- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
2.3.6. Отбор экспертов и их характеристика
Процедура отбора специалистов в группы экспертов включает три этапа: определение числа экспертов, составление списка экспертов, получение согласия экспертов на участие в работе [68].
Для определения числа экспертов члены группы управления выявляют области знаний, связанные с решаемой проблемой. На основе рассмотрения содержания проблемы составляется перечень областей знаний, по которым необходимо привлечь специалистов. Для каждой области знаний определяется минимальное и максимальное число экспертов, исходя из приемлемой достоверности результатов экспертизы с учетом роли каждой области знаний в решении проблемы. После определения минимального и максимального числа экспертов по каждой области суммированием определяется общее минимальное и максимальное число экспертов.
Достоверность экспертизы зависит от числа экспертов в группе, долевого состава различных специалистов в группе, квалификации экспертов. Для проблем с высоким уровнем информационного потенциала знаний увеличение числа экспертов в группе обычно приводит к монотонному возрастанию достоверности экспертизы.
Следующим этапом работы по подбору экспертов является составление предварительного списка экспертов. В этот список включают лиц, компетентных в предметной области. При составлении списка кандидатов в эксперты проводится анализ качеств экспертов, определяются возможности участия выбранных специалистов в экспертизе.
После составления списка экспертов им направляется соответствующее сообщение, объясняется цель проведения экспертизы, ее сроки, порядок проведения, приводятся поясняющие примеры, необходимые примечания. К сообщениям могут прилагаться специальные анкеты для самооценки компетентности.
После получения ответов экспертов и обработки данных составляется окончательный список группы экспертов.
Основные характеристики экспертов. Для описания экспертов с точки зрения оценки качества решения проблемы используются следующие основные характеристики: компетентность, креативность, отношение к экспертизе, конформизм, аналитичность и широта мышления, коллективизм, самокритичность и др.
Перечисленные характеристики в основном оцениваются качественно. Для ряда характеристик могут быть введены количественные оценки.
Компетентность – это степень квалификации эксперта в определенной области знаний. Так как компетентность является очень сложным свойством, ее измерение реально может быть осуществлено только людьми. Поэтому на практике оценка компетентности часто проводится путем самооценки эксперта.
Для оценки этой характеристики эксперта введен числовой показатель – коэффициент компетентности [68]:
,
где – коэффициент информированности по проблеме, устанавливаемый на основе самооценки (но балльной шкале); – коэффициент аргументации, получаемый в результате суммирования баллов но эталонной таблице.
Существуют и другие, более эффективные методики оценивания компетентности экспертов. Например, согласно методике, основанной на вычислении относительных коэффициентов компетентности, ряду специалистов предлагается высказать суждения о включении лиц в экспертную группу для решения определенной проблемы, и по результатам проведенного опроса составляется матрица оценки компетентности экспертов (табл. 2.2).
Таблица 2.2
Результаты опроса по оценке компетентности экспертов
|
|
|
… |
|
|
|
|
|
|
|
|
|
… |
|
… |
… |
… |
… |
|
|
|
|
… |
|
Элементы матрицы:
Для каждого эксперта относительные коэффициенты компетентности t-го порядка определяются по формуле
где t – номер порядка коэффициента компетентности.
Коэффициенты компетентности нормированы так, что их сумма равна единице:
По формуле (1) можно непосредственно вычислять значения коэффициентов компетентности для различных порядков. Например, коэффициент компетентности для первого порядка рассчитывают по формуле (1) при :
Смысл формулы (2) состоит в том, что вычисляется сумма , единиц (число голосов), поданных за i-го эксперта, и делится на общую сумму всех голосов Таким образом, коэффициент компетентности первого порядка определяется как относительное число экспертов, высказавшихся за включение i-го эксперта в список экспертной группы.
Коэффициент компетентности второго порядка ( ) представляет собой относительное количество голосов, взвешенных коэффициентами компетентности первого порядка.
Креативность – это способность решать творческие задачи. Данная характеристика оценивается на основе суждений о деятельности эксперта.
Отношение к экспертизе – эту характеристику необходимо учитывать для принятия решения о привлечении специалиста к экспертизе. Здесь оценивается негативное или пассивное отношение специалиста к решению конкретной проблемы, занятость и другие факторы, влияющие на выполнение специалистом функций эксперта.
Конформизм – это подверженность влиянию авторитетов. Данное свойство проявляется в виде неустойчивости собственного мнения эксперта.
Коллективизм – это свойство должно учитываться при проведении открытых дискуссий. Этика поведения человека в коллективе экспертов во многих случаях существенно влияет на создание определенного психологического климата.
Самокритичность эксперта проявляется при самооценке степени своей компетентности, а также при принятии решений по рассматриваемой проблеме.
Часть характеристик эксперта, как правило, является положительной, а часть – отрицательной. В связи с этим возникает задача согласования характеристик между собой. Для этого необходимо сформулировать какую-то обобщенную характеристику эксперта, учитывающую его важнейшие качества, с одной стороны, и допускающую непосредственное измерение, с другой стороны. В качестве такой характеристики можно принять достоверность суждений эксперта, которая определяет эксперта как «измерительный прибор». Однако применение такой обобщенной характеристики требует информации о прошлом опыте участия эксперта в решении проблем, а такая информация не всегда имеется.
Количественно достоверность эксперта оценивают по формуле
где — число случаев, когда i-й эксперт дал решение, приемлемость которого подтвердилась практикой; — общее число случаев участия i -го эксперта в решении проблемы.
Относительная достоверность, учитывающая вклад каждого эксперта в достоверность группы,
где – средняя достоверность группы экспертов.