- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
2.3.4. Качественные экспертные оценки
Качественными называются экспертные оценки, не содержащие чисел. Их можно подразделить на две группы [68]:
- оценки, проводимые по заранее составленным шкалам (оценка качественных признаков);
- оценки, шкалы для которых заранее не могут быть составлены.
Оценки первой группы применяются при определении значений признаков, имеющих качественную вариацию, все значения которых могут быть заранее перечислены и определены некоторыми стандартными терминами или выражениями. Например, признак «влияние исследуемого параметра процесса на количество и качество получаемого продукта» может иметь градации:
сильно увеличивается выход продукта, а качество продукта ухудшается;
увеличивается количество продукта, качество не меняется;
количество получаемого продукта не меняется, качество улучшается;
уменьшается выход продукта, а его качество сильно улучшается и т.д.
Качественные экспертные оценки первой группы применяются на промежуточных и конечных этапах экспертизы.
Оценки второй группы, не имеющей заранее составленных шкал, используются при проведении операций генерации. Они выражаются в предложениях, гипотезах, перечнях тех или иных показателей, фактов. Качественные экспертные оценки в виде перечней будущих событий или цепочек взаимосвязанных событий применяются при решении задач прогнозирования, при составлении сценариев.
При качественной экспертной оценке группе экспертов необходимо выполнить следующие основные операции:
составить полный перечень фактов, признаков, подходов и других качественных показателей, которые могут быть существенными в условиях поставленной задачи;
построить шкалы возможных значений качественных признаков; провести содержательную группировку качественных показателей; обнаружить и охарактеризовать взаимосвязи качественных оценок;
выявить отношения качественных признаков, существенные для построения комплексной оценки или схемы принятия решения.
В ряде случаев возникает необходимость присвоения баллов отдельным градациям качественных признаков или определения весов этих признаков.
2.3.5. Этапы работ по организации экспертной оценки
Организационные работы по применению экспертного оценивания начинаются с разработки руководящего документа – плана, в котором формулируются цель работы и основные положения по выполнению. В этом документе должны быть отражены следующие основные вопросы: описание проблемы, обоснование необходимости проведения экспертной оценки, цели и задачи экспертизы, сроки выполнения работ, задачи и состав группы управления, финансовое и материальное обеспечение работ. Для подготовки этого документа, а также для руководства всей дальнейшей работой по проведению экспертного опроса назначается руководитель экспертизы. Он прежде всего формирует группу управления.
Группа управления определяет структуру экспертизы и осуществляет отбор экспертной группы. Эта работа предусматривает следующую последовательность действий: описывается решаемая проблема; определяется раздел исследований и перечень специалистов, связанных с решением сформулированной задачи; определяется долевой состав экспертов по каждой области деятельности; устанавливается число экспертов в группе; составляется предварительный список экспертов; анализируется квалификация экспертов и уточняется список экспертов. Работа по отбору экспертов завершается получением согласия экспертов, включенных в окончательный список, на участие в работе.
Параллельно с процессом формирования группы экспертов группа управления проводит разработку организации и методики проведения опроса экспертов. При этом решаются следующие вопросы: место и время проведения опроса, предполагаемое число и задачи туров опроса, форма и порядок проведения опроса, форма и содержание вопросов, порядок фиксации и сбора результатов опроса, форма оформления результатов опроса.
Следующим этапом работы группы управления является определение методики обработки данных опроса. Здесь необходимо определить задачи и сроки обработки, процедуры и алгоритмы обработки, средства для проведения обработки.
В процессе непосредственного проведения опроса экспертов и обработки его результатов группа управления осуществляет выполнение комплекса работ в соответствии с разработанным планом, корректируя его при необходимости.
Проведение экспертной оценки завершается оформлением полученных результатов. На этом этапе производится анализ результатов экспертного оценивания, составление отчета, представление итогов работы в удобном для пользователя виде.