- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Оглавление
УСЛОВНЫЕ СОКРАЩЕНИЯ . . . . . . . . . . . . . . . . . . . . . . . . |
3 |
ВВЕДЕНИЕ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
4 |
1. МЕНЕДЖМЕНТ РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ . . . . . . . . . . . . . |
6 |
1.1. Основные термины и определения . . . . . . . . . . . . . . . . |
6 |
1.2. Система менеджмента информационной безопасности |
10 |
1.3. Менеджмент риска информационной безопасности . . |
13 |
1.3.1. Установление контекста . . . . . . . . . . . . . . . . . . . . . . |
17 |
1.3.2. Оценка риска нарушения информационной безопасности. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
21 |
1.3.2.1. Анализ риска. . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
22 |
1.3.2.1.1. Идентификация риска. . . . . . . . . . . . . . . . . . |
22 |
1.3.2.1.2. Установление значения риска. . . . . . . . . . . . |
49 |
1.3.2.2. Оценивание риска. . . . . . . . . . . . . . . . . . . . . . . . . |
52 |
1.3.3. Обработка риска . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
52 |
1.3.4. Принятие риска . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
64 |
1.3.5. Коммуникация риска . . . . . . . . . . . . . . . . . . . . . . . . . |
65 |
1.3.6. Мониторинг и переоценка риска . . . . . . . . . . . . . . . |
66 |
1.4. Стандарты в области управления информационными рисками . . . . . . . . . . . . . . . . . . . . . |
68 |
1.5. Инструментальные средства для управления рисками |
76 |
1.5.1. OCTAVE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
77 |
1.5.2. CRAMM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
79 |
1.5.3. RiskWatch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
82 |
1.5.4. COBRA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
84 |
1.5.5. RA2 the art of risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
85 |
1.5.6. vsRisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
86 |
1.5.7. Callio Secura 17799 . . . . . . . . . . . . . . . . . . . . . . . . . . . |
87 |
1.5.8. Proteus Enterprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
91 |
1.5.9. ГРИФ 2006 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
92 |
1.5.10. АванГард . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
95 |
1.6. Контрольные вопросы . . . . . . . . . . . . . . . . . . . . . . . . . . |
98 |
2. МАТЕМАТИЧЕСКИЕ ОСНОВЫ ПРИНЯТИЯ РЕШЕНИЙ ПРИ УПРАВЛЕНИИ РИСКАМИ. . . . . . . . . . |
101 |
2.1. Основные понятия и обобщенная классификация задач принятия решений . . . . . . . . . . . . . . . . . . . . . . . . . . |
101 |
2.2. Формальное описание моделей принятия решений . . |
109 |
2.3. Методы экспертных оценок . . . . . . . . . . . . . . . . . . . . . . |
113 |
2.3.1. Методологические основы и предпосылки применения методов экспертных оценок . . . . . . . . . . . |
113 |
2.3.2. Основные типы шкал . . . . . . . . . . . . . . . . . . . . . . . . |
115 |
2.3.3. Методы проведение экспертизы . . . . . . . . . . . . . . . |
116 |
2.3.4. Качественные экспертные оценки . . . . . . . . . . . . . |
121 |
2.3.5. Этапы работ по организации экспертной оценки . |
123 |
2.3.6. Отбор экспертов и их характеристика . . . . . . . . . . |
124 |
2.3.7. Методы опроса экспертов . . . . . . . . . . . . . . . . . . . . |
129 |
2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
138 |
2.4. Детерминированные модели и методы принятия решений. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
159 |
2.4.1. Постановка многокритериальных задач принятия решений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
161 |
2.4.2. Характеристики приоритета критериев. Нормализация критериев. . . . . . . . . . . . . . . . . . . . . . . . . |
162 |
2.4.3. Принципы оптимальности в задачах принятия решений. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
165 |
2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности. . . . . . . . . |
199 |
2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки. . . . . . . . . . . . . . . . . . . . . . |
202 |
2.4.6. Метод аналитической иерархии. . . . . . . . . . . . . . . . |
207 |
2.4.7. Методы порогов несравнимости ЭЛЕКТРА. . . . . . |
212 |
2.5. Статистические модели и методы принятия решений в условиях неопределенности . . . . . . . . . . . . . . . . . . . . |
218 |
2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности . . . . |
219 |
2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности ЛПР. . . . . . . . . . . . . . . . . . . . . . . . |
223 |
2.5.2.1. Критерий Байеса-Лапласа. . . . . . . . . . . . . . . . . . |
223 |
2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь. . . . . . . . . . . . . . . . . . . . . . . . . . . |
225 |
2.5.2.3. Критерий максимизации вероятности распределения функции полезности. . . . . . . . . . . . . . |
227 |
2.5.2.4. Модальный критерий. . . . . . . . . . . . . . . . . . . . . |
227 |
2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности. . . |
229 |
2.5.2.6. Критерий Гермейера. . . . . . . . . . . . . . . . . . . . . . |
230 |
2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
231 |
2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности ЛПР. . . . . . . . . . . . . . . . . . . . . . . . |
233 |
2.5.3.1. Максиминный критерий Вальда. . . . . . . . . . . . |
234 |
2.5.3.2. Критерии минимаксного риска Сэвиджа. . . . . |
235 |
2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности ЛПР. . . . . . . . . . . . . . . . . . . . . . . . |
237 |
2.5.4.1. Критерий Гурвица. . . . . . . . . . . . . . . . . . . . . . . . |
237 |
2.5.4.2. Критерий Ходжеса-Лемана. . . . . . . . . . . . . . . . |
239 |
2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
240 |
2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности. . . . . . . |
243 |
2.6. Методы оптимизации . . . . . . . . . . . . . . . . . . . . . . . . . . . |
244 |
2.7. Контрольные вопросы . . . . . . . . . . . . . . . . . . . . . . . . . . |
251 |
ЗАКЛЮЧЕНИЕ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
255 |
ПРИЛОЖЕНИЕ. Справочные данные. . . . . . . . . . . . . . . . . . . |
256 |
БИБЛИОГРАФИЧЕСКИЙ СПИСОК. . . . . . . . . . . . . . . . . . . |
267 |
Учебное издание
Чопоров Олег Николаевич
Гузев Юрий Николаевич
СТАНДАРТИЗАЦИЯ И МЕТОДОЛОГИЯ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ
В авторской редакции
Подписано к изданию 02.12.2015
Объем данных 7,78 Мб
ФГБОУ ВО «Воронежский государственный
технический университет»