- •Глава 1. Общие положения
- •1.1. Основные понятия
- •1.1.1. Терминология и определения в публикациях на русском языке
- •1.1.2. Терминология и определения на английском языке
- •1.2. Обзор процесса управления рисками информационной безопасности
- •Конец первой или последующих итераций
- •1.3. Основные критерии в управлении рисками
- •Глава 2. Оценка риска информационной безопасности
- •2.1. Общее описание оценки риска информационной безопасности
- •2.2. Анализ риска
- •2.3. Оценивание рисков
- •2.3.1. Шкалы и критерии, по которым измеряются риски
- •2.3.2. Объективные и субъективные вероятности
- •2.3.3. Получение оценок субъективной вероятности
- •2.4. Измерение рисков
- •2.4.1. Оценка рисков по двум факторам
- •2.4.2. Разделение рисков на приемлемые и неприемлемые
- •2.4.3 Оценка рисков по трем факторам
- •2.5. Оценка последствий
- •2.6. Установление значений уровня рисков
- •Глава 3. Методы оценки информационных рисков
- •3.1. Высокоуровневая оценка риска информационной безопасности
- •3.2. Детальная оценка риска информационной безопасности
- •3.3.1. Оценка субъективной вероятности
- •3.3.2. Классификация методов получения субъективной вероятности
- •3.3.3. Методы получения субъективной вероятности
- •3.3.4. Методы оценок непрерывных распределений
- •3.3.5. Агрегирование субъективных вероятностей
- •3.3.6. Методы теории полезности
- •3.3.6.1. Постановка задачи выбора в условиях риска
- •3.3.6.2. Необходимые сведения из теории полезности
- •3.3.6.3. Применение методов теории полезности
- •3.3.6.4. Классификация функций полезности по склонности к риску
- •3.3.6.5. Многомерные функции полезности
- •3.3.6.6. Порядок построения многомерной функции полезности
- •3.3.6.7. Проверка допущений о независимости
- •Глава 4. Обработка риска информационной безопасности
- •4.1. Общее описание обработки риска
- •4.2. Снижение риска
- •4.3. Сохранение риска
- •4.4. Предотвращение риска
- •4.5. Перенос риска
- •4.6. Принятие риска информационной безопасности
- •Глава 5. Коммуникация риска информационной безопасности
- •Глава 6. Мониторинг и переоценка риска информационной безопасности
- •6.1. Мониторинг и переоценка факторов риска
- •6.2. Мониторинг, анализ и улучшение менеджмента риска
- •Заключение
- •Библиографический список
- •Оглавление
- •Глава 1. Общие положения 6
- •Глава 2. Оценка риска информационной безопасности 23
- •Глава 3. Методы оценки информационных рисков 55
- •Глава 4. Обработка риска информационной безопасности 88
- •Глава 5. Коммуникация риска информационной безопасности 97
- •Глава 6. Мониторинг и переоценка риска информационной безопасности 99
- •394026 Воронеж, Московский просп., 14
3.3.5. Агрегирование субъективных вероятностей
Проблема агрегирования возникает в том случае, когда m экспертов оценивают вероятности на одном множестве событий. Существуют различные подходы к решению этой задачи:
индивидуальные оценки рассматриваются как случайные величины на одном и том же вероятностном пространстве. Групповая вероятность представляет собой условную вероятность события 51 в предположении, что индивидуальные оценки равны Р1,Рт;
в методе взвешенной суммы групповая вероятность находится по формуле:
Р1= W1 x PX + ... +Wm x Pm,
где Wi - это веса (коэффициенты компетентности), приписанные эксперту i. Если оценки Pi являются несмещенными, то веса можно принимать так, чтобы минимизировать дисперсию величины Р1. На практике веса следует выбирать на основе анализа оценок экспертов, полученных во время предыдущих экспертиз;
в подходе, основанном на методе Делфи, субъективные вероятности, представленные экспертами, доводятся до сведения всех экспертов, после чего эксперты вновь сообщают свои вероятности. Таким образом выполняется итеративная процедура, которая позволяет каждому отдельному эксперту скорректировать свои оценки после ознакомления с оценками остальных [130].
3.3.6. Методы теории полезности
3.3.6.1. Постановка задачи выбора в условиях риска
Рассмотрим следующую постановку задачи.
Задано множество S возможных детерминированных исходов (последствий). В роли этого множества чаще всего выступает множество значений скалярного или векторного критерия, при помощи которого оценивается эффективность (качество и т.п.) вариантов решений (стратегий, планов, альтернатив и т.д.). Достигаемый исход зависит не только от реализуемого варианта решения, но и от того, какое значение примут неопределенные (случайные) факторы, распределения вероятностей которых известны. Поэтому удобно полагать, что каждому варианту решения из допустимого множества ставится в соответствие некоторая вероятностная мера, заданная на множестве S (например, распределение вероятностей или плотность вероятности). Принимающий решение должен выбрать наилучший вариант из множества S или, что эквивалентно, сделать выбор на множестве соответствующих элементам этого подмножества вероятностных мер.
Известны два основных подхода к принятию решений при риске:
базирующийся на применении так называемых объективных критериев выбора (привлечение различных моделей стохастического программирования, применение критериев типа математического ожидания, дисперсии и т.д.);
основанный на получении и использовании информации субъективного характера - сведений о структуре предпочтений (лицо, принимающее решение (ЛПР)), в том числе о его отношении к риску.
Как показывают многочисленные исследования, методы, реализующие первый подход, менее надежны, поскольку зачастую неадекватно описывают ситуацию. Например, два действия, характеризуемые одинаковым математическим ожиданием выигрыша, для ЛПР могут не быть равноценными. Поэтому далее будем рассматривать субъективный подход к принятию решений при риске. Среди методов этого подхода наиболее распространены и обоснованы те, которые опираются на аксиоматические построения: предпочтения формализуются с помощью некоторой модели, и формулируются условия, обеспечивающие ее существование. Важным направлением в развитии таких методов служит теория полезности, основанная на представлении структуры предпочтений ЛПР посредством одной или нескольких вещественных функций [36].