Достаточно распространенная ситуация, встречающаяся в жизни многих компаний и предприятий. И часто возникает вопрос, как приоритезировать множество проектов? Помочь в этом может публикация национального американского инстутита стандартизации NIST SP 800-65 «Recommendations for Integrating Information Security into the Capital Planning and Investment Control Process (CPIC)». Я про них уже писал, но решил вернуться именно в данном контексте.
Раздел 3 данного документа описывает именно процесс приоритезации. Все проекты классифицируются по 6-ти критериям. И хотя сам документ ориентировано на государственные структуры США, его рекомендации могут быть полезны и в коммерческой сфере. Из 6-ти критериев в бизнесе можно взять 5:
- влияние на бизнес
- цена
- соотношение цена/эффективность
- выполнимость
- важность проекта в деятельности организации (привязка к бизнес-целям).
Дополнительно также рекомендуется применять и другие критерии:
- зависимость анализируемого проекта от других
- зависимость других проектов от анализируемого
- сложность
- время завершения.
Затем данным критериям присваиваются веса и потом применяются традиционный системный анализ. Оцениваем каждый проект по пятибальной (трехбальной) шкале, умножаем показатель на вес критерия, суммируем все показатели по каждому проекту и получаем итоговые значения, которые и ранжируются по убыванию. Проекты с бОльшим значением должны выполняться в первую очередь.
ЗЫ. Напомню, что сам документ описывает вопросы планирования и бюджетирования ИБ.
А без них, конечно, все такие дураки, что бабло и отдачу не учитывают.
Без кого, без них?
Без NISTа. 🙂 Я думал только у нас в стране пытаются выпустить как можно больше стандартов и НМД — американцы тоже не дремлют. Все закономерно — область ИБ разделась до больших размеров, останавливаться нельзя, надо выпускать все больше и больше стандартов. Но писать уже не о чем, вот и создают такие невероятные формулы расчета. Я думаю, грамотный специалист сам сможет без формул определить, какие процессы в компании являются приоритетными и как они взаимосвязаны. А неграмотный специалист в формуле самостоятельно не разберется. Включать фонарик надо.
2 Алексей Т.: Примерно так и выглядит первый шаг на пути в волюнтаризму…
2 Vair. Если под термином понимать:
Волюнтари́зм (лат. voluntas — воля) — направление в философии, признающее волю первоосновой всего сущего.
То я с Вами согласен — главное воля (фонарик в голове — ав.), в том числе и вопросах защиты информации. А навязывание идей (стандартов NIST, воли других людей) надо рассматривать внимательно и объективно. Чем автор блога и занимается. 😉
А где там невероятная формула рассчета? Это обычный системный анализ. ЛЮБОЙ человек так выбирает ЛЮБОЕ решение. Сначала определяются критерии, потом их важность (веса), потом оценивается то, как критерий реализован в оцениваемых решениях, потом все перемножается и ранжируется. Если конечно речь не идет о нравится/не нравится.
"Нравится/не нравится" — это ж тоже вписывается в концепцию системного анализа. Критерий, шкала которого состоит из 2 значений, а вес — +бесконечность 😉