Методика анализа рисков и угроз экономической безопасности в социально-экономической системе [Н1] на основе факторной модели

В настоящее время развернуты работы по созданию Федеральной системы управления рисками (ФСУР) в сфере экономической безопасности 1 . В 2018 году в Минэкономразвития России при участии научных коллективов разработаны концептуальные основы создания ФСУР на базе научных разработок Финансового университета при Правительстве РФ, часть из которых отражена в монографиях [1, 2]. В рамках отдельных контрактов научными организациями разрабатывается ряд моделей и их программно-инструментальная реализация по заказу Минэкономразвития России [3]. «Сборка» ФСУР во многом осуществляется путём самоорганизации слабо связанных между собой субъектов-исследователей, субъектов-

1 ФСУР создаётся при поддержке Минэкономразвития России в соответствии со «Стратегией экономической безопасности Российской Федерации на период до 2030 года», утверждённой Указом Президента РФ от 13 мая 2017 г. № 208.

разработчиков, занимающихся созданием фрагментов системы, ориентируясь на различных потенциальных пользователей [3, с.101]. В то же время эффективная работа ФСУР предполагает организацию деятельности должностных лиц, экспертов, аналитиков в рамках стандартизированной информационной технологии (ИТ). Научной основой такой технологии является методическое обеспечение, построенное на основе системного анализа решения проблем обеспечения безопасности, в частности экономической, на основе современных подходов к описанию и исследованию сложных систем, функционирующих в условиях недетерминированной среды.

Цель создания и дальнейшего применения предлагаемой методики - повышение оперативности анализа конкретных ситуаций рисков и угроз, сокращение ошибок, избыточных действий, повышение эффективности использования накопленного опыта. Она предназначена для конкретизации порядка выполнения типовых действий эксперта, должностного лица ФСУР при анализе выявленных угроз и ситуаций риска с использованием инструментария, построенного на использовании факторных моделей и предполагаемого к реализации в рамках формируемой в настоящее время ФСУР. В работе под конкретными ситуациями рисков и угроз понимаются не отдельные состоявшиеся или предполагаемые факты возникновения рисков и угроз, зафиксированные во времени и пространстве, а ситуации, возникающие как проявления всеобщего в особенном. Здесь конкретность предполагает не уникальный экземпляр сущности, а саму сущность, т.е. ситуацию, вызванную появлением (обнаружением) угрозы и риска. Основу для идентификации и формулирования угроз предоставляет указанная Стратегия экономической безопасности Российской Федерации, однако в практической работе заданный в этом документе перечень должен быть конкретизирован. Подход к интерпретации различных событий и явлений, как угроз, частично представленный в работе [4], требует дальнейшего развития.

1    Общие положения

Предлагаемая методика позволяет системно организовать процесс исследования рисков и угроз и получать результат для принятия управленческих решений. В то же время анализ конкретных ситуаций рисков и угроз является творческим процессом, который вследствие многообразия ситуаций, их аспектов и целей анализа, не может быть априорно строго описан и соответственно регламентирован. В связи с этим настоящая методика носит больше рекомендательный характер, чем директивный.

Анализ конкретных ситуаций, как правило, предполагает использование концептуальной модели источников угроз и информационной модели угроз и рисков экономической безопасности и их источников [5]. Кроме того, используются методы системного анализа, экспертных исследований, ситуационного анализа. Эффективность использования методики повышается, если её потребители творчески используют предыдущий опыт, прецеденты, типовые модели, содержащиеся в информационном пространстве ФСУР. При использовании методики, как правило, за исключением элементарных или типовых ситуаций, требуется привлечение экспертов из различных предметных областей (ПрО).

Методика использует различные элементы ИТ, которые ещё не созданы в составе ФСУР, однако они являются важными её компонентами в контексте постановки задачи на разработку структуры и концептуальной модели создаваемой ИТ.

Методика предусматривает непосредственное участие заинтересованного должностного лица, прежде всего лица, принимающего решение (ЛПР). Это позволяет углубить его понимание ситуации, шире использовать его предпочтения, не предлагая выбор из подготовленных решений, а вовлекая ЛПР непосредственно в подготовку решения [6].

Анализ конкретных ситуаций рисков и угроз предназначен для идентификации угроз, рисков и их источников. Эта идентификация предполагает выявление следующей информации:

• ■    источники или субъекты угроз и рисковых событий;

• ■    время и место совершения рисковых событий;

• ■   объекты, подвергшиеся непосредственному воздействию рискового события;

• ■    характер нанесенного ущерба;

• ■    размер нанесенного ущерба;

• ■    вторичные рисковые события; распространение ущерба по сети взаимосвязанных объектов обеспечения экономической безопасности;

• ■    оценка общего риска с учётом вторичных последствий;

• ■    уязвимости на объектах защиты, через которые наносится ущерб (воздействуют рисковые события).

Конкретные ситуации возникновения (проявления) угроз и рисковых событий могут быть повторяющимися (типовыми), частично типовыми и уникальными (или встречающимися впервые). В первом случае используется факторная модель из банка готовых моделей; во втором выбирается наиболее подходящая модель, которая подвергается адаптации под исходные данные конкретной ситуации; в третьем случае в соответствии со специальной методикой и инструкцией по использованию программно-инструментального средства строится факторная модель конкретной ситуации. В качестве программно-инструментального средства может использоваться специализированная разработка, например, [3] или иное средство, позволяющее сопряжение с другими элементами ИТ.

При формировании факторной модели для анализа конкретных ситуаций целесообразно придерживаться методологии оценки и анализа рисков, построенной на витальном подходе с учётом постнеклассического субъектного подхода к исследованию субъектных, в частности, организационных систем 2 , онтологии задач обеспечения безопасности, представленных в работах [1, 7, 8] и принятых в качестве методологии создания ФСУР. Необходимо также учитывать цикл формирования ущерба, представленный на рисунке 1, который определяет логику формирования, коррекции и рассмотрения факторной модели.

Экономическая безопасность на федеральном уровне в соответствии с указанной методологией в настоящей работе определяется как отношения в системе «национальная экономика – среда», при которых вероятность потери экономических возможностей обеспечения национальной безопасности пренебрежимо мала. Здесь под средой понимается состояние внутренних институтов и отношений между различными субъектами экономической деятельности, природная среда, мировая экономика, военно-политическая ситуация, правовая ситуация, включая аспекты терроризма, диверсий и т.п. [1].

На рисунке 1 показано, что рисковые события наносят ущерб через уязвимости, которые существуют в объекте защиты (в данном случае в социально-экономической системе) [9, 10]. Кроме того, на рисунке показаны меры противодействия, которые влияют на процесс осуществления цикла формирования ущерба.

Общая структурно-функциональная схема анализа конкретных ситуаций угроз и рисков экономической безопасности представлена на рисунке 2. Римскими цифрами на рисунке отмечены этапы решения задачи в их логической последовательности, а пунктиром - обратные связи возвращения к предыдущим этапам для выполнения их после уточнения задачи на последующих этапах.

• 2    В самом общем приближении это означает: учитывать интересы и мотивы субъектов, имеющих отношение к рассматриваемой ситуации.

• 2.1    Фиксация угрозы, рискового события по данным мониторинга

• 2.2    Выбор модели-прототипа из банка факторных моделей

Рисунок 1 - Схема этапов цикла формирования ущерба

Рисунок 2 - Структурно-функциональная схема анализа конкретных ситуаций угроз и рисков экономической безопасности

2 Основное содержание методики

В результате выполнения процедур мониторинга угроз и рисков в рамках ФСУР в соответствии с методологией ведения мониторинга в целом и, в частности, схемой комплекса механизмов мониторинга [8, 9], происходит фиксация условий и факторов, реализация которых может привести к ущербу, т.е. фиксация угрозы. Здесь необходимо подчеркнуть, что отнесение некоторых фактов объективной реальности к угрозам или рисковым событиям может носить относительный характер. Так, возникновение некоторых условий может рассматри- ваться как угроза (в точности с определением угрозы), а может и как рисковое событие (факт образования определённых условий), ущерб от которого ещё не велик или практически отсутствует, однако вероятность нанесения ущерба при развитии этого события, возникновения его последствий - вторичных рисковых событий - и т.п., может быть высока. Эта идентификация зависит от постановки задачи анализа, которая определяется сферой и масштабом деятельности ответственного сотрудника ФСУР. Единственной рекомендацией идентификации результатов наблюдения как угрозы или рискового события, является установление риска, как вероятностного описания возможного или нанесённого ущерба (даже если его конкретное описание: размер, формы, место и время - пока точно не известно). Угроза или рисковое событие является фактором, с которого начинается анализ и построение факторной модели.

Для сокращения трудозатрат на решение задач, накопления опыта принятия решений и анализа конкретных ситуаций угроз и рисков целесообразно создать банк факторных моделей, в котором бы аккумулировались модели, построенные в процессе эксплуатации ФСУР. Каждая модель в таком банке должна сопровождаться метаданными, по которым аналитик мог бы быстро и однозначно находить подходящую модель-прототип. Такой банк должен быть централизованным и доступным для полномочных субъектов (аналитиков) ФСУР, в т.ч. в режиме удалённого доступа.

Выбор может осуществляться в двух случаях: эксперт знает название модели, которую намерен использовать в качестве прототипа или не знает. В первом случае он осуществляет выбор конкретной модели. Во втором - осуществляется поиск по известным метаданным прототипа (дата создания, сфера применения, наличие фактора, который рассматривается в решаемой задаче). Результаты поиска анализируются на предмет возможности их использования. Анализ включает следующие элементы.

• ■    Соответствие найденных моделей сфере рассмотрения конкретной ситуации (например, речь идёт об угрозах в сфере кредитования добывающей промышленности, а банк моделей предоставил в качестве прототипа модель, позволяющую анализировать угрозы кредитования в сфере высокотехнологичного производства).

• ■    Наличие в результатах поиска моделей, содержащих фактор, который при анализе ситуации рассматривается в качестве фактора ущерба (угрозы или рискового события).

• ■    Детализация факторных моделей в результатах поиска.

• ■    Определение статуса найденных моделей: исследовательская (элементы модели, значения параметров назначены в экспериментальных целях), рабочая (неполные, неверифи-цированные данные), неутверждённая (не утверждена должностным лицом или уполномоченным советом в качестве нормативно рекомендованного рабочего инструмента), утверждённая в качестве рабочего инструмента.

• 2.3    Построение или коррекция структуры факторной модели

Модель любого статуса может быть использована в качестве прототипа, однако при наличии утверждённой модели, которая может служить в качестве модели или основы для анализа интересующей ситуации, отказ от неё требует специального обоснования и принятия решения уполномоченного на это должностного лица.

Если найден подходящий прототип, то его структура подвергается коррекции в случае необходимости. Если прототип не найден, то структура факторной модели создаётся заново, начиная с фактора, который отражает исходный фактор ущерба (угроза или вызов, рисковое событие), установленный на первой стадии. Построение факторной модели не поддаётся однозначной регламентации. Поэтому овладению этой методикой помогает изучение моделей, хранящихся в предполагаемом банке факторных моделей различных ситуаций.

Процедура формирования структуры факторной модели сводится к следующему. Устанавливаются факторы, включая показатели оценки состояния и развития рассматриваемой социально-экономической системы. Эта работа может осуществляться как одним экспертом, так и группой методом мозгового штурма или ситуационного анализа. Аналогичная процедура осуществляется для вновь установленных факторов до тех пор, пока в качестве новых факторов не появятся целевые показатели, по которым оценивается состояние социальноэкономической системы и, в конечном итоге, ущерб.

В качестве факторов могут выступать следующие сущности:

• ■    процессы, характеризуемые направленностью, интенсивностью и скоростью изменения интенсивности;

• ■    различные производственные, инфраструктурные, технические, организационные объекты и виды ресурсов в соответствии с типологией и классификаций факторов ущерба (объекты и виды ресурсов описываются показателями состояния, объёма ресурсов) [4];

• ■    мотивы конкретных субъектов экономической деятельности, прямо или косвенно влияющих на рассматриваемый фактор (под субъектами могут пониматься личности, либо коллективы. Мотив принятия решения невозможно описать объективно, для его описания используются лингвистические шкалы и знак, например, положительный, если влияние благотворное, и отрицательный, если влияние ведёт к ущербу или формирует уязвимость).

• 2.4    Информационная модель угроз, рисковых событий и их источников

Наряду с элементами модели (факторами), которые отражают объекты социальноэкономической системы, в структуру факторной модели вводятся элементы, отражающие уязвимости каждого элемента защищаемой системы. Методическими рекомендациями по отражению уязвимостей служит типология и классификация факторов ущерба в части, касающейся уязвимостей [4].

Детализация структуры определяется уровнем и компетенцией ЛПР, для которого это решение готовится (в результате детализации не должно появиться избыточных факторов). Фактор необходимо детализировать в случаях, когда разные части фактора требуют разных мер воздействия или испытывают влияние других факторов, а также если он состоит из элементов, которые по-разному реагируют на одно и то же воздействие.

Развитие структуры факторной модели осуществляется в сторону не последствий, а причин, т.е. в сторону выявления первичных причин и субъектов формирования угрозы и совершения рисковых событий. Такое развитие структуры факторной модели и её детализация определяются возможностью и полномочиями ЛПР влиять на причины и субъекты угроз. Поэтому в структуру факторной модели целесообразно вводить мотивы субъектов, меры противодействия причинам и субъектам угроз и уязвимости субъектов угроз.

Составление информационной модели угрозы и рискового события осуществляется на основе структуры информационной модели соответствующих сущностей. При этом не все данные могут быть известны. Для обмена данными между факторной моделью и информационной моделью угроз и их источников должен быть создан специальный дружественный интерфейс пользователя, автоматизирующий все рутинные операции. Состав информационной модели угроз и их источников описан в работе [11].

Состояния факторов в зависимости от их природы описываются на численных или лингвистических шкалах в результате измерений или экспертными оценками. При этом для сопо- ставления и приведения к единой шкале измерения результатов анализа области определения значений всех факторов нормируются единым интервалом, например, [0; 1]. Так, состояние фактора «ставка рефинансирования» теоретически может описываться интервалом, например, [0; +да]. Однако, если эта ставка превышает норму прибыли в экономике, то кредитование становится невозможным. В связи с учётом реальной экономической ситуации устанавливается верхний допустимый предел ставки рефинансирования и область определения фактора на соответствующей ему «физической шкале», например, на интервале [0; 12]. Для использования в факторной модели значения этого диапазона нормируются интервалом [0;1]. Реальные значения, выходящие за левую границу исходного («физического») интервала, заменяются значением «0», а выходящие за правую границу - заменяются значением «1».

В тех случаях, когда использовать объективную измеряемую в физических единицах шкалу невозможно или затруднительно, для описания факторов используются лингвистические шкалы. Полученные лингвистические значения ассоциируются со значениями из интервала [0; 1]. Так, фактор импортонезависимости экономики от какой-либо продукции в случае разрыва экономических отношений (санкций) может быть оценён по следующей шкале:

• [0; 0.1] - ситуация недопустимая, потребление и(или) производство некоторых ключевых видов продукции невозможно, запасов нет, нет возможности заменить поставщика в течение 1 года; требуется принятие чрезвычайных мер обеспечения экономической и, шире, национальной безопасности;

• [0.1; 0.33] - ситуация критическая, потребление и(или) производство некоторых ключевых видов продукции невозможно, есть запасы, есть возможность найти альтернативного поставщика в течение 1 года; требуется принятие срочных мер;

• [0.33; 0.67] - ситуация сложная, потребление и(или) производство некоторых ключевых видов продукции ограничено, существуют (и используются) альтернативные источники и собственное производство, требуется принятие соответствующих мер в режиме штатного управления экономикой;

• [0.67; 0.9] - ситуация благоприятная, потребление и(или) производство некоторых ключевых видов продукции возможно на минимально приемлемом уровне, существуют (и используются) альтернативные источники и собственное производство, однако требуется принятие дополнительных мер обеспечения этой продукцией в режиме стратегического планирования;

• [0.9; 1] - ситуация идеальная, обеспечивается полная импортонезависимость, осуществляется самостоятельное производство в полном объеме, или в основном, но на международных рынках существует множество альтернативных независимых поставщиков.

• 2.5 Выбор моделей описания факторов и их взаимодействия

Для описания взаимовлияния факторов могут использоваться различные модели в зависимости от природы отношений факторов и имеющихся знаний об этих отношениях. При этом для разных пар факторов могут использоваться различные модели. Здесь существуют следующие варианты.

• ■    Использование имеющейся статистики и парных корреляций с помощью процедуры, встроенной в программный инструментарий для построения факторной модели.

• ■    Эвристически построенные зависимости, имеющиеся в базе моделей для отношений между факторами или формируемые для решения задачи анализа конкретной ситуации. Параметры таких зависимостей (функций) могут определяться на основе статистики или экспертно. Общую эвристическую зависимость целесообразно применять для анализа ситуаций на макроуровне в среднесрочной и долгосрочной перспективе. В других случаях целесообразность и возможность её применения требует специального анализа, поскольку она позволяет, прежде всего, получать долгосрочные тенденции в крупных социально-экономических системах (минимум - субъект Федерации). Получение точных значений оценок состояния и ущерба на конкретных объектах и для конкретных субъектов экономической деятельности с её помощью затруднительно.

• ■    Использование специальных моделей, описывающих прежде установленные зависимости между конкретной парой факторов. Эти зависимости также могут храниться в банке моделей отношений между факторами или описываться для рассматриваемой пары с использованием встроенной процедуры.

• ■    Установление функциональных зависимостей в виде пар значений: фактор-причина и фактор-следствие.

• 2.6 Организация привлечения экспертов и других источников

Формирование моделей состояния факторов и отношений между ними завершается вводом исходных данных и параметров моделей, которые не включены в структуру информационной модели угроз, рисков и их источников. Часть исходных данных и параметров, а также отношений между факторами может оказаться не известной. Для их определения необходимо организовать работу по привлечению внешних источников информации.

Первым шагом при выполнении этапа организации привлечения экспертов и иных источников информации является идентификация возможных источников. В качестве источников могут выступать:

• ■    эксперты;

• ■   внешние источники статистической информации;

• ■   объекты, подвергающиеся воздействию рисковых событий;

• ■    контролирующие органы государственной и муниципальной власти;

• ■    материалы независимых источников,.

Привлечение экспертов осуществляется в следующем порядке.

• 1)    определение ПрО, в которой требуется эксперт.

• 2)    выбор экспертов из базы данных, квалификация которых соответствует требуемой ПрО.

• 3)    если в базе экспертов отсутствуют данные о специалисте подходящей квалификации, то осуществляется поиск экспертов по базе научных публикаций (например, e-library) и других доступных баз, среди членов различных экспертных групп в нужной ПрО, а также среди должностных лиц соответствующей квалификации различных организаций.

• 4)    определение форм привлечения эксперта в зависимости от следующих обстоятельств:

• ■    трудовые или договорные отношения эксперта с государственными и муниципальными органами власти, корпорациями и другими организациями;

• ■    независимый эксперт, т.е. не имеющий трудовых или каких-либо иных отношений, касающихся участия в анализе конкретной рассматриваемой ситуации;

• ■    отношение эксперта к субъектам, испытывающим риск.

В первом случае привлечение эксперта осуществляется, как правило, через официальные взаимоотношения с его работодателем или заказчиком. Отношение к государственным органам предполагает привлечение эксперта, как правило, в рамках его функциональных обязанностей. Отношение к корпорациям и иным организациям предполагает коммерческий или некоммерческий вариант привлечения эксперта в зависимости от установленных деловых отношений ФСУР с данными юридическими лицами: долгосрочный договор на оказание услуг, разовые договоры на оказание услуг, долгосрочное взаимовыгодное партнерство конкретного заинтересованного субъекта ФСУР c внешней организацией, не являющейся органом государственной или муниципальным власти.

Во втором случае отношения выстраиваются персонально с экспертом.

Третий случай возникает, когда подвергающийся воздействию угрозы и рискового события субъект экономической деятельности заинтересован в сотрудничестве с ФСУР по рассматриваемой ситуации предотвращения или минимизации риска. В этом случае привлече- ние экспертов - представителей заинтересованного субъекта - осуществляется на основе партнерства с минимизацией бюрократических процедур.

Формы участия экспертов также могут быть различными и определяются следующими обстоятельствами:

• ■    пространственная доступность экспертов;

• ■    временная совместимость участия экспертов в группе экспертов;

• ■    требуемая оперативность участия;

• ■   программно-техническая оснащённость субъекта ФСУР, в котором осуществляется ана

лиз конкретной ситуации.

Первые три обстоятельства, как правило, взаимосвязаны. Пространственная доступность предполагает удалённость эксперта от места анализа ситуации и возможность его прибытия в то время, когда необходимо его привлечение. Временная совместимость определяется возможностью согласовать время работы с экспертом и время совместной работы экспертов, что бывает довольно сложно, особенно, если требуется перемещение экспертов к общему месту проведения экспертной работы. Требуемая оперативность участия экспертов зависит от конкретной ситуации, прежде всего, темпов её развития.

Уровень программно-технической оснащённости субъекта ФСУР средствами проведения телеконференций, сетевой одновременной работы путём обмена сообщениями, проведения экспертных сессий и ситуационных анализов непосредственно в ситуационном центре субъекта ФСУР (включая средства коллективной визуализации, документирования и оперативной обработки экспертных оценок и мнений) определяет выбор формы организации работы экспертов. Основные формы организации работы экспертов следующие:

• ■    заочное анкетирование экспертов с использованием закрытых и открытых анкет;

• ■    проведение коллективных экспертных сессий;

• ■    предварительное анкетирование экспертов и проведение коллективной сессии по обсуждению и уточнению результатов предварительного анкетирования.

• 2.7    Дополнение информационной модели угрозы, рискового события и источника, параметров и исходных данных факторной модели

• 2.8    Проведение моделирования риска с использованием факторной модели

Заочное анкетирование в зависимости от требуемой оперативности и наличия технической возможности может осуществляться путём переписки, обмена сообщениями по телекоммуникационным каналам и путём аудио- или видеосвязи.

Коллективная экспертная сессия может проводиться либо путём телеконференций, либо путём сбора экспертов для очного обсуждения с привлечением, если требуется, программнотехнических средств. Коллективная сессия является средством получения качественных оценок в наиболее трудных, не поддающихся строгому рациональному анализу случаях, за счёт формирования коллективного операционного понимания ситуации [12-16].

Проведение анкетирования и экспертных сессий осуществляется в соответствии с отдельной методикой работы с экспертами. Подход к такой работе и основные положения этой методики представлены в [1].

Наиболее простым и оперативным способом работы с экспертом или их небольшой группой, формирования операционного понимания ситуации, является непосредственное участие эксперта в создании факторной модели совместно с ЛПР в интерактивном режиме.

Вне зависимости от формы привлечения и работы экспертов все их оценки и мнения должны быть задокументированы и храниться в базе данных и знаний ФСУР, которую необходимо создавать.

На этой стадии осуществляется работа с экспертами, использование информации из других источников для определения и уточнения элементов, отношений и параметров фактор- ной модели, а также восполнения недостающей информации и данных, которые вводились в факторную модель на этапе IV (см. рисунок 2).

Для параметров и исходных данных, имеющих стохастический характер, может быть использовано имитационное моделирование. Стохастичность в зависимости от используемых моделей факторов и их отношений может моделироваться либо путём задания закона распределения рассматриваемого параметра или элемента исходных данных, либо путём использования датчика случайных чисел для имитации закона распределения. С помощью метода имитационного моделирования может формироваться рациональный комплекс мер противодействия угрозам и рисковым событиям в соответствии с предназначенными для этого моделями. Стохастический характер данных определяет аналитик, ответственный за решение задачи, на основании их природы и возможности наблюдения.

Варьируя значения параметров и исходных данных, целесообразно проанализировать чувствительность оценок, полученных с использованием факторной модели, к значениям этих параметров и исходных данных. В случае высокой чувствительности оценок и низкой точности исходных данных, целесообразно уточнить эти параметры и исходные данные, если это возможно, путём повторного привлечения источников информации (тех же или дополнительных) (этап VI на рисунке 2).

При моделировании целесообразно использовать различные частные модели описания факторов и отношений между ними, если на этапе V (см. рисунок 2) были альтернативные решения. Если результаты оказываются различными, то проводится анализ каждой модели и принимается решение о выборе. Если результаты моделирования существенно не совпадают с интуитивными ожиданиями ЛПР или лица, готовящего решение, то требуется пошаговый анализ формирования факторной модели и выбора исходных данных с участием этого лица.

• 2.9    Идентификация контуров «возбуждения» риска

• 2.10    Идентификация уязвимостей

При моделировании в структуре факторной модели могут быть выявлены контуры «возбуждения» риска, которые отражают возможность процессов самоорганизации, возникающие в исследуемой системе в результате рискового события и ведущие к нарастанию риска. Такой контур возникает, когда в нём произведение знаков связей (положительные и отрицательные обратные связи) оказывается положительным. Разрыв такого контура или введение в него фактора с отрицательной связью прекращает процесс самоорганизации по нарастанию риска и нанесению ущерба. Необходимость этого ставит задачу по разработке соответствующих мер дополнительно к тем, которые уже введены в факторную модель.

Поскольку не имеет значения в какой точке разрывать контур «возбуждения риска», то выбирается та точка (фактор), воздействие на которую наиболее рентабельно с точки зрения затрат, включая время, на реализацию соответствующих мер и сил их воздействия.

Идентификация уязвимостей осуществляется в целях разрешения конкретной анализируемой ситуации и в целях развития потенциала обеспечения существования (безопасности) для предотвращения подобных ситуаций в будущем.

• Уязвимости – факторы, внутренне присущие защищаемой системе [9]. В факторную модель они вводятся наряду с другими факторами на стадиях формирования модели. На стадии идентификации уязвимостей проводится дополнительный анализ факторной модели с точки зрения учёта в ней уязвимостей и, если требуется, коррекция модели в целях более полного и

• точного учёта уязвимостей. Уязвимости могут и не вводиться в факторную модель, если их моделирование не обязательно в силу очевидности результата, не влияет на общий результат моделирования риска или затруднительно по причинам недостатка исходных данных и знаний. Однако фиксация и описание уязвимостей в конечном документе, содержащем анализ ситуации, необходима.

• 2.11    Анализ источников угроз и рисков

• 2.12    Составление отчёта, загрузка факторной модели в банк моделей

Уязвимости идентифицируются и описываются в соответствии с типологией и классификацией факторов ущерба [4].

Анализ источников (субъектов) угроз и рисков осуществляется в целях организации противодействия им. С точки зрения их влияния на конечный результат анализа риска в конкретной ситуации оценивается, главным образом, степень влияния источников (субъектов) угроз на объект защиты. Эта степень должна быть учтена на предыдущих стадиях исследования данной ситуации. Анализ источников осуществляется в соответствии с концептуальной моделью источников и субъектов угроз и рисков [5]. Вначале осуществляется идентификация источника в соответствии с принятой типологией и классификацией, затем в отношении источника решаются задачи его анализа.

После отработки факторная модель загружается в банк моделей с соответствующим описанием метаданных (см. п.2.2). Загружается модель в банк с санкции должностного лица (электронным ключом), ответственного за администрирование банка моделей.

По результатам анализа и моделирования составляется отчёт, содержащий следующие основные разделы.

• 1)    описание ситуации: угрозы и рисковые события, источники (субъекты угроз), объекты воздействия.

• 2)    характер воздействия, оценка риска непосредственно на объекте воздействия, осуществленная с помощью моделирования.

• 3)    распространение риска, вторичные объекты воздействия и вторичные риски, полученные с использованием моделирования.

• 4)    общая оценка риска и темп распространения ущерба.

• 5)    выявленные уязвимости.

• 6)    результаты моделирования противодействия угрозам и минимизации риска. Эффективность используемых мер.

• 7)    необходимость введения дополнительных мер. Субъекты и «точки» их исполнения.

• 8)    общий перечень мер и оценка затрат на их осуществление.

• 9)    характеристика источников (субъектов) угроз и рисков в соответствии с концептуальной моделью угроз и рисков.

• 10)    предложения по нейтрализации источников угроз и рисков.

• 11)    прогноз развития конкретной ситуации. Прогноз повторения подобных ситуаций как в отношении данного объекта защиты, так и других.

• 12)    предложения по доработке ИТ, включая средства моделирования, а также механизмы взаимодействия в рамках ФСУР, сформированные на основе выявленных недостатков при анализе рассматриваемой ситуации.

В приложение к отчёту необходимо представить:

• ■   структуру факторной модели;

• ■   исходные данные;

• ■    частные модели описания факторов и их отношений;

• ■   параметры моделей;

• ■    результаты моделирования;

• ■   состав привлекаемых экспертов, их оценки и мнения;

• ■    результаты экспертных сессий;

• ■    формы организация взаимодействия с экспертами и формы работы с экспертами;

• ■    оценки эффективности экспертной работы;

• ■    другие источники информации и информацию, извлечённую из них.

Заключение

На основе системного анализа и основных положений моделирования анализа угроз и рисков в парадигме витального подхода сформировано описание методики анализа конкретных ситуаций в сфере экономической безопасности, которое может быть использовано для подготовки инструкций для организации работы ФСУР, при разработке ИТ анализа рисков, в частности, при формировании технического задания на разработку такой технологии. Методика может быть адаптирована для использования в управлении рисками в социальноэкономической системе любого масштаба.

Статья подготовлена по результатам исследований, выполненных за счёт бюджетных средств по государственному заданию Финансового университета при Правительстве Российской Федерации на 2019 год.