- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
2. Математические основы принятия решений при управлении рисками
На этапе обработки рисков основной задачей является выбор мер и средств контроля и управления из множества имеющихся альтернатив. Для решения данной задачи целесообразно использовать элементы теории принятия решений.
Теория принятия решений – это область исследования, вовлекающая понятия и методы математики, статистики, экономики, менеджмента и психологии с целью изучения закономерностей выбора путей решения разного рода задач, а также способов поиска наиболее выгодных из возможных решений (Википедия).
2.1. Основные понятия и обобщенная классификация задач принятия решений
Постановка задачи принятия решений
Пусть имеется множество X, состоящее из элементов x, называемых альтернативами. Требуется выделить из множества альтернатив X некоторое подмножество или одну лучшую альтернативу либо проранжировать (упорядочить) альтернативы. Выделение или ранжирование альтернатив проводится на основе представления об их качестве некоего субъекта, характеризующего принцип оптимальности (opt) [68].
Указанные элементы – множество альтернатив и принцип оптимальности – позволяют сформулировать следующие определения. Задачей принятия решений назовем пару , решением задачи – альтернативу , подмножество либо ранжировку альтернатив, полученных c помощью принципа оптимальности opt.
Задачи принятия решений в зависимости от имеющейся информации о множестве X и принципе оптимальности opt классифицируют следующим образом:
общая задача принятия решений: X и opt не известны;
задача выбора: X известно, opt не известен;
задача оптимизации или задача упорядочения альтернатив: X и opt известны.
Задача выбора, задача оптимизации и задача упорядочения альтернатив являются частными случаями общей задачи принятия решений, в которой требуется сформировать как исходное множество альтернатив, так и принцип оптимальности.
В задаче оптимизации предполагаются известными множество альтернатив и принцип оптимальности, позволяющий выбрать лучшую альтернативу или подмножество лучших альтернатив . Часто принцип оптимальности выражается в виде целевой функции (функции качества, эффективности, выигрыша или потерь) F(x), зависящей от х. В этом случае требуется найти или подмножество , на которых функция F(x) достигает экстремального значения – максимума или минимума – в соответствии со смыслом решаемой задачи.
Иногда целевая функция F(x) не задана в явном виде. Тогда предполагается, что существует субъект принятия решений (индивидуум или группа), имеющий представление о значениях целевой функции F(x) в зависимости от х.
В задаче упорядочения альтернатив предполагаются известными множество альтернатив и принцип оптимальности, отражающий сравнительное качество альтернатив. На основе принципа оптимальности все альтернативы ранжируются в порядке ухудшения или улучшения их качества.
В задаче выбора предполагаются известными множество альтернатив и неизвестным принцип оптимальности. Требуется сформировать принцип оптимальности.
Пусть при решении задачи альтернативы обладают m свойствами (характеристиками) . Пусть свойство выражается числом , т.е. существует отображение : или Тогда такое свойство назовем локальным критерием, а число – оценкой альтернативы х по локальному критерию .
Поставим в соответствие локальному критерию i-ю ось в пространстве . Отобразим множество X в пространство сопоставив каждой альтернативе точку , где – оценка альтернативы х по локальному критерию .
Критериальным пространством назовем пространство , координаты точек которого рассматриваются как оценки по соответствующим локальным критериям. Отображение множества X в критериальное пространство Z порождает в этом пространстве подмножество ZX, являющееся образом множества X: .
На рис. 2.1 и 2.2 приведены примеры отображения множества X в множество решений в критериальном пространстве Z. Для случая, когда множество X дискретное, т.е. X в этом случае состоит из п альтернатив , множество решений также дискретное (рис. 4). Если множество X — компакт, то множество решений может быть непрерывным множеством (рис. 5).
Процесс решения задачи можно разделить на два этапа:
1) формирование исходного множества альтернатив X (ИМЛ);
2) решение задачи выбора.
Исходное множество альтернатив X формируют из условий возможности и допустимости альтернатив. Задачу формирования ИМЛ можно формально рассматривать как задачу выбора; из универсального множества альтернатив X выбирают X по некоторому принципу оптимальности opt1.
Рис. 2.1. Отображение дискретного множества X
в критериальное пространство Z
Рис. 2.2. Отображение компакта Х в критериальное пространство Z
Процесс решения задачи предполагает участие в нем людей с раз-личными функциями, возможностями и ответственностью. Выделим следующие субъекты процесса: лицо, принимающее решения; эксперты, консультанты [68].
Лицом, принимающим решения (ЛПР), называют специалиста, имеющего цель, которая служит мотивом постановки задачи и поиска ее решения. Предполагается, что ЛПР является компетентным в области, связанной с задачей, обладает необходимым опытом деятельности, наделено необходимыми полномочиями и несет ответственность за принятое решение. В задаче принятия решений основная функция ЛПР состоит в выделении альтернативы или подмножества X*.
Во многих процедурах принятия решений ЛПР дает информацию о принципе оптимальности. Именно с учетом предпочтений ЛПР решается задача, и оно определяет, хорошо или плохо решена задача принятия решений.
ЛПР имеет цель, которая служит мотивом постановки задачи и ее решения, имеет полномочия и ответственность, систему предпочтений о преимуществах и недостатках альтернатив.
В определенных ситуациях в качестве ЛПР может выступать группа людей, образуя коллективное ЛПР.
Эксперт имеет информацию об отдельных элементах задачи, но не несет непосредственной ответственности за результат ее решения. Эксперт помогает ЛПР сформировать универсальное множество альтернатив , исходное множество альтернатив X, оценить альтернативы х по локальным критериям предлагает варианты выбора решений.
Консультант (аналитик, специалист по системному анализу) разрабатывает модель задачи или проблемы, процедуры решения, организует работу ЛПР и экспертов.
В некоторых случаях задачу решает непосредственно ЛПР, объединяя функции экспертов и консультантов.
Существенным элементом задач принятия решений является то, что качество процесса принятия решений находится в прямой зависимости от полноты учета всех факторов, существенных для последствий от принятых решений. Часто эти факторы носят чисто субъективный характер, присущий как ЛПР, так и любому процессу принятия решений. В этих условиях элементы субъективности заметно сказываются на решении.
Принятие решений часто осуществляется в условиях неопределенности, т. е. ЛПР обладает меньшим количеством информации, чем это необходимо для целесообразной организации его действий в процессе принятия решении. Частичное или полное снятие неопределенности может быть достигнуто за счет имеющейся либо дополнительно получаемой информации.
Неопределенность в принятии решений обычно обусловлена недостаточными надежностью и количеством информации, на основе которой ЛПР осуществляет выбор решения. Существуют различные виды неопределенности. В общем случае можно выделить следующие часто встречающиеся виды:
принципиальная неопределенность, например, в известных ситуациях квантовой механики;
неопределенность, генерированная общим числом объектов или элементов, включенных в процесс принятия решений, например при числе альтернатив больше ;
неопределенность, вызванная недостатком информации и се достоверности в силу технических, социальных и иных причин;
4) неопределенность, обусловленная слишком высокой или недоступной платой за получение информации и переходом к определенности;
5) неопределенность, порожденная ЛПР из-за недостатка его опыта и знании факторов, влияющих на принятие решений;
6) неопределенность, связанная с ограничениями в ситуации принятия решений (ограничения но времени и элементам пространства параметров, характеризующих факторы принятия решений);
7) неопределенность, вызванная поведением среды или противника, влияющего на процесс принятия решения.
Таким образом, и процессах принятия решений и задачах, с ними связанных, имеется ряд ситуаций с той пли иной степенью неопределенности, требующих для своего описания в целях получения решения такого математического аппарата, который предусматривал бы возможность появления неопределенности.
К такому аппарату относится теория вероятностей, в соответствии с которой неопределенность ситуации описывается некоторой мерой, характеризующей возможность появления заданных случайных исходов (элементов или подмножеств некоторого множества).
Кроме того, неопределенными ситуациями занимаются теория игр, в которой неопределенность порождается конфликтом и антагонистическими интересами игроков, связанных между собой определенными правилами ведения игры, и теория статистических решений (игр), в которой в качестве одного на игроков выбирается пассивная среда или «природа», поведение которой характеризуется известными, частично известными и неизвестными законами распределения вероятностей. Теорию игр и теорию статистических решений можно считать крайними случаями различных степеней градации неопределенности или случаями разной априорной информированности.
Еще одним эффективным инструментарием дня описания неопределенностей принятия решений является теория нечетких множеств.
Задача выбора – одна из главных в теории принятия решений. В центре теории принятия решений стоит субъект выбора – человек, лицо, принимающее решения. Одно из существенных допущений теории принятия решений состоит в том, что человек делает рациональный выбор. Такой выбор основан на гипотезе, что решение человека является результатом упорядоченного процесса анализа. Для определения понятия рационального выбора и рационального человека – субъекта принятия решений – используется ряд предположений о поведении человека, которые называются аксиомами рационального поведения.
При условии, что эти аксиомы справедливы, доказывается теорема о существовании некоторой функции, описывающей выбор человека, – функции полезности. Полезностью называют величину, которую в процессе выбора максимизирует человек с рациональным поведением.