Экспертные методы в задачах оценки рисков информационной безопасности
Перечисленные недостатки сдерживают применение количественных моделей при оценке рисков безопасности АС. Сейчас при решении подобных задач более распространены качественные методы, оценивающие требуемые явления либо события на качественных шкалах.
Оценка рисков иб с помощью метода анализа иерархий
Метод был предложен Т. Саати в 70х – 80х гг. XXвека и нашел очень мощное применение при принятии управленческих решений и прогнозировании возможных результатов развития ситуации в сложной системе взаимосвязанных компонент, где участвуют ресурсы, желаемые исходы или цели, заинтересованные лица или группа лиц (например, разрешение военных конфликтов). Он позволяет включить в процесс оценки рисков различные факторы, в том числе и качественные, а также модели злоумышленников со своими целями, мотивами.
Идея метода заключается в построении многоуровневой иерархии – системы наслаиваемых друг на друга уровней, каждый из которых состоит из многих элементов или факторов.
Центральный вопрос, который исследуется в данном методе: насколько сильно влияют отдельные факторы самого низкого уровня иерархии на вершину – общую цель.
Иерархия строится с вершины (целей – с точки зрения управления), через промежуточные уровни (критерии, от которых зависят последующие уровни) к самому низкому уровню (который обычно является перечнем альтернатив).
Метод состоит в декомпозиции проблемы на все более простые составляющие части, а затем, путем проведения парных сравнений ЛПР - в выражении относительной степени интенсивности элементов в иерархии.
В данном методе, вместо того, чтобы задавать эксперту, например, вопросы вида: «Какова вероятность реализации некоторой угрозы с номером i?», ему задают вопросы следующего вида: «В какой степени первая угроза более вероятна, чем вторая? Первая чем третья? Первая чем четвертая? Вторая, чем третья?». Полученная матрица парных сравнений затем обрабатывается, по результатам чего формируются веса предпочтительности объектов (например, веса, определяющие вероятность реализации угроз).
Оценка рисков иб с помощью метода анализа иерархий
Следует отметить, что элементы любого уровня иерархии должны быть сравнимы попарно по отношению к элементам следующего за ним уровня иерархии.
Продемонстрируем пример работы метода анализа иерархий для двух уровней. Такая задача может быть поставлена следующим образом:
Дано:
Множество
исследуемых альтернатив 
(например,
угрозы, уязвимости). В каждой альтернативе
эксперта интересуют вполне определенное
ее свойство (например, возможность
реализации), по которому должны сравниться
альтернативы, в результате чего выбирается
либо наиболее приемлемая из них, либо
альтернативы ранжируются по степени
своей предпочтительности (важности) по
отношению к исследуемому свойству (по
отношению принадлежности к исследуемому
понятию). Свойство определяет критерий
сравнения альтернатив. Предположим,
что эксперт имеет достаточно ясное
представление о проблеме, чтобы определять
для любой пары альтернатив 
степень
значимости одной альтернативы над
другой на качественной шкале по отношению
к исследуемому критерию. В результате
парного сравнения всех альтернатив
множества C формируется
матрица парных сравнений
Необходимо:
Руководствуясь результатами парных сравнений объектов, ранжировать объекты в порядке их соответствия исследуемому критерию (понятию).
ПРИМЕР
Пусть задано 6 программных продуктов - сканеров безопасности:
1. ISS Internet Security Scanner 7.0.
2. Symantec NetRecon 3.5.
3. XSpider 7.0.
4. eEye Retina Network Security Scanner 3.0