У вас много проектов по ИБ и вы не знаете какой выбрать?

Достаточно распространенная ситуация, встречающаяся в жизни многих компаний и предприятий. И часто возникает вопрос, как приоритезировать множество проектов? Помочь в этом может публикация национального американского инстутита стандартизации NIST SP 800-65 «Recommendations for Integrating Information Security into the Capital Planning and Investment Control Process (CPIC)». Я про них уже писал, но решил вернуться именно в данном контексте.

Раздел 3 данного документа описывает именно процесс приоритезации. Все проекты классифицируются по 6-ти критериям. И хотя сам документ ориентировано на государственные структуры США, его рекомендации могут быть полезны и в коммерческой сфере. Из 6-ти критериев в бизнесе можно взять 5:

  • влияние на бизнес
  • цена
  • соотношение цена/эффективность
  • выполнимость
  • важность проекта в деятельности организации (привязка к бизнес-целям).

Дополнительно также рекомендуется применять и другие критерии:

  • зависимость анализируемого проекта от других
  • зависимость других проектов от анализируемого
  • сложность
  • время завершения.

Затем данным критериям присваиваются веса и потом применяются традиционный системный анализ. Оцениваем каждый проект по пятибальной (трехбальной) шкале, умножаем показатель на вес критерия, суммируем все показатели по каждому проекту и получаем итоговые значения, которые и ранжируются по убыванию. Проекты с бОльшим значением должны выполняться в первую очередь.

ЗЫ. Напомню, что сам документ описывает вопросы планирования и бюджетирования ИБ.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Анонимный

    А без них, конечно, все такие дураки, что бабло и отдачу не учитывают.

    Ответить
  2. Алексей Лукацкий

    Без кого, без них?

    Ответить
  3. Алексей Т.

    Без NISTа. 🙂 Я думал только у нас в стране пытаются выпустить как можно больше стандартов и НМД — американцы тоже не дремлют. Все закономерно — область ИБ разделась до больших размеров, останавливаться нельзя, надо выпускать все больше и больше стандартов. Но писать уже не о чем, вот и создают такие невероятные формулы расчета. Я думаю, грамотный специалист сам сможет без формул определить, какие процессы в компании являются приоритетными и как они взаимосвязаны. А неграмотный специалист в формуле самостоятельно не разберется. Включать фонарик надо.

    Ответить
  4. Vair

    2 Алексей Т.: Примерно так и выглядит первый шаг на пути в волюнтаризму…

    Ответить
  5. Алексей Т.

    2 Vair. Если под термином понимать:
    Волюнтари́зм (лат. voluntas — воля) — направление в философии, признающее волю первоосновой всего сущего.
    То я с Вами согласен — главное воля (фонарик в голове — ав.), в том числе и вопросах защиты информации. А навязывание идей (стандартов NIST, воли других людей) надо рассматривать внимательно и объективно. Чем автор блога и занимается. 😉

    Ответить
  6. Алексей Лукацкий

    А где там невероятная формула рассчета? Это обычный системный анализ. ЛЮБОЙ человек так выбирает ЛЮБОЕ решение. Сначала определяются критерии, потом их важность (веса), потом оценивается то, как критерий реализован в оцениваемых решениях, потом все перемножается и ранжируется. Если конечно речь не идет о нравится/не нравится.

    Ответить
  7. Andy_AiF

        "Нравится/не нравится" — это ж тоже вписывается в концепцию системного анализа. Критерий, шкала которого состоит из 2 значений, а вес — +бесконечность 😉

    Ответить