Метод экспертных оценок при проверке безопасности информационных систем заключается в анализе результатов работы группы экспертов, компетентных в области информационной безопасности, которые на основе имеющегося у них опыта определяют количественные или качественные уровни риска. 3

Экспертную оценку рекомендуется проводить в отношении следующих параметров: 1

• негативного последствия от реализации угроз безопасности информации; 1
• целей нарушителей по реализации угроз безопасности информации; 1
• сценария действий нарушителей при реализации угроз безопасности информации. 1

Оценку параметров рекомендуется проводить опросным методом с составлением анкеты, в которой указываются вопросы и возможные варианты ответа в единой принятой шкале измерений. 1 При этом вопросы должны быть чёткими и однозначно трактуемыми, предполагать однозначные ответы. 1

Опрос экспертов включает следующие этапы: 1

1. Каждый эксперт проводит оценку оцениваемого параметра (рекомендуется не менее двух раундов оценки), результаты которой заносятся в таблицу. 1
2. После оценки каждым из экспертов отбрасываются минимальные и максимальные значения. 1
3. Определяется среднее значение оцениваемого параметра в каждом раунде. 1
4. Определяется итоговое среднее значение оцениваемого параметра. 1