- •Введение
- •1. Арсенал риск-анализа (на примере информационных систем)
- •1.2.Современные стандарты в области управления рисками информационных систем
- •Международный стандарт iso iec 17799 и гост р исо/мэк 17799-2005
- •Часть 12 гост р исо/мэк 17799-2005 определяет способ оценки качества управления безопасностью с помощью проверки соответствия определенным требованиям, а именно:
- •Международный стандарт iso iec 27001 и гост р исо/мэк 27001-2005
- •Британский стандарт bs 7799-3 «Руководство по управлению информационными рисками»
- •Раздел 7 bs 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает две фазы менеджмента системы: контроль риска и оптимизация риска.
- •Стандарт сша nist 800-30 «Руководство по управлению информационными рисками it-систем»
- •2.2.Экспертные методы оценки рисков
- •2. Риски и шансы: аналитический подход в методологии оценки
- •3.2.Понятие риска и шанса
- •Концепции оценки рисков и шансов
- •Обобщенная модель оценки риска и шанса
- •Вероятностная природа риска и шанса
- •Методы оценки риска и шанса
- •Формальное определение меры риска и шанса
- •Основные меры риска и шанса
- •Методы рационализации вычислений при расчете риска и шанса
- •Объективные и субъективные составляющие риска и шанса
- •4.2.Динамические характеристики риска и шанса
- •Базовое движение характеристик
- •4.1.Временная динамика характеристик
- •5.2.Меры эффективности на основе шанса и риска
- •3. Методическое и алгоритмическое обеспечение управления рисками и шансами.
- •6.2.Аналитические методы управления шансами и рисками
- •Понятия и обобщенная схема управления
- •Принципы принятия решений по управлению шансами и рисками
- •Основные критерии выбора оптимальных решений по управлению шансами и рисками
- •7.2.Постановка задачи управления рисками и шансами
- •Интересо-ориентированные системы в контексте постановки задачи управления рисками
- •Общий вид модели управления
- •Формализация управления
- •Критерий принятия решений при управлении на основе функций полезности
- •Динамические модели управления
- •8.2.Алгоритмы управления рисками и шансами
- •Послесловие редактора
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Критерий принятия решений при управлении на основе функций полезности
Для возможности направленного выбора управляющего решения (то есть возможных действий по управлению системой) должно быть задано предпочтение на элементах множества и , которое позволяло бы лицу, принимающему решение, сравнивать альтернативные элементы и выбирать в определенном смысле наилучший из них. Такие предпочтения должны носить априорный характер.
Возможность задания требуемых предпочтений вытекает из существования отношения к состоянию, выражающегося в значении функции . Целесообразность принятия данного решения определяется посредством оценки его влияния на значение этой функции и сравнение с заданным пороговым значением из множества критериев полезности. Как уже было показано выше, функция полезности может быть задана следующим образом:
Так как для определения оптимального решения по управлению производится оценка потенциального результата, то можно утверждать, что для принятия решения используется критерий ожидаемой полезности. Рассмотрим подробнее, каким образом может быть получен результат по данному критерию.
Предпочтения лица, принимающего решения, задаются в смысле влияния на предмет воздействий, то есть на систему.
Проанализируем возможные способы оценки полезности принятия решений. Одним из наиболее распространенных в области обеспечения безопасности систем подходов является оценка полезности как защищенности. Так как защищенность по своему физическому смыслу является величиной, обратной величине риска, то фактически оценка производится на основе значения риска для системы. Другим подходом, ориентированным в основном на управление экономическими системами, является оценка на основе ожидаемого дохода. Каждый из этих способов имеет свои достоинства и может быть применен в качестве частных случаев. Однако недостатком этих подходов является слабая комплексность. Это выражается в том, что при стремлении снизить значения риска системы не учитывается позитивный результат, который она приносит. При оценке только ожидаемой пользы, не оценивается потенциальная опасность ситуации, сложившейся в системе. Исходя из этого, предлагается использовать комплексный критерий полезности на основе оценки, как риска, так и шанса. Обозначив риск для системы – и шанс – Ch можно записать критерий в виде:
где – соответственно множества субъектов, процессов и объектов для рассматриваемой системы.
Величина риска и шанса может быть рассчитана произвольным способом, но важно, чтобы они имели одинаковую физическую размерность. Наиболее универсальным является расчет на основе использования значений, выраженных в денежных единицах. К примеру, переходя к пространству ущерба, для дискретного закона распределения вероятностей ущерба выражение для функции полезности будет иметь следующий вид:
Полученный критерий отвечает требованиям универсальности в смысле предмета управления, поскольку полезность учитывает и негативные и позитивные стороны ожидаемой ситуации. Это дает возможность проводить оценку эффективности решений, в том числе и с учетом затрат (§2.4).