Файловый архив студентов. Файловый архив студентов.
1263 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Учебное пособие 70044.doc
Скачиваний:
9
Добавлен:
01.05.2022
Размер:
273.17 Кб
Скачать
►Содержание►

3.3.6.6. Порядок построения многомерной функции полезности

Рекомендуется структурировать систему предпочтений при помощи функции многомерной полезности, придерживаясь последовательно пяти перечисленных ниже стадий:

  1. Введение терминологии и основных допущений.

  2. Проверка необходимых условий допущений о независимости.

  3. Построение условных функций полезности.

  4. Нахождение значений констант, задающих масштаб шкалы.

  5. Проверка согласованности.

На первой стадии ЛПР знакомится с программным обеспечением, реализующим аналитическую модель, критериями и их шкалами, а также необходимыми понятиями из теории полезности (лотерея, вероятность, функция полезности, ожидаемая полезность и т.п.), причем объяснения должны быть предельно простыми, сформулированными на понятном ЛПР языке и в то же время достаточно четкими и строгими [152].

3.3.6.7. Проверка допущений о независимости

Допущение о независимости фактора (критерия) К{ от Kj по полезности проверяется, например, оценкой детерминированных эквивалентов для ряда лотерей, значения которых покрывают достаточно плотно пространство исходов. Если предпочтения оказываются почти одинаковыми для разных фиксированных Kj (о справедливости вывода относительно постоянства можно поинтересоваться у лица, принимающего решение), то проверяемое допущение о независимости можно принять. Прямая проверка взаимонезависимости полезности К{ от Kj затруднена тем, что фактически она включает п факторов разной размерности от их дополнений, и проверить справедливость их всех практически нельзя уже при п - 5. Однако эта проблема резко упрощается при уменьшении размерности независимых переменных.

Вычисление значений констант шкал

Общий подход к решению данной задачи состоит в составлении системы необходимого числа уравнений, содержащих эти константы в качестве неизвестных, путем рассмотрения лотерейных детерминированных эквивалентов, а также неслучайных исходов.

Проверка согласованности

Возможны три подхода к решению рассматриваемой проблемы. Первый основан на проведении попарных сравнений различных последствий. Такого рода проверка повторяется несколько раз, чтобы появилась уверенность в ее результатах. При этом рекомендуется начинать с простых сравнений и постепенно переходить к более сложным. Второй подход заключается в предъявлении лицу, принимающему решение, кривых условно равного предпочтения. Третий связан с выяснением склонности лица, принимающего решение, к риску.

Если в процессе анализа согласованности выявляются противоречия, необходимо повторить соответствующие стадии процедуры построения функции полезности до получения некоторой функции полезности выбранного вида или же перейти к построению функции полезности более общего вида [89].

Глава 4. Обработка риска информационной безопасности

4.1. Общее описание обработки риска

При обработке рисков информационной безопасности необходим перечень рисков с назначенными приоритетами в соответствии с критериями оценки рисков, касающимися сценариев инцидентов, которые приводят к этим рискам.

Должны быть выбраны меры и средства контроля и управления для снижения, сохранения, предотвращения или переноса рисков, а также определен план обработки рисков.

Для обработки риска имеется четыре варианта: снижение риска, сохранение риска, предотвращение риска и перенос риска.

На рис. 4.1 иллюстрируется деятельность по обработке риска в рамках процесса управления рисками ИБ.

Варианты обработки риска должны выбираться исходя из результатов оценки риска, предполагаемой стоимости реализации этих вариантов и их ожидаемой эффективности.

Должны реализовываться такие варианты, при которых значительное снижение риска может быть достигнуто при относительно небольших затратах. Дополнительные варианты повышения эффективности могут быть неэкономичными, и необходимо принимать решение о целесообразности их применения.

Неблагоприятные последствия рисков необходимо снижать до разумных пределов независимо от каких-либо абсолютных критериев. Редкие, но серьезные риски должны рассматриваться руководством. В таких случаях может возникнуть необходимость реализации мер и средств контроля и управления, которые являются необоснованными по причинам затратности (например, меры и средства контроля и управления непрерывности, для охвата высоких специфических рисков).

Четыре варианта обработки риска не являются взаимоисключающими. В отдельных случаях система может получить значительную выгоду от объединения вариантов, таких, как снижение вероятности риска, уменьшение последствий и перенос или сохранение любого остаточного риска.

Рис. 4.1. Деятельность по обработке риска

Некоторые варианты обработки риска могут быть эффективными для более чем одного риска (например, обучение и осведомленность в части ИБ). План обработки риска должен четко определять порядок приоритетов, при соблюдении которого должна реализовываться обработка отдельного риска. Порядок приоритетов может устанавливаться с использованием различных методов, включая ранжирование рисков и анализ «затраты-выгоды». В обязанности руководства входит принятие решения о балансе между затратами на реализацию мер и средств контроля и управления.

При определении существующих мер и средств контроля и управления может быть установлено, что существующие меры и средства контроля и управления превышают текущую потребность в показателях сравнения затрат, включая поддержку. В случае удаления избыточных или ненужных мер и средств контроля и управления (особенно, если расходы на их поддержку велики) должны учитываться факторы ИБ и стоимости. Поскольку меры и средства контроля и управления оказывают влияние друг на друга, удаление избыточных мер и средств контроля и управления может в итоге снизить эффективность использования всех оставшихся мер и средств обеспечения безопасности. Кроме того, может быть менее затратным оставить избыточные или ненужные средства контроля, чем удалить их.

Для разных вариантов обработки риска должно учитываться:

- как риск осознается затрагиваемыми сторонами;

- наиболее подходящие способы обмена информацией с этими сторонами.

Установление контекста (см. «Основные критерии») предоставляет информацию о законодательных и нормативных требованиях, которым необходимо выполнять в системе. Отказ от следования указанным требованиям является риском для системы, поэтому должны быть рассмотрены варианты решений, ограничивающие эту возможность. Все ограничения - организационные, технические, структурные и др., которые определяются в течение деятельности, связанной с установлением контекста, следует учитывать в течение обработки риска.

После уточнения плана обработки риска необходимо определить остаточные риски. Это включает обновление или повторную операцию оценки риска с учетом ожидаемого эффекта от предполагаемой обработки риска. Если остаточные риски по0-прежнему не будут удовлетворять критериям принятия риска в системе, может возникнуть необходимость в дополнительной итерации обработки риска, прежде чем перейти к принятию риска [138].

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности