- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
2.3.7. Методы опроса экспертов
Опрос является главным этапом совместной работы группы управления и экспертов. Основным содержанием опроса являются:
постановка задачи и предъявление вопросов экспертам;
информационное обеспечение работы экспертов;
выработка экспертами суждений, оценок, предложений;
сбор результатов работы экспертов.
Вопросы должны быть сформулированы так, чтобы ответы на них были однозначными. В случае, когда ответы экспертов даются в письменном виде, необходимо в вопросниках привести примеры ответа и заполнения предложенных таблиц. В зависимости от сложности и изученности исследуемой проблемы ответы экспертов могут быть в виде количественной оценки или в словесной форме (качественная информация).
Рассмотрим основные методы проведения опроса и их свойства.
Анкетный опрос.
Анкетный опрос состоит в подготовке и предъявлении экспертам опросных карт-анкет, на вопросы которых они должны дать ответы в письменной форме. Анкетирование может быть очным и заочным.
По содержанию информацию и вопросы, включаемые в анкеты, можно разделить на следующие группы:
объективные данные об эксперте (возраст, образование, должность, специализация, стаж работы и т. д.);
основные вопросы по сути анализируемой проблемы;
дополнительные вопросы, позволяющие выяснить источники информации и аргументы эксперта.
По форме основные вопросы можно разделить на открытые, закрытые и с вариантами ответов, прямые и косвенные.
Открытым, или свободным, называется вопрос, ответ на который может быть дан в произвольной форме. Закрытый вопрос задается в форме, предлагающей только несколько возможных ответов, например, «да», «нет», «не знаю». Вопрос с вариантами ответов (типа меню) предоставляет эксперту возможность выбора одного из предлагаемых ответов. К этой же форме относятся вопросы-задания на ранжирование альтернатив, на оценку их весов, значимости в баллах, на оценку вероятности некоторого события.
К достоинствам вопросов этого типа можно отнести однозначность трактовки вопросов и конкретность ответов, а также возможность количественной обработки результатов опроса. Их недостатком является опасность навязывания эксперту ответов, поэтому в формировании вопросов и при составлении возможных ответов необходимо избегать тенденциозности, обеспечить достаточно широкий спектр вариантов ответа, предоставить эксперту возможность дать свой вариант ответа.
Косвенные вопросы используются в том случае, когда есть опасения, что эксперт уклонится от ответа на прямой вопрос (например, если целесообразно скрыть от эксперта цель использование его ответов). Такой целью может быть проверка самостоятельности эксперта, оценка его компетентности, выявление его отношения к экспертизе.
Одним из наиболее распространенных методов анкетирования является метод Дельфи (по названию древнегреческого города Дельфи, где при храме бога Аполлона трудился оракул, предсказывавший будущее). В методе Дельфи нет непосредственных коллективных обсуждений; каждый эксперт получает специально разработанную анкету-вопросник, которую заполняет независимо от других. Ответы экспертов обобщают и вместе с обобщенными безличными аргументами в пользу тех или иных оценок возвращают экспертам для уточнения или изменения, если они найдут это необходимым, первоначальных ответов. Процедуру повторяют до тех пор, пока не будет получено удовлетворительное совпадение мнений экспертов или пока не станет ясным устойчивое различие во мнениях.
При использовании метода Дельфи должна быть обеспечена взаимная независимость ответов экспертов на каждом шаге, оценки желательно получать в количественной форме, аргументы должны обобщаться в безличном виде. Полученные оценки экспертов взвешивают, умножая их на коэффициент компетентности данного эксперта, измеряемый в долях единицы. Коэффициент компетентности можно, в свою очередь, определять методом коллективной экспертной оценки.
Метод Дельфи представляет собой ряд последовательно осуществляемых процедур, направленных на формирование группового мнения по проблемам, по которым ощущается недостаток информации. Основными особенностями этого метода являются:
полный отказ от личных контактов экспертов и коллективных обсуждений;
многотуровая процедура опроса экспертов;
обеспечение экспертов информацией, включая и обмен информацией между ними, после каждого тура опроса при сохранении анонимности оценок, аргументации и критики;
обоснование ответов экспертов по запросу организаторов.
Итак, процедура опроса по методу Дельфи заключается в анкетировании экспертов с помощью опросных карт или терминалов ЭВМ в несколько туров с обработкой результатов в каждом туре и информированием экспертов об этих результатах. На практике обычно ограничиваются тремя- четырьмя турами. В первом туре опроса эксперты дают свои ответы без аргументирования. Ответы обрабатываются с целью выявления среднего и крайних мнений. Экспертам сообщаются эти мнения и проводится второй тур опроса, в ходе которого они пересматривают и, при желании, изменяют ответы, данные в первом туре. Кроме того, эксперты должны аргументировать свои ответы.
Полученные после второго тура новые средние и крайние мнения, а также вся аргументация с сохранением анонимности сообщаются экспертам и проводится третий тур опроса, в ходе которого эксперты снова пересматривают ответы и аргументируют свое решение. Последующие туры аналогичны.
Обычно после третьего или четвертого туров опроса ответы экспертов перестают изменяться, что и является сигналом к прекращению опросов. Такая процедура позволяет экспертам учесть обстоятельства, которыми они пренебрегали или о которых не знали. По решению ведущего обоснование своих ответов могут давать только те эксперты, ответы которых сильно отличаются от мнения группы.
К недостаткам метода Дельфи можно отнести большие затраты времени на экспертизу, проводимую в несколько туров, и полное исключение прямого контакта экспертов. Длительность процедуры при письменном анкетировании затрудняет работу экспертов и приводит к нестабильности их состава. Необходимость неоднократного пересмотра оценок также вызывает отрицательную реакцию экспертов, что может сказаться на качестве их работы.
Интервью.
Интервью является беседой, в ходе которой организатор экспертизы ставит вопросы эксперту по заранее в той или иной степени разработанной программе. От очного анкетирования этот вид опроса отличается тем, что при интервью эксперт дает ответы в устной форме на устные вопросы, точное содержание которых до опроса ему, как правило, неизвестно, хотя тематика интервью могла быть сообщена заранее. При таком опросе эксперт не имеет времени для глубокого продумывания своих ответов и не ведет каких-либо записей, а консультант строит свои вопросы в значительной степени в зависимости от ответов эксперта на предыдущие вопросы. Вопросы, задаваемые эксперту, должны позволять ему отвечать на них экспромтом.
Достоинством интервью является непрерывный, живой контакт эксперта и консультанта, что позволяет быстро получить большое количество информации об исследуемой проблеме. К недостаткам этого вида опроса можно отнести возможность сильного влияния консультанта на ответы эксперта, отсутствие времени для глубокого продумывания ответов, высокие требования к участникам экспертизы.
Дискуссия.
Дискуссию целесообразно проводить на первом этапе изучения проблемы для выявления возможных путей ее решения. Основными этапами подготовки и проведения этого вида опроса экспертов являются:
определение и формулирование предмета дискуссии и порядка ее проведения;
подготовка участников к дискуссии и ее материально-техническое обеспечение;
собственно дискуссия;
подведение итогов, фиксация и обработка результатов дискуссии.
Процедура проведения дискуссии определяется группой управления. При этом выбираются методы анализа проблем, методы изложения соображений, доказательств, используемых экспертами, средства представления информации, средства фиксации и переработки информации в ходе дискуссии, устанавливаются место и время проведения дискуссии, порядок и регламент выступлений.
Результаты работ по подготовке дискуссии оформляются в виде пояснительной записки и инструкции для экспертов, в которых освещаются цели и задачи дискуссии, процедурно-организационные вопросы, роль и задачи экспертов.
Дискуссия обычно включает вступительное слово ведущего, доклад по анализируемой проблеме, вопросы к докладчику и его ответы, выступления экспертов, принятие решения.
Результативность дискуссии во многом зависит от ведущего, обшей задачей которого является всемерно способствовать реализации основного достоинства дискуссии – всестороннего оперативного анализа проблемы экспертами, взаимно стимулирующими и информирующими друг друга, и в то же время делать все возможное для смягчения ее главных недостатков – высокой опасности конформизма и возможности принятия компромиссного решения, не отвечающего истинному положению дел.
В докладе, который делает один из организаторов дискуссии, следует предложить возможные пути решения проблемы с показом их достоинств и недостатков.
Эксперты, выступая на дискуссии, должны изложить свою точку зрения с отчетливым выявлением моментов согласия и моментов расхождения, аргументировать свою позицию, привести доказательства, иллюстрирующие примеры, выводы и предложения.
Заключительный этап дискуссии состоит в подведении ведущим итогов обсуждения и согласовании решения, проект которого, как правило, в нескольких вариантах должен быть отработан комиссией в ходе дискуссии. После завершения дискуссии группа управления выполняет анализ и обработку результатов дискуссии и всех ее материалов, т.е. решений, особых мнений, записей выступлений и дополнений, сделанных экспертами после дискуссии. Если в результате анализа выясняется ошибочность, неточность или нецелесообразность некоторых положений решения, необходимо повторить дискуссию или провести согласование сомнительных положений с экспертами — авторами этих положений или заинтересованными сторонами.
Сценарные методы.
Методы опроса экспертов, связанные с составлением документов типа докладных записок и сценариев, имеют следующие назначения:
прогноз и предварительный анализ качественных изменений и конфликтных ситуаций в различных сферах производства и человеческой деятельности;
установление условий достижения желаемых результатов на объекте экспертизы и установление набора проблем, которые могут возникнуть на пути достижения этих результатов;
установление вероятного режима эксплуатации различных систем и их влияния на окружающие системы и среду.
Задача, которая должна быть решена при составлении сценария, заключается в установлении логической последовательности событий, чтобы было видно, как происходит переход системы из предыдущего состояния в последующее. При этом эксперт должен отбирать только относящуюся к делу информацию с учетом объективных закономерностей процесса.
Мозговой штурм.
Мозговой штурм представляет собой метод получения новых идей, решений какой-либо проблемы в результате коллективного творчества группы экспертов в ходе заседания – сеанса, проводимого по определенным правилам. Принципиальной особенностью метода является абсолютное исключение в ходе самого сеанса критики и какой-либо оценки высказываемых идей. Цель такой экспертизы состоит в том, чтобы попытаться выдвинуть как можно больше различных идей в решении проблемной ситуации для последующего их анализа.
В методе мозгового штурма решаются две задачи: генерирование новых идей; анализ и оценка предложенных идей. Соответственно образуются две разные группы: группа генераторов идей и группа аналитиков. Члены этих групп необязательно должны быть специалистами по обсуждаемой проблеме, но должны понимать поставленную задачу. Никто никого не должен стесняться, поэтому группу желательно составить из людей, занимающих примерно одинаковое служебное и общественное положение. Члены группы, по возможности, не должны быть лично или коллективно заинтересованы в определенном варианте решения проблемы или в ее нерешении.
Основными особенностями проведения заседания являются:
любые критические высказывания или оценки ценности высказанной мысли, идеи недопустимы;
важно число и разнообразие высказанных идей, так как вероятность появления действительно ценной идеи пропорциональна общему числу высказанных идей;
мысли, идеи должны подхватываться, развиваться, комбинироваться.
Отобранных для участия в экспертизе специалистов заранее извещают и вручают документацию, содержащую формулировку проблемы и цели заседания, правила проведения мозгового штурма, а также предложение подумать и подготовить несколько идей по проблеме, которая будет обсуждаться.
Мозговым штурмом руководит ведущий, основной задачей которого является поощрение свободного творчества, свободного высказывания идей, абсолютное недопущение критики, организация штурма проблемы.
Сеанс продолжается от 15-20 до 40-45 мин без перерыва и заканчивается, как правило, когда поток предложений иссякает. Обычно за время сеанса поступает несколько десятков предложений. Все выступления должны быть зафиксированы. Результаты заседания, включая и патентоспособные идеи, являются плодами коллективного труда.
Вторая часть работы заключается в тщательном анализе, критике высказанных во время сеанса точек зрения, идей, мыслей и отборе наиболее ценных из них.
Морфологический анализ.
Этот способ анализа и сбора информации предназначен для выявления, подсчета и квалификации всех возможных вариантов осуществления некоторого решения или процесса, всех вариантов состояний исследуемого объекта и т.п.
Сущность этого метода заключается в построении многомерных морфологических схем, в которых перечислены основные показатели данной совокупности объектов.
Наиболее характерным и существенным свойством морфологического подхода является его направленность на поиск полноты и общности вариантов. Этот метод широко используется в задачах принятия решений, позволяет систематически выявить всю совокупность возможных вариантов, проанализировать последствия принимаемых решений и учесть многокритериальность исследуемого объекта.
Основными этапами реализации метода морфологического анализа являются:
точная формулировка решаемой задачи (описание желаемых функциональных свойств исследуемой системы);
выявление максимально полного перечня основных функций системы;
определение различных альтернативных способов реализации каждой из выявленных ранее функций и генерирование всех возможных вариантов рассматриваемой системы, каждый из которых состоит из цепочки, содержащей один способ реализации каждой отдельной функции;
определение эффективности вариантов системы;
выбор и реализация наиболее предпочтительного варианта.