Как уже отмечалось, методики СППР прежде всего предназначены для решения бизнес-задач. Для использования в прикладных целях обеспечения безопасности, естественно, используется относительно небольшой набор следующих алгоритмов10:

— авторегрессионный — модель временного ряда, в которой его текущее значение линейно зависит от предыдущих. Основное назначение — прогнозирование, выявление тенденций и других особенностей;

— алгоритм последовательного покрытия — генерирующий набор классифицирующих правил, которые последовательно разделяют обучающее множество на подмножества до тех пор, пока в каждом из них не останутся только объекты одного класса;

— бинарная классификация — классификация с бинарной выходной переменной, которая может принимать только два значения. Относит объект к одному из двух классов;

— дискриминационный порог — в статистике и машинном обучении значение дискриминирующей функции в задачах бинарной классификации, которое позволяет разделять классы;

— задача классификации — задача разделения множества наблюдений на группы, называемые классами;

— квантование — процесс обработки данных, который преобразует непрерывные данные в дискретные путем замены значений диапазонами;

— класс — группа объектов или явлений, обладающими общими свойствами. Выявление классифицирующих правил называется задачей классификации, а процесс распределения объектов по классам — классификацией;

— корреляция — статистическая взаимосвязь двух или нескольких случайных величин;

— нормализация данных — метод предобработки числовых признаков в обучающих наборах данных с целью приведения их к некоторой общей шкале измерений без потери информации о различии диапазонов;

— регрессионный анализ — набор статистических процедур для изучения зависимостей между случайными переменными;

— скоринговая карта — набор характеристик с присвоенными весовыми коэффициентами;

— сэмплинг — процесс отбора из исходного набора данных выборки наблюдений, представляющих интерес для анализа;

— теорема Байеса — определяет вероятность события с привлечением связанным с ним знаний и условий. Например, если вероятность возникновения пожара связана с проведением огневых работ, то учет проведения огневых работ позволяет более точно оценить вероятность пожара в контролируемый период времени;

— факторный анализ — направление математической статистики, помогающее обнаружить наиболее важные факторы, которые влияют на исследуемые процессы или объекты.

В заключение этого раздела особо выделим методику разведочного анализа, которая в целом объединяет все алгоритмы, необходимые для достижения целей обработки данных в контексте предметной области, рассматриваемой в данном пособии.

Понятие «разведочный анализ данных» введено математиком Джоном Тьюки, который сформулировал цели такого анализа:

— максимальное «проникновение» в данные,

— выбор основных структур,

— выбор наиболее важных переменных,

— обнаружение отклонений и аномалий,

— проверка основных гипотез,

— разработка начальных моделей.

Возможность украсть создает вора.

Ф. Бэкон

3. Психология мошенничества

Как уже было отмечено ранее, данное пособие прежде всего адресовано специалистам, связанным с обеспечением безопасности. Поэтому обойти область знаний, связанную с психологией мошенничества и практикой противодействия, в связи с ее относительной «отвлеченностью» от названия пособия и «технической» направленности в целом все-таки было бы неверно.

Тем более в процессе изложения материала мы опять вернемся к теме подготовки данных для анализа и особое внимание обратим на возможные искажения данных как результат направленных действий заинтересованных лиц.

3.1. Модель нарушителя

В процессе проектирования систем безопасности на этапе создания модели угроз и проведения оценки уязвимости объекта11, как правило, рассматривается модель нарушителя.

Следуя этой методике, рассмотрим модель нарушителя в контексте анализа угроз экономической безопасности и попытаемся выделить основные отличительные характеристики. Поскольку речь идет о внутреннем нарушителе, эти характеристики следующие:

— осведомленность о структуре предприятия, основных бизнес- и технологических процессах;

— осведомленность о внедренных на предприятии мерах контроля и режима, осведомленность о местах установки видеокамер и технических систем охраны;

— в зависимости от занимаемой должности возможность влиять на достоверность информации, отражающей количественный учет движения товарно-материальных ценностей, или информации о количестве и качестве производимых работ (услуг) подрядными организациями.

Третий пункт особенно важен в контексте обещания вернуться к теме подготовки данных для анализа, т. к. на основе созданной модели нарушителя мы можем допустить, что в ряде случаев данные, используемые в информационной системе предприятия, изначально недостоверны, соответственно, выходной результат тоже будет искажен.