4.2.10

У вас много проектов по ИБ и вы не знаете какой выбрать?

Достаточно распространенная ситуация, встречающаяся в жизни многих компаний и предприятий. И часто возникает вопрос, как приоритезировать множество проектов? Помочь в этом может публикация национального американского инстутита стандартизации NIST SP 800-65 "Recommendations for Integrating Information Security into the Capital Planning and Investment Control Process (CPIC)". Я про них уже писал, но решил вернуться именно в данном контексте.

Раздел 3 данного документа описывает именно процесс приоритезации. Все проекты классифицируются по 6-ти критериям. И хотя сам документ ориентировано на государственные структуры США, его рекомендации могут быть полезны и в коммерческой сфере. Из 6-ти критериев в бизнесе можно взять 5:
  • влияние на бизнес
  • цена
  • соотношение цена/эффективность
  • выполнимость
  • важность проекта в деятельности организации (привязка к бизнес-целям).
Дополнительно также рекомендуется применять и другие критерии:
  • зависимость анализируемого проекта от других
  • зависимость других проектов от анализируемого
  • сложность
  • время завершения.
Затем данным критериям присваиваются веса и потом применяются традиционный системный анализ. Оцениваем каждый проект по пятибальной (трехбальной) шкале, умножаем показатель на вес критерия, суммируем все показатели по каждому проекту и получаем итоговые значения, которые и ранжируются по убыванию. Проекты с бОльшим значением должны выполняться в первую очередь.

ЗЫ. Напомню, что сам документ описывает вопросы планирования и бюджетирования ИБ.

7 коммент.:

Анонимный комментирует...

А без них, конечно, все такие дураки, что бабло и отдачу не учитывают.

Алексей Лукацкий комментирует...

Без кого, без них?

Алексей Т. комментирует...

Без NISTа. :-) Я думал только у нас в стране пытаются выпустить как можно больше стандартов и НМД - американцы тоже не дремлют. Все закономерно - область ИБ разделась до больших размеров, останавливаться нельзя, надо выпускать все больше и больше стандартов. Но писать уже не о чем, вот и создают такие невероятные формулы расчета. Я думаю, грамотный специалист сам сможет без формул определить, какие процессы в компании являются приоритетными и как они взаимосвязаны. А неграмотный специалист в формуле самостоятельно не разберется. Включать фонарик надо.

Vair комментирует...

2 Алексей Т.: Примерно так и выглядит первый шаг на пути в волюнтаризму...

Алексей Т. комментирует...

2 Vair. Если под термином понимать:
Волюнтари́зм (лат. voluntas — воля) — направление в философии, признающее волю первоосновой всего сущего.
То я с Вами согласен - главное воля (фонарик в голове - ав.), в том числе и вопросах защиты информации. А навязывание идей (стандартов NIST, воли других людей) надо рассматривать внимательно и объективно. Чем автор блога и занимается. ;-)

Алексей Лукацкий комментирует...

А где там невероятная формула рассчета? Это обычный системный анализ. ЛЮБОЙ человек так выбирает ЛЮБОЕ решение. Сначала определяются критерии, потом их важность (веса), потом оценивается то, как критерий реализован в оцениваемых решениях, потом все перемножается и ранжируется. Если конечно речь не идет о нравится/не нравится.

Andy_AiF комментирует...

    "Нравится/не нравится" - это ж тоже вписывается в концепцию системного анализа. Критерий, шкала которого состоит из 2 значений, а вес - +бесконечность ;-)