несколько - финансовые потери, ущерб репутации и т. д. В описаниях CRAMM в качестве примера приводится такая шкала оценки по критерию "Финансовые потери, связанные с восстановлением ресурсов":

  • 2 балла - менее 1000 долл.;
  • 6 баллов - от 1000 до 10 000 долл.;
  • 8 баллов - от 10 000 до 100 000 долл.;
  • 10 баллов - свыше 100 000 долл.

При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что для рассматриваемой системы достаточно базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ), и вторая стадия исследования пропускается.

На второй стадии идентифицируются и оцениваются угрозы в сфере ИБ, проводится поиск и оценка уязвимостей защищаемой системы. Уровень угроз оценивается по следующей шкале: очень высокий, высокий, средний, низкий, очень низкий. Уровень уязвимости оценивается как высокий, средний или низкий. На основе этой информации вычисляется оценка уровня риска по семибалльной шкале (рис. 3).

На третьей стадии CRAMM генерирует варианты мер противодействия выявленным рискам. Продукт предлагает рекомендации следующих типов:

  • рекомендации общего характера;
  • конкретные рекомендации;
  • примеры того, как можно организовать защиту в данной ситуации.

CRAMM имеет обширную базу, в которой содержатся описания около 1000 примеров реализации подсистем защиты различных компьютерных систем. Эти описания можно использовать в качестве шаблонов.

Решение о внедрении в систему новых механизмов безопасности и модификации старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задача аудитора состоит в том, чтобы обосновать рекомендуемые меры для руководства организации.

Если принято решение о внедрении новых контрмер и модификации старых, на аудитора может быть возложена задача подготовки плана внедрения и оценки эффективности использования этих мер. Решение этих задач выходит за рамки метода CRAMM.

К недостаткам метода CRAMM можно отнести следующие:

  • метод требует специальной подготовки и высокой квалификации аудитора;
  • аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
  • CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, запущенных в эксплуатацию, нежели для ИС, находящихся на стадии разработки;
  • программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
  • CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
  • возможность внесения дополнений в базу знаний CRAMM недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
  • ПО CRAMM не локализовано, существует только на английском языке;
  • высокая стоимость лицензии - от 2000 до 5000 долл.

RiskWatch

ПО RiskWatch - это мощное средство анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

  • RiskWatch for Physical Security - для физических методов защиты ИС;
  • RiskWatch for Information Systems - для информационных рисков;
  • HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act);
  • RiskWatch RW17799 for ISO 17799 - для оценки соответствия требованиям стандарта ISO 17799.

В методе RiskWatch в качестве критериев для оценки и управления рисками используются предсказание годовых потерь (Annual Loss Expectancy, ALE) и оценка возврата от инвестиций (Return on Investment, ROI).

Семейство программных продуктов RiskWatch имеет массу достоинств. RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. В отличие от CRAMM, программа RiskWatch более ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. Следует также отметить, что в этом продукте риски в сфере информационной и физической безопасности компьютерной сети предприятия рассматриваются совместно.

В основе продукта RiskWatch лежит методика анализа рисков, в которой можно выделить четыре этапа.

Первый этап - определение предмета исследования. Здесь описываются такие параметры, как тип организации, состав исследуемой системы (в общих чертах), базовые требования в области безопасности. Для облегчения работы аналитика в шаблонах, соответствующих типу организации ("коммерческая информационная система", "государственная/военная информационная система" и т. д.), есть списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют в организации.

Например, для потерь предусмотрены такие категории:

  • задержки и отказ в обслуживании;
  • раскрытие информации;
  • прямые потери (например, от уничтожения оборудования огнем);
  • жизнь и здоровье (персонала, заказчиков и т. д.);
  • изменение данных;
  • косвенные потери (например, затраты на восстановление);
  • репутация.

Второй этап - ввод данных, описывающих конкретные характеристики системы. Они могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей.

На этом этапе подробно описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов.

Для выявления возможных уязвимостей используется опросник, база которого содержит более 600 вопросов. Вопросы связаны с категориями ресурсов. Задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это используется в дальнейшем для расчета эффекта от внедрения средств защиты.

Третий и, наверное, самый важный этап - количественная оценка. На этом этапе рассчитывается профиль рисков и выбираются меры обеспечения безопасности. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих шагах исследования (риск описывается совокупностью этих четырех параметров).

Фактически риск оценивается с помощью математического ожидания потерь за год. Например, если стоимость сервера - 150 тыс. долл., а вероятность того, что он будет уничтожен пожаром в течение года, равна 0,01, то ожидаемые потери составят 1500 долл.

Общеизвестная формула m=p х v, где m - математическое ожидание, p - вероятность возникновения угрозы, v - стоимость ресурса, претерпела некоторые изменения в связи с тем, что RiskWatch использует определенные американским Институтом стандартов NIST оценки, называемые LAFE и SAFE. LAFE (Local Annual Frequency Estimate) показывает, сколько раз в год в среднем данная угроза реализуется в данном месте (например, в городе). SAFE (Standard Annual Frequency Estimate) показывает, сколько раз в год в среднем данная угроза реализуется в этой "части мира" (например, в Северной Америке). Вводится также поправочный коэффициент, который позволяет учесть, что при реализации угрозы защищаемый ресурс может быть уничтожен не полностью, а лишь частично.

Дополнительно рассматриваются сценарии "что, если...", которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедрения защитных мер и без них, можно оценить эффект от таких мероприятий.

RiskWatch включает в себя базы с оценками LAFE и SAFE, а также с обобщенным описанием различных типов средств защиты.

Эффект от внедрения средств защиты количественно описывается с помощью показателя ROI (Return on Investment - отдача от инвестиций), который показывает отдачу от сделанных инвестиций за определенный период времени. Рассчитывается этот показатель по формуле:

где Costsi - затраты на внедрение и поддержание i-той меры защиты; Benefitsi - оценка той пользы (ожидаемого снижения потерь), которую приносит внедрение данной меры защиты; NVP (Net Value Present) дает поправку на инфляцию.

Четвертый этап - генерация отчетов. Возможны следующие типы отчетов:

  • краткие итоги;
  • полные и краткие отчеты об элементах, описанных на стадиях 1 и 2;
  • отчет о стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз;
  • отчет об угрозах и мерах противодействия;
  • отчет о ROI;
  • отчет о результатах аудита безопасности.

Пример расчета показателя ROI для различных мер защиты приведен на рис. 5.

Таким образом, RiskWatch позволяет оценить не только риски, которые сейчас существуют на предприятии, но и ту выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия.

Для отечественных пользователей проблема заключается в том, что получить используемые в RiskWatch оценки (такие, как LAFE и SAFE) для наших условий достаточно проблематично. Хотя сама методология может с успехом применяться и у нас.

Подводя итог, отметим, что, выбирая конкретную методику анализа рисков на предприятии и поддерживающие ее инструментальные средства, следует ответить на вопрос: нужна ли точная количественная оценка последствий реализации угроз или достаточно оценки на качественном уровне. Необходимо также учитывать следующие факторы: наличие экспертов, способных дать достоверные оценки объема потерь от угроз информационной безопасности, и наличие на предприятии достоверной статистики инцидентов в сфере информационной безопасности.

К недостаткам RiskWatch можно отнести следующее:

  • данный метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов;
  • полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций - метод не учитывает комплексный подход к информационной безопасности;
  • ПО RiskWatch существует только на английском языке;
  • высокая стоимость лицензии - от 10 000 долл. за одно рабочее место для небольшой компании.

ГРИФ

ГРИФ - это комплексная система анализа и управления рисками информационной системы компании. ГРИФ 2005 из состава Digital Security Office (http://www.dsec.ru/products/grif/) дает картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную стратегию защиты корпоративной информации.

Система ГРИФ анализирует уровень защищенности ресурсов, оценивает возможный ущерб от реализации угроз ИБ и помогает управлять рисками, выбирая контрмеры.

Анализ рисков ИС проводится двумя способами: при помощи модели информационных потоков или модели угроз и уязвимостей, в зависимости от того, какими исходными данными располагает пользователь, а также от того, какие данные его интересуют на выходе.

Модель информационных потоков

При работе с моделью информационных потоков в систему вносится полная информация обо всех ресурсах с ценной информацией, пользователях, имеющих доступ к этим ресурсам, видах и правах доступа. Заносятся данные обо всех средствах защиты каждого ресурса, сетевые взаимосвязи ресурсов, характеристики политики безопасности компании. В результате получается полная модель информационной системы.

На первом этапе работы с программой пользователь вносит все объекты своей информационной системы: отделы, ресурсы (к специфичным объектам данной модели относятся сетевые группы, сетевые устройства, виды информации, группы пользователей, бизнес-процессы).

Далее пользователю необходимо проставить связи, т. е. определить, к каким отделам и сетевым группам относятся ресурсы, какая информация хранится на ресурсе и какие группы пользователей имеют к ней доступ. Пользователь также указывает средства защиты ресурса и информации.

На завершающем этапе пользователь отвечает на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков.

Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т. д.

В результате выполнения всех действий на данных этапах на выходе формируется полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволяет перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета.

Модель угроз и уязвимостей

Работа с моделью анализа угроз и уязвимостей подразумевает определение уязвимостей каждого ресурса с ценной информацией и соответствующих угроз, которые могут быть реализованы через данные уязвимости. В результате получается полная картина слабых мест в информационной системе и того ущерба, который может быть нанесен.

На первом этапе работы с продуктом пользователь вносит в систему объекты своей ИС: отделы, ресурсы (к специфичным объектам для данной модели относятся угрозы информационной системе и уязвимости, через которые реализуются угрозы).

Система ГРИФ 2005 включает обширные встроенные каталоги угроз и уязвимостей, в которых содержится около 100 угроз и 200 уязвимостей. Для максимальной полноты и универсальности данных каталогов эксперты Digital Security разработали специальную классификацию угроз DSECCT, в которой реализован многолетний практический опыт в области информационной безопасности. Используя эти каталоги, пользователь может выбрать угрозы и уязвимости, относящиеся к его информационной системе.

Алгоритм системы ГРИФ 2005 анализирует построенную модель и генерирует отчет, который содержит значения риска для каждого ресурса. Конфигурация отчета может быть практически любой, что позволяет создавать как краткие отчеты для руководства, так и детальные отчеты для дальнейшей работы с результатами (рис. 6).
Рис. 6. Пример отчета в системе ГРИФ 2005.

Система ГРИФ 2005 содержит модуль управления рисками, который позволяет проанализировать все причины того, что после обработки алгоритмом занесенных данных получается именно такое значение риска. Таким образом, зная причины, можно получить данные, необходимые для реализации контрмер и, соответственно, снижения уровня риска. Рассчитав эффективность каждой возможной контрмеры, а также определив значение остаточного риска, можно выбрать контрмеры, которые позволят снизить риск до необходимого уровня.

В результате работы с системой ГРИФ строится подробный отчет об уровне риска каждого ценного ресурса информационной системы компании, указываются все причины риска с подробным анализом уязвимостей и оценкой экономической эффективности всех возможных контрмер.

***

Лучшие мировые практики и ведущие международные стандарты в области ИБ, в частности ISO 17799, требуют для эффективного управления безопасностью информационной системы внедрения системы анализа и управления рисками. При этом можно использовать любые удобные инструментальные средства, но главное - всегда четко понимать, что система информационной безопасности создана на основе анализа информационных рисков, проверена и обоснована. Анализ и управление информационными рисками - ключевой фактор для построения эффективной защиты информационной системы.

Волгоградский институт управления
филиал РАНХиГС
Специализированные
программы для анализа
финансовых рисков
предприятия
Выполнила
студентка группы МЭ-100
Шагинян Арпи Арменовна

Любая хозяйственная деятельность несет в себе
опасность денежных потерь, возникновение
которых зависит от тех или иных факторов
хозяйственной жизни. Риском возникновения
подобных проблем являются в первую очередь
финансовые риски.

Целью работы является поиск
специализированных программ для выявления
финансовых рисков предприятия

Для российских предприятий, независимо от их формы
собственности и сфер деятельности, наиболее типичными
являются следующие риски:
- возможная утрата (гибель), недостача или повреждение
основных или оборотных средств предприятия;
- возникновение гражданской ответственности
предприятия по обязательствам, возникающим
вследствие причинения вреда жизни, здоровью и
имуществу третьих лиц или окружающей природной
среде;
- возможные убытки или неполучение ожидаемой
прибыли из-за изменения условий функционирования
предприятия по не зависящим от него обстоятельствам;
- нарушения своих обязательств контрагентами,
партнерами и прочее

Наибольшее распространение получили
программные продукты следующих фирм:
- Альт (пакеты Альт-Инвест, Альт-Инвест
сумм, Альт-Лизинг, Альт-Финансы, АльтПлан, Альт-Прогноз, Альт-Эксперт и др.);
ИнЭк (пакеты Инвестор, Аналитик и др.).

Несмотря на разнообразие предлагаемых программных продуктов, предназначенных для
автоматизации решения задач разработки бизнес-планов инвестиционных проектов, они
имеют между собой много общего. Это определяется наличием установившихся
стандартных подходов к расчету всех показателей и критериев инвестиционного проекта,
изложенных в «Методических рекомендациях по оценке эффективности инвестиционных
проектов и их отбору для финансирования».
Этому, несмотря на большое разнообразие форм подачи выходной информации, ее
содержание, как правило, включает одинаковые данные об основных экономических
характеристиках инвестиционного проекта, основой которых является денежный поток
проекта. К таким характеристикам относятся: данные о прибылях и убытках; прогнозный
баланс; показатели, отражающие финансовое состояние предприятия (коэффициенты
рентабельности, платежеспособности, ликвидности); показатели эффективности
инвестиций (NPV, IRR,PBP, PI и др.).
Семейство программных продуктов Project Expert, в частности версия Project Expert-7,
кроме анализа чувствительности проекта, выполняет расчеты рисков методом сценарного
анализа. Использование при этом методов имитационного моделирования (метода МонтеКарло) позволяет существенно повысить достоверность полученных результатов анализа
риска проекта.

Говоря о возможности применения тех или иных пакетов, следует
отметить способы построения каждого из них – открытый, закрытый,
комбинированный. Примером открытых пакетов являются программные
разработки фирмы Альт. Пользователь имеет возможность вносить
изменения в алгоритмы расчетов, которые могут определяться
спецификой решаемых задач. При недостаточной квалификации
пользователя такие изменения могут привести к ошибкам и исказить
действительное состояние дел. Примером закрытых пакетов являются
программные разработки фирмы ПроИнвестКонсалтинг, в частности
семейство пакетов Project Expert. Здесь программный продукт выступает в
виде, так называемого, «черного ящика». На входе его вводится исходная
информация, на выходе – результаты расчетов бизнес-плана. Пользователь
не имеет возможности изменять алгоритм расчетов. Такие программы не
предъявляют высоких требований к квалификации пользователя. Поэтому,
выбор конкретного пакета зависит от пользователя, его квалификации и
возможностей как финансовых, так и наличия соответствующего
персонала.

С одной стороны риск имеет опасность для
предпринимательской деятельности, но с другой, как и
конкуренция, несет очистительную функцию, т.е. помогает
рынку очиститься от немобильных организаций, способствует
при правильном подходе к риску, развитию экономики.
Необходимо помнить, что нужно не избегать риска, а уметь
снизить вероятность его возникновения, что возможно при
правильной управленческой работе, которая представляет
собой комплекс мероприятий, направленных на
прогнозирование и заблаговременное выявление
неблагоприятных воздействий на субъект
предпринимательской деятельности, разработку и реализацию
мер по их нейтрализации (анализ риска и его оценка,
страхование и т.д.).

Будущее в вашей
электронной таблице

Хотели бы вы узнать, какие у вас шансы на получение прибыли (или понесение потерь) в новом начинании? Или вероятность того, что ваш проект будет выполнен вовремя и в рамках бюджета? Как насчет вероятности нахождения нефти и газа, и какими могли бы быть объемы?

Несомненно, каждый хотел бы получить ответы на подобные вопросы. Обладание такой информацией позволило бы вам исключить необходимость строить предположения при принятии важных решений и вместо этого разрабатывать стратегии с полной уверенностью. @RISK поможет вам найти ответы на эти и другие вопросы с помощью обычных электронных таблиц Excel.

@RISK (произносится как “эт риск”) выполняет анализ рисков с использованием , чтобы продемонстрировать вам как можно больше результатов в модели на базе электронной таблицы, показывая вероятность каждого из них. Программа с полной объективностью вычисляет и отслеживает множество возможных будущих сценариев и выдает связанные с ними вероятности и риски. Таким образом, вы сможете оценить, на какие риски вы готовы пойти и каких лучше избежать, и принять лучшее решение в условиях неопределенности.

@RISK также позволяет вам планировать наилучшие стратегии управления рисками. Это возможно благодаря интеграции модуля RISKOptimizer , который объединяет моделирование по методу Монте-Карло с последними технологиями поиска решений для оптимизации любых электронных таблиц с неопределенными значениями. Используя генетические алгоритмы или механизм OptQuest вместе с функциями @RISK, модуль RISKOptimizer поможет вам определить лучшее распределение ресурсов, оптимальное распределение активов, самое эффективное расписание и многое другое.

Новые версии 7.5

» Обновить

Отрасли и сферы применения @RISK

@RISK используется для анализа рисков и неопределенности в разных отраслях: от финансов до научных исследований. Каждый, кому при проведении количественного анализа приходится учитывать неопределенность, может использовать @RISK.

ПРИМЕР ПРИМЕНЕНИЯ

Пенсионное планирование
Оценка денежного оборота
Анализ реальных опционов
Анализ дисконтированных денежных потоков
Рисковые суммы
Оптимизация портфеля

Оценка потери резервов
Премиальное ценообразование

Разведка и добыча
Оценка запасов нефти
Оценка проектных капиталовложений
Ценообразование
Обеспечение соответствия нормам

Контроль качества на производстве
Улучшение обслуживания клиентов
DMAIC
DFSS / DOE
Бережливое производство и методика «Шесть сигм»

Методика «Шесть сигм» и анализ качества
Анализ нового продукта
Размещение производства
Закрытие предприятия
Анализ жизненного цикла продукта

Анализ нового продукта
Оценка НИОКР
Оценка инфекционных заболеваний

Сохранение исчезающих видов
Борьба с загрязнением и прогнозирование

Распределение ресурсов
Военные учения
Планирование бюджета и социального обеспечения

Оценка затрат
Планирование и оптимизация дорожной сети
Распределение каналов поставки

Как работает @RISK

Выполнение анализа в @RISK состоит из трех простых шагов:

1. Создание модели. Прежде всего замените неопределенные значения в электронной таблице функциями распределения вероятности @RISK, например, Normal, Uniform или любой другой из имеющихся 65 функций. Эти функции @RISK предусматривают не одно значение, а диапазон возможных значений, которые могут располагаться в данной ячейке. Выберите в галерее изображений необходимый тип распределения либо определите его на базе данных за прошлые периоды для указанных входных значений. Распределения можно сочетать с встроенной в @RISK функцией Compound. Кроме того, есть возможность использовать конкретные функции распределения совместно с другими пользователями библиотеки @RISK Library или обмениваться функциями @RISK с коллегами, у которых не установлена программа @RISK.

Теперь выберите результат расчета - итоговые ячейки, значения которых вас интересуют. Это может быть потенциальная прибыль, прибыль на инвестиции, выплаты по страховым требованиям, показатели излечения заболеваний или любой другой параметр.

Выявить неопределенность очень просто
@RISK поставляется с 65 функциями распределения, которые соответствуют функциям Excel и ведут себя так же, как встроенные функции приложения, обеспечивая абсолютную гибкость моделирования. Выбрать функцию распределения @RISK просто: галерея изображений распределения @RISK позволяет сначала просмотреть и сравнить различные виды распределения. Вы даже можете создавать собственные распределения, применяя в качестве стандартных параметров процентили, а также накладывать различные графики распределений для сопоставления. Вы можете использовать данные за прошлые периоды или данные по отрасли и с помощью встроенного инструмента аппроксимации данных @RISK выбрать наилучшую функцию распределения и правильные параметры. Вы можете выбрать тип данных для аппроксимации (например, непрерывные, дискретные или кумулятивные), провести фильтрацию данных, определить типы распределения для аппроксимации и выполнить группировку по хи-квадрату для дальнейшего использования. Аппроксимированные распределения оцениваются на основе трех статистических тестов; кроме того, у вас есть возможность проводить их графическое сопоставление и даже накладывать графики распределений с множеством вариантов аппроксимации. Результаты аппроксимации могут связываться с функциями @RISK, так что при изменении исходных данных функции будут автоматически обновляться.

Исходные распределения могут коррелировать друг с другом по отдельности или в виде временных рядов. Корреляции быстро устанавливаются по матрицам, которые выводятся в Excel, а коррелированный временной ряд добавляется всего одним нажатием мыши. Коррелированный временной ряд формируется из многопериодного диапазона, который содержит набор аналогичных распределений для каждого временного периода.

Все функции и корреляции @RISK в вашей модели объединяются (с созданием пиктограмм) в окне @RISK Model, стилизованном под приборную панель, что позволяет отслеживать появление графиков распределения по мере перемещения по ячейкам электронной таблицы.

Совместное использование модели
Функции @RISK могут храниться в библиотеке @RISK Library, которая представляет собой базу данных SQL для совместной работы пользователей @RISK. Вы также можете выгружать функции @RISK при помощи Function Swap и таким образом делиться своими моделями с коллегами, у которых не установлен @RISK. @RISK будет отслеживать любые изменения, происходящие в электронных таблицах в процессе выгрузки функций @RISK. После того как программа найдет изменения в модели, вы сможете проконтролировать процесс обновления формул @RISK. Кроме того, вам предоставляется возможность задать автоматическую выгрузку функций @RISK при сохранении рабочей книги и закрытии программы, а также - если это необходимо - автоматическую загрузку при открытии рабочей книги.

2. Процесс моделирования. Нажмите кнопку пуска моделирования и наблюдайте за ходом выполнения. Инструмент @RISK пересчитывает таблицу модели тысячи раз. Каждый раз @RISK генерирует случайные значения на основе определенных вами @RISK-функций, вносит эти значения в модель и сохраняет полученн ый результат. Введите необходимые пояснения для других пользователей, запустив процесс моделирования в режиме Demo Mode с возможностью обновления графиков и составления отчетов в реальном времени.


3. Анализ рисков. Результат моделирования представляет собой целый спектр возможных последствий, включая вероятность их наступления. Отобразите результаты в гистограммах, на диаграммах разброса, интегральных кривых, диаграммах размаха и пр. Определите критические факторы с помощью диаграмм торнадо и анализа чувствительности. Скопируйте результаты в Excel, Word или PowerPoint либо разместите их в библиотеке @RISK Library для других пользователей @RISK. Кроме того, вы можете сохранить результаты и графики непосредственно в рабочей книге Excel.

Точные, простые для понимания результаты
@RISK предусматривает широкий набор графиков для интерпретации и представления полученных результатов другим пользователям. Гистограммы и кумулятивные кривые показывают вероятность наступления различных событий. Оверлейные диаграммы позволяют сопоставлять несколько результатов, а сводные графики и диаграммы размаха отображают риски и тенденции во времени или в разных диапазонах. Меню, активируемые нажатием правой кнопки мыши, и удобные панели инструментов упрощают навигацию. Все графики могут настраиваться по любым параметрам, включая заголовки, оси, масштабирование, цвета и пр., и экспортироваться в Excel, Word или PowerPoint. По мере просмотра ячеек в электронной таблице вы можете отслеживать появление всплывающих окон с графиками.

@RISK позволяет проводить анализ чувствительности и анализ сценариев и таким образом определять критические факторы в ваших моделях. Проведите анализ чувствительности, чтобы определить приоритет функций распределения в модели в соответствии с влиянием, которое они оказывают на ваши результаты. Результаты наглядно отображаются в простой для интерпретации диаграмме торнадо, а взаимосвязи можно посмотреть в диаграмме разброса. Анализ чувствительности включает функцию предварительного просмотра исходных данных, используемых в формулах для расчета результатов по моделям. Это позволяет сократить объем несущественных данных. Кроме того, вы можете использовать функцию @RISK MakeInput, чтобы выбрать формулу, значения которой будут рассматриваться как исходные данные @RISK для анализа чувствительности. Таким образом, множество распределений может быть преобразовано в единые входные данные, что позволит стандартизировать отчеты по анализу чувствительности.

Все результаты моделирования для выходных и входных данных объединяются (в виде пиктограмм) в окне @RISK Results Summary, стилизованном под приборную панель. Результаты моделирования могут сохраняться непосредственно в вашей рабочей книге Excel, а также помещаться в библиотеку @RISK Library, в которой их смогут видеть другие пользователи @RISK.

Простота использования в Excel

@RISK представляет собой плагин для Microsoft Excel, который полностью интегрируется с электронными таблицами. Просмотр, определение, анализ - все это можно делать, не выходя из Excel. Все функции @RISK соответствуют функциям Excel и ведут себя так же, как «родные» функции программы. Окна @RISK напрямую связаны с ячейками в электронной таблице, поэтому изменения, внесенные в одном месте, переносятся на другие. Указатели ячеек в графиках @RISK приводятся в виде выносок. Простота перемещения объектов, контекстно-зависимые меню, активируемые нажатием правой кнопки мыши, и панель инструментов @RISK позволят вам в кратчайшие сроки научиться работать и управлять @RISK.

Два версии, разработанные с учетом ваших потребностей

Усовершенствованная процедура моделирования

Поддержка 2 центральных процессоров или двуядерного процессора

Интегрированная галерея функций распределения

Команда Insert Function

Перекачка функций @RISK

Функции Compound и функции методики «Шесть сигм»

Разнообразные графики и диаграммы результатов

Обновление в режиме реального времени в процессе моделирования

Корреляция исходных данных

Метод построения кривой распределения от руки

Встроенный побор распределения

Встроенный подбор данных

Excel Developer Kit (XDK)

Анализ стрессов

Усовершенствованный анализ чувствительности

Полная поддержка нескольких ЦП

Оптимизация в условиях
неопределенности

Интервалы для изменяемых ячеек и
ограничений

Шесть методов решения, включая
генетические алгоритмы и OptQuest

RISKOptimizer Watcher

Генетические алгоритмы

Мониторинг сходимости и
генетические операторы

Обновление модели Original, Best, Last

@RISK Industrial

@RISK Professional
Версия @RISK Professional, разработанная для решения проблем профессионального уровня в любой отрасли, прекрасно подходит для большинства вариантов коммерческого применения. Это оптимальное сочетание передовых методов анализа и простоты использования. В число основных средств и функций входят:

  • Встроенный подбор распределения определяет функции распределения на основании данных за прошлые периоды или данных по отрасли.
  • @RISK Library база данных SQL для хранения и совместного использования функций распределения @RISK, компонентов моделей и результатов моделирования.
  • Excel Developer Kit (XDK) автоматизация и настройка @RISK для работы с Excel за счет полной библиотеки команд и функций, которые позволяют контролировать все аспекты @RISK в электронной таблице. Добавьте @RISK для работы Excel к любому настраиваемому приложению.
  • Анализ стрессов позволяет контролировать интервал значений, которые отбираются из функции распределения, и наблюдать, каким образом различные сценарии влияют на конечные результаты, без изменения модели.
  • Усовершенствованный анализ чувствительности дает возможность увидеть, как изменения в любых исходных данных - распределениях или регулярных значениях - влияют на результаты моделирования.
  • @RISK Goal Seek использует набор моделей для поиска вводимого значения, которое позволяет получить заданный вами целевой результат моделирования.

Промышленная версия @RISK
Созданная для самых больших и самых сложных моделей, Промышленная версия @RISK включает все функции Профессиональной версии @RISK, а также следующие:

  • RISKOptimizer : Объединяет моделирования по методу Монте-Карло и сложные методы оптимизации для поиска лучшей комбинации факторов, которые приведут к желаемому результату в условиях неопределенности. Применяйте RISKOptimizer для распределения ресурсов, построения расписаний, инвестирования, планирования маршрутов и решения других сложных проблем, в которых требуется определить наилучшую комбинацию вводов для максимизации дохода, минимизации расходов или достижения определенной цели. RISKOptimizer использует генетические алгоритмы и методы решения Optquest, предоставляя нужный механизм для любого типа проблем.
    »
  • Моделирование прогнозов временных рядов: @RISK предлагает набор функций для моделирования временных рядов или значений, которые изменяются со временем. С любыми прогнозами значений временных рядов связана неопределенность, и @RISK позволяет учесть такую неопределенность, представляя полный диапазон возможных прогнозов временных рядов в модели. Это наиболее полезно при финансовом моделировании и моделировании портфеля. Разработаны функции для 17 различных моделей статистических временных рядов, включая ARMA, GBM, GARCH и другие. Эти функции вводятся как функции массивов в Excel. @RISK также предоставляет новые окна для подбора исторических данных временных рядов к этим новым функциям. Результаты могут быть анимированы для демонстрации поведения временных рядов в процессе моделирования. Все это встроено в существующий интерфейс @RISK.
  • Полная поддержка нескольких ЦП: ускорьте моделирование за счет параллельной обработки с использованием многоядерных процессоров и доступных ЦП на одном компьютере.

Характеристики и преимущества @RISK

ХАРАКТЕРИСТИКИ

Моделирование по методу Монте-Карло

Расчеты для моделирования 100% Excel

ИНТЕРФЕЙС

Прямая интеграция с Microsoft Excel

Интуитивно понятные панели инструментов и меню, активируемое нажатием правой кнопки мыши

ОПРЕДЕЛЕНИЕ МОДЕЛИ

Панель типов распределения и команда Insert Function

Подбор данных и функция Distribution Artist

Более 65 встроенных функций распределения

@RISK Function Swap

Интеграция с Microsoft Project

Функция Compound

Параметры распределения перцентилей

Корреляция вводимых значений и корреляция временных рядов

Моделирование прогнозов временных рядов

МОДЕЛИРОВАНИЕ

Режим Demo Mode и обновление в режиме реального времени

Широкие возможности контроля установочных параметров

Поддержка нескольких ЦП

РЕЗУЛЬТАТЫ МОДЕЛИРОВАНИЯ

Полностью настраиваемые графики высокого качества для использования в презентациях

Отчеты в Office

Создание отчетов с помощью Quick Reports путем простого нажатия кнопки мыши

Гистограммы, фигурные диаграммы, линейные, интегральные, сводные графики, диаграмма размаха и оверлейные диаграммы

Диаграммы торнадо и диаграммы разброса

Анализ чувствительности и сценариев

Функции метода «Шесть сигм»

Поддержка многоядерных процессоров и нескольких центральных процессоров

ОПТИМИЗАЦИЯ

ПРЕИМУЩЕСТВА

Демонстрация возможных результатов, позволяющая избежать ошибок и выявить возможности

Высочайший уровень точности и максимально полное использование многоядерных процессоров для повышения скорости работы

Отсутствует необходимость выходить из электронной таблицы; возможность быстрого выведения на требуемый уровень

Простота навигации - множество способов решения распространенных задач

Простой и точный поиск неопределенных факторов

Использование данных и экспертных оценок для поиска факторов неопределенности

Отображение практически любого фактора неопределенности для повышения точности моделирования

Удаление (и последующее восстановление) функций @RISK для совместного применения моделей с пользователями других программ

Считайте расписания Microsoft Project в @RISK для Excel, чтобы моделировать риски любых проектов с максимальной гибкостью.

Определение, повторное использование и обмен специальными распределениями и результатами моделирования

Объединение двух распределений в одно для рационализации страхования или других крупных моделей

Более гибкие методы выявления неопределенности

Отображение зависимости между связанными переменными для повышения точности моделирования

Обновление графиков и отчетов в процессе моделирования для наглядного представления результатов другим пользователям

Специализированные модели для нестандартных потребностей

Разделите большие моделирования для выполнения их на нескольких ЦП или ядрах, чтобы сократить время выполнения моделирования.

Демонстрация воздействия риска и представление результатов заинтересованным лицам

Экспорт всех графиков и диаграмм в Excel, Word и PowerPoint в исходном формате диаграммы для упрощения совместного использования

Отображение сводной информации по диаграммам и графикам с предварительным форматированием на одной странице

Разнообразные варианты графиков и диаграмм для простой и точной передачи информации

Визуальное выявление критических факторов и тенденций общего характера в конкретных сценариях

Определение конкретных рисков, оказывающих наибольшее воздействие на результаты, и конкретных сценариев, которые приводят к определенным результатам

Представление статистики по методу «Шесть сигм» для проведения анализа качества

Ускорение моделирования

Объединяет моделирование по методу Монте-Карло и сложные методы оптимизации для поиска лучшей комбинации факторов, которые приведут к желаемому результату в условиях неопределенности.

@RISK для методики «Шесть сигм»
@RISK также можно использовать в методики «Шесть сигм» и анализе качества для усовершенствования процессов, уменьшения вариативности, повышения качества продуктов и услуг и экономии денег. @RISK включает набор статистики, функций и отчетов «Шесть сигм». С помощью этих инструментов вы сможете определить, измерить и исключить причины вариативности в процессах производства и обслуживания и конструкциях.

для анализа данных и многое другое. Программа @RISK полностью совместима со всеми программами DecisionTools и может комбинироваться с ними для повышения точности интерпретации и анализа. Например:

@RISK и TopRank
TopRank позволяет сузить направленность анализа, проводимого с помощью @RISK. Это дает возможность сэкономить время и повысить точность анализа @RISK, особенно при изучении крупных моделей. Для представления более широкого диапазона значений по сравнению со стандартными функциями TopRank может использовать функции @RISK.

@RISK и PrecisionTree
Сочетание @RISK и PrecisionTree позволяет отобразить неопределенные случайные события и результаты в моделях дерева решений. Рассмотрение более широкого диапазона значений для случайных событий вместо небольшого количества ограниченных дискретных вариантов повышает точность моделей дерева решений.

@RISK, а затем StatTools
Результаты @RISK могут обрабатываться в рамках анализа StatTools для оценки доверительных интервалов. Кроме того, @RISK может применяться с прогнозами временных рядов StatTools для более точного моделирования возможных результатов.

Сэкономьте более 50% при покупке этого комплекта
Цена комплекта DecisionTools Suite ниже, чем стоимость двух отдельных продуктов. Вы экономите более 50% при покупке комплекта вместо приобретения всех компонентов по отдельности. Лучший анализ по отличной цене - с DecisionTools Suite.

Лицензирование и обучение

Пакет @RISK доступен в разных лицензионных вариантах, включая корпоративную, сетевую и учебную лицензии. Помимо программного обеспечения вы можете заказать книги, а также учебно-консультационные услуги - это обеспечит максимальную отдачу от инвестиций.

100% Excel

Моделирование @RISK на 100% выполняется в Excel с использованием функций выборки и статистики от Palisade, применявшихся более двадцати лет и доказавших свою эффективность. Palisade не пытается переработать Excel во внешний процессор, чтобы повысить скорость работы. Даже одна ошибка в макросе или функции может в корне изменить результат. Выяснить, где и когда произошла ошибка, практически невозможно. Для ускорения вычислений Palisade использует возможности нескольких центральных процессоров и поддерживает многоядерные процессоры. @RISK - это точные результаты и быстрая работа!

Совместимость: @RISK и программное обеспечение DecisionTools Suite совместимы со всеми 32-разрядными и 64-разрядными версиями Microsoft Office 2007 и новее, работающими в Microsoft Windows Vista и новее.

Совместимость с 64–разрядным ПО
64–разрядная технология позволяет Excel и программному обеспечению DecisionTools получить доступ к большему объему памяти компьютера, чем когда-либо. Это обеспечивает большую вычислительную мощность и позволяет создавать большие модели.