- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
2.2. Формальное описание моделей принятия решений
Статические задачи принятия решений (в предположении, что составляющие задачи принятия решений и задача в целом не зависят от времени) по признаку определенности описания задачи делят на детерминированные (при определенности), стохастические (или принятие решений при риске) и нечеткие.
Можно выделить три исходные проблемные ситуации принятия решений при определенности, при риске и при нечеткости [68].
При определенности проблемная ситуация многокритериального принятия решений формально описывается следующей моделью [68]:
существуют альтернативы x, принадлежащие исходному множеству альтернатив X, образованному ограничениями и условиями ;
альтернативы х обладают т свойствами (характеристиками) ;
каждому i-му свойству альтернативы X соответствует критериальная оценка – локальный критерий;
значения локальных критериев таковы, что лучшими значениями являются те, которые больше;
каждой альтернативе х соответствует в m-мерном критериальном пространстве Z решение (точка) ;
отображение множества X в критериальное пространство Z порождает в этом пространстве множество решений , являющееся образом множества Х:
Особенностью задачи является то, что альтернативе соответствует однозначное описание в пространстве локальных критериев т.е. многокритериальноcть.
Требуется решить одну из следующих задач:
1) задача упорядочения альтернатив по совокупности т свойств;
2) задача классификации — распределение альтернатив по классам решений;
3) задача выбора — выделение лучшей альтернативы.
Иными словами, требуется предложить формализованную постановку детерминированной задачи выбора, сведя ее к задаче оптимизации, и алгоритмы решения поставленных задач.
Наибольшее внимание в дальнейшем уделим решению задачи выбора. Основная проблема при решении задач выбора, классификации и упорядочения связана с многокритериальностью, отсутствием одного признака, но которому можно упорядочить решения или выбрать лучшее. Основными способами преодоления многокритериальности являются привлечение ЛПР и решение задачи на основе его предпочтений либо постулирование (пли иногда конструирование) определенных принципов оптимальности и решение задачи на основе выбранного принципа. В последнем случае опять в завуалированном виде присутствует задача выбора, но на этот раз уже принципа оптимальности. Ее опять можно решать с привлечением ЛПР.
Необходимо отметить, что при построении модели принятия решений при определенности не рассматривался такой важный признак, как непрерывность задачи. Как известно, по этому признаку задачи делят на дискретные, непрерывные и смешанные. В дальнейшем для задач выбора будем часто рассматривать дискретные задачи принятия решений, обозначая альтернативы как , . Множество альтернатив X в этом случае состоит из n альтернатив: . При решении задачи выбора требуется выбрать номер к, которому соответствует лучшая альтернатива.
Проблемная ситуация многокритериального принятия решений при риске формально описывается следующей моделью [68]:
существуют альтернативы x, принадлежащие исходному множеству альтернатив X, образованному ограничениями и условиями , одну из которых необходимо выбрать ЛПР;
качество альтернатив х описывается m локальными критериями (характеристиками) качества , ;
существует множество состояний среды , при этом ЛПР точно не известно, в каком конкретном состоянии находится или будет находиться среда;
на множествах решений X и состояний среды , определено m локальных критериев (характеристик) качества , каждый из которых описывается функцией полезности если ЛПР исходит из условия ее максимизации, либо функцией потерь , если ЛПР исходит из условия ее минимизации.
При оценке качества альтернатив возможна одна из следующих четырех ситуаций априорной информированности ЛПР о состояниях среды:
ЛПР известно априорное распределение вероятностей состояний среды;
ЛПР известно, что среда активно противодействует его целям;
ЛПР имеет приблизительную априорную информацию о состояниях среды, являющуюся промежуточной между первой и второй ситуациями априорной информированности;
ЛПР располагает «нечетким» знанием состояний среды.
Требуется решить задачу выбора – выделить лучшую альтернативу или для дискретного случая.
Функция полезности ; используется для оценки локального критерия (характеристики) качества zi альтернативы х. Она описывает полезность, выигрыш, эффективность, вероятность достижения цели и т.д. В противоположность этому функция потерь применяется для выражения потерь, проигрыша, сожалений, ущерба, риска и т.д. Вид функции определяет ЛПР. Иногда функцию полезности или потерь определяют экспертным путем.
Важнейшей особенностью задачи является то, что альтернативе соответствует несколько значений полезности или потерь локального критерия (характеристики) качества при разных . Иными словами, выбор альтернативы не приводит к однозначному результату. Для локального критерия (характеристики) качества , не известно, какова будет полезность альтернативы; ее величина зависит от выбора средой своего состояния. Последствия выбора при риске носят случайный характер.
Отсюда следует самостоятельная промежуточная проблема: оценить выбор альтернативы по одному локальному критерию качества в зависимости от поведения среды, т. е. научиться сравнивать альтернативы по отдельному локальному критерию качества.
После того как удается оцепить каждый локальный критерий (характеристику) качества, избавившись от случайности или риска выбора, задача становится детерминированной и для ее решения можно применить методы