Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

'Статья'
В последние годы производство и применение полимерных изоляторов в электроустановках высокого напряжения во многих странах неуклонно расширяется. В с...полностью>>
'Литература'
В Драгунский «Тайное всегда становится явным», «Он живой и светится», «Шляпа гроссмейстера», «Слава Ивана Козловского», «Что я люблю», «Что любит Мишк...полностью>>
'Реферат'
К решениям, принимаемым в условиях риска, относятся такие, результаты которых не являются определенными, но вероятность каждого результата известна. ...полностью>>
'Документ'
Пожалуйста, ознакомьтесь с руководством по заполнению заявления. Если у вас есть вопросы, направляйте их на chevening@ или позвоните в офис British C...полностью>>

Менеджмента качества (3)

Главная > Документ
Сохрани ссылку в одной из сетей:

СИФАТ ТИЗИМИ МЕНЕДЖМЕНТИ

СИСТЕМА МЕНЕДЖМЕНТА КАЧЕСТВА


О возможности конвергенции метода анализа

и оптимизации рисков

в систему менеджмента качества

А.В. Дурель, (ГУП «UNICON.UZ»)

В настоящей статье рассматривается возможность распространения области применения метода анализа и оптимизации рисков, используемого при обеспечении информационной безопасности, на процессы системы менеджмента качества.

Ушбу мақолада ахборот хавфсизлигини таъминлашда фойдаланиладиган эҳтимолий хавфларни таҳлил қилиш ва оптималлаштириш усулини қўллаш соҳасининг сифат менежменти жараёнларига тарқалиш имконияти кўриб чиқилади.

In the article is considered possibility for application the risks analysis and optimization method, used in information safety area, on the quality management system processes.

Отмечающееся в последние годы в мировой практике управления предприятиями стремление к унификации и интеграции систем менеджмента [1] способствует развитию конвергенции методов менеджмента, ранее применявшихся в узкоспецифичных областях [2].

Авторами рассмотрена возможность расширения области применения подхода к анализу и оптимизации рисков с приоритетным учетом потребностей владельцев бизнес-процессов, который предложен экспертами в области информационной безопасности [3].

С точки зрения владельцев процессов СМК, также как и владельцев бизнес-процессов, методы анализа и оптимизации рисков должны дать с удовлетворительной достоверностью [4] ответы на следующие вопросы:

- состав необходимых действий по снижению уровня ущерба от потенциальных угроз и размеры затрат на их реализацию;

- величина остаточных рисков после реализации всех намеченных действий.

С учетом вышеизложенного предлагаемый подход к анализу рисков оптимизации рисков несоответствий в СМК включает следующие этапы:

  1. Определение так называемых «сущностей» (помещений, транспорта, оборудования, вычислительной техники, информации, персонала и других ресурсов, которые могут использоваться для осуществления требуемой деятельности). Применительно к СМК состав сущностей детально формализован в соответствующих процедурах СМК.

  2. Определение свойств сущностей. Под свойствами сущностей понимаются их характеристики, от состояния которых зависит возможность эффективного использования соответствующего ресурса для осуществления рассматриваемого вида деятельности, например - целостность, доступность, конфиденциальность информации.

  3. Определение потенциального ущерба, который будет нанесен при нарушении каждого из выявленных свойств.

  4. Определение состава угроз, которые влияют на данные свойства (в терминологии СМК – причин потенциальных несоответствий).

  5. Расчет значений временных и вероятностных показателей угроз.

  6. Определение состава возможных контрмер (предупреждающих действий).

  7. Расчет значений показателей контрмер.

  8. Расчет значений показателей системы защиты (комплекса предупреждающих действий, реализуемых в соответствии с выбранной стратегией предотвращения несоответствий).

  9. Выбор оптимального варианта системы зашиты от рисков.

Этап 1. На этапе определения сущностей производится определение максимально возможного состава сущностей, от которых зависит эффективность функционирования рассматриваемого вида деятельности.

Этап 2. На этапе определения свойств сущностей, для каждой сущности определяются все возможные свойства, нарушение которых потенциально может нанести ущерб эффективности функционирования рассматриваемого вида деятельности (применительно к СМК – к возникновению несоответствий установленным требованиям в результатах выполненной деятельности).

Этап 3. На этапе определения потенциального ущерба, по каждому свойству каждой сущности определяется ожидаемый размер ущерба, который будет нанесен деятельности при нарушении каждого из этих свойств. Ущерб, в общем случае, есть функция времени, измеряемая в денежных, либо условных единицах. Ушерб Slos по каждому свойству каждой сущности может быть представлен в виде функции:

(1)

где

«о» - сущность, о  О,

«u» - свойство данной сущности, u  U,

t - время реализации угрозы.

Этап 4. На этапе определения угроз, которые могут воздействовать на сущности, выявляются все возможные угрозы (причины потенциальных несоответствий), которые могут нарушить свойства сущностей (создать несоответствия установленным требованиям) и, соответственно, нанести ущерб эффективности функционирования рассматриваемого вида деятельности.

Этап 5. На этапе определения показателей угроз определяется:

- вероятность реализации каждой из угроз (Vy);

- ожидаемое время действия угроз, на свойство «u» данной сущности «о» за промежуток времени Т, равный .

Вероятность реализации угроз может определяться рядом способов:

- аналитическим, посредством расчета значений;

- статистическим, посредством применения статистики возникновения угроз в аналогичных видах деятельности;

- экспертным, посредством сбора и обработки мнений экспертов в соответствующей предметной области.

Этап 6. На этапе определения возможных контрмер выявляется максимально возможное количество контрмер (правовых, финансовых, страховых, организационных, технических, организационно-технических и других мер и средств), которые могут позволить реализовать хотя бы одну из стратегий управления рисками в отношении угроз, выявленных на этапе 4, и применимых в отношении сущностей, выявленных на этапе 1.

Этап 7. Этап определения показателей контрмер заключается в задании для каждой контрмеры следующих показателей:

- показателя стоимости контрмеры;

- функций, которые реализует контрмера для снижения ущерба от угроз;

- показателей, характеризующих эффектив-ность контрмеры;

- зависимостей между функциями контрмеры и функциями других контрмер.

При задании показателя стоимости контрмеры определяются величины следующих затрат:

- постоянных затрат на эксплуатацию контрмеры;

- разовых затрат, например, на внедрение, применение, установку, закупку и т.п. контрмеры;

- затрат на контрмеру, появляющихся в случае использования этих контрмер для нейтрализации угроз (к таким затратам относится, например, стоимость вызова ремонтной организации);

- других возможных видов затрат связанных с использованием контрмеры.

Исходя из заданных затрат, показатель стоимости контрмеры рассчитывается по следующей формуле:

где

k - номер контрмеры,

n - общее количество возможных видов затрат,

 - затраты вида «i», которые могут быть понесены за период времени Т.

При задании показателей, характеризующих эффективность контрмеры, по каждой контрмере определяются:

- по каждой функции f контрмеры, по каждой угрозе к снижению ущерба от которой она приводит, вероятность того, что контрмера не сможет успешно выполнить данную функцию ;

- время, необходимое на реализацию каждой из функций tf во время которого угроза наносит ущерб деятельности.

Для определения соответствующей вероятности  могут использоваться следующие методы:

- аналитический, посредством расчета значений вероятности;

- статистический, посредством применения статистики предотвращения угроз;

- практический, посредством проведения испытаний эффективности конкретных контрмер;

- экспертный, посредством сбора и обработки мнений экспертов в предметной области относительно величины вероятностей угроз.

Функции, которые реализуют контрмеры, и зависимости между ними могут быть представлены в виде ориентированного графа, в котором дуги есть функции, узлы результат выполнения типовых функций. Пример такого графа представлен на рис. 1.

Этап 8. Этап определения показателей системы защиты выполняется в целом для варианта системы защиты от рисков. Каждый вариант системы защиты от рисков может включать произвольное количество контрмер, определенных на этапе 6. При этом каждый вариант системы защиты, характеризуется совокупностью следующих показателей:

- стоимостным показателем;

- показателем, характеризующим остаточный риск;

- показателем, характеризующим остаточный ушерб.

Стоимостной показатель определяет совокупную стоимость владения вариантом системы защиты от рисков  за заданный промежуток времени Т (на основе данных, определенных на этапе 7).

Рис. Иерархическая система классификации несоответствий

Расчет стоимостного показателя производится по следующей формуле:

где K - общее количество контрмер.

Показатель, характеризующий остаточный риск , при условии использования данного варианта системы защиты от рисков, в данный промежуток времени Т, рассчитывается (на основе данных определенных на предыдущих этапах) по следующей формуле:

где

«о» - номер сущности из множества сущностей, определенных на этапе 1,

n - общее количество сущностей определенных на этапе 1,

u - номер свойства данной сущности «о»;

х - общее количество свойств данной сущности «о», определенное на этапе 2,

y - номер угрозы влияющей на данное свойство u данной сущности «о»;

m - общее количество угроз влияющих на данное свойство u данной сущности «о»;

(tk) - значение функции ущерба (определенной на этапе 3) по данному свойству и данной сущности «о» в значение времени ;

Vs - вероятность того, что вариант системы защиты не сможет снизить ущерб от угрозы «у» в случае ее проявления, рассчитываемая по следующему алгоритму:

1. Для каждого узла графа функций системы защиты, последовательно, начиная с определенных узлов, находится вероятность не достижения данного узла j, по формуле:

где

i - номер смежного узла, из которого входит дуга в данный узел j;

fi,j - функция контрмеры, направленная из узла i в узел j (в общем случае более чем одна);

i - вероятность неблагоприятного результата выполнения типовых функций входящих в узел i;

 - вероятность не выполнения данной функции fi,j системы.

Итоговый результат этапа - нахождение вероятности не достижения каждого из целевых узлов системы защиты V

2. Нахождение вероятности того, что вариант системы защиты не сможет снизить ущерб от угрозы «y» в случае ее проявления Vs, по формуле:

где (j,p) - целевой узел.

Показатель, характеризующий остаточный ущерб SToy, при условии использования данного варианта системы защиты от рисков, в данный промежуток времени T, рассчитывается на основе данных, определенных на этапе 7 по формуле:

где

Sfk - стоимость реализации данной функции контрмеры, в случае ее использования для воздействия на угрозу;

Кс - маршрут от начального узла до целевого, при реализации которого обеспечивается нейтрализация данной угрозы «у»;

Vtf  Кс - выражение, описывающее все значения tf функций в данном маршруте Кс;

К - общее множество вариантов маршрутов, при реализации любого из которых обеспечивается нейтрализация данной угрозы «у» в данном варианте построения системы защиты;

k - номер маршрута из множества К;

N - количество маршрутов в множестве К;

Vc - вероятность того, что для нейтрализации ущерба от угрозы сработает данный маршрут Кс, рассчитываемая по формуле:

Этап 9. На этапе выбора оптимального варианта системы защиты от рисков, для различных вариантов организации системы защиты от рисков, производится (на основе ранее результатов расчетов по предыдущим этапам) расчет величины Sz по формуле.

где z - номер варианта организации системы защиты от рисков.

Генерация вариантов организации системы защиты от рисков может производиться произвольным способом, например:

- путем полного перебора всех возможных вариантов (данный способ дает возможность поиска наиболее оптимального варианта системы зашиты от рисков, однако, при большом количестве контрмер, требует значительного машинного времени);

- путем использования любого возможного метода оптимизации перебора (данный способ также дает возможность поиска наиболее оптимального варианта системы защиты от рисков, но, возможно, с некоторой погрешностью);

- путем произвольного задания вариантов, что дает возможность проверки эффективности конкретных вариантов организации системы защиты от рисков.

Поиск оптимального варианта организации системы защиты от рисков заключается в нахождении такого варианта z, при котором значение S - минимально.

Выводы:

Рассмотренный метод анализа и оптимизации рисков обладает рядом преимуществ по сравнению с применяемыми в СМК методами [5,6].

Данный метод позволяет определить различные варианты необходимых действий по снижению уровня ущерба от потенциальных угроз и выбрать стратегию, обеспечивающую снижение затрат на их реализацию и минимизацию величины остаточных рисков.

Метод отличается развитым математическим аппаратом, позволяющим осуществлять оценку всего множества вариантов возможных действий, а также апробированной программной реализацией (ПО «BCM-Analyser»).

Сочетание всех вышеуказанных факторов позволяет прогнозировать перспективность расширения области применения данного метода на процессы системы менеджмента качества.

Литература

1. ISO 9001:2008 "Quality management systems. Requirements"

2. Кутбитдинов С.Ш., Дурель А.В. О возможности применения методов FMEA для анализа несоответствий в процессах СМК // Инфокоммуникации: Сети-Технологии-Решения, № 1 (17), 2011 с. 28-32.

3. А. Сафонов «Практическое применение методов и средств анализа рисков» // Информационная безопасность, № 3, 2010 с. 42-43.

4. Дурель А.В. О выборе оптимального способа совершенствования систем менеджмента качества // Инфокоммуникации: Сети-Технологии-Решения, № 3 (15), 2010 с. 37-40.

5. IEC 60812:2006 "Analysis techniques for system reliability - Procedure for failure mode and effects analysis (FMEA)"

6. ГОСТ Р 51344-99. Безопасность машин. Принципы оценки и определения риска.— М.: Издательство стандартов, 2004.— 19 с.



Скачать документ

Похожие документы:

  1. Менеджмент качества проектов при создании телекоммуникационных систем

    Реферат
    Создание любой, даже относительно несложной телекоммуникационной системы происходит в рамках проекта. При реализации проектов необходима соответствующая структура управления.
  2. Менеджмента качества (2)

    Документ
    В статье рассматриваются возможные подходы к оценке надежности различных систем менеджмента с учетом влияния человеческого фактора, включая расчет влияния ошибок персонала на готовность процессов менеджмента и обобщенную оценку системы
  3. Менеджмента качества (7)

    Документ
    Сегодня практически все промышленно развитые страны вступили в новый этап развития менеджмента, который, тесно связан с внедрением интегрированных систем менеджмента (ИСМ), включающих в себя на современном этапе три или две ниже перечисленные
  4. Менеджмента качества (8)

    Документ
    Главная целевая установка систем качества, построенных на стандартах серии ISO 9 обеспечение качества продукции, требуемого заказчиком, и предоставление ему документально подтвержденных доказательств, в способности предприятия стабильно
  5. «Менеджмент качества»

    Документ
    Целью курса является освоение студентами современных методов проектирования и управления процессами: их идентификации, документирования, построения моделей процесса, придания процессу управляемого характера и создания системы для его мониторинга.

Другие похожие документы..