Pages - Menu

Страницы

4.2.10

У вас много проектов по ИБ и вы не знаете какой выбрать?

Достаточно распространенная ситуация, встречающаяся в жизни многих компаний и предприятий. И часто возникает вопрос, как приоритезировать множество проектов? Помочь в этом может публикация национального американского инстутита стандартизации NIST SP 800-65 "Recommendations for Integrating Information Security into the Capital Planning and Investment Control Process (CPIC)". Я про них уже писал, но решил вернуться именно в данном контексте.

Раздел 3 данного документа описывает именно процесс приоритезации. Все проекты классифицируются по 6-ти критериям. И хотя сам документ ориентировано на государственные структуры США, его рекомендации могут быть полезны и в коммерческой сфере. Из 6-ти критериев в бизнесе можно взять 5:
  • влияние на бизнес
  • цена
  • соотношение цена/эффективность
  • выполнимость
  • важность проекта в деятельности организации (привязка к бизнес-целям).
Дополнительно также рекомендуется применять и другие критерии:
  • зависимость анализируемого проекта от других
  • зависимость других проектов от анализируемого
  • сложность
  • время завершения.
Затем данным критериям присваиваются веса и потом применяются традиционный системный анализ. Оцениваем каждый проект по пятибальной (трехбальной) шкале, умножаем показатель на вес критерия, суммируем все показатели по каждому проекту и получаем итоговые значения, которые и ранжируются по убыванию. Проекты с бОльшим значением должны выполняться в первую очередь.

ЗЫ. Напомню, что сам документ описывает вопросы планирования и бюджетирования ИБ.

7 комментариев:

  1. Анонимный4 февраля 2010 г. в 08:41

    А без них, конечно, все такие дураки, что бабло и отдачу не учитывают.

    ОтветитьУдалить
  2. Алексей Лукацкий4 февраля 2010 г. в 09:24

    Без кого, без них?

    ОтветитьУдалить
  3. Алексей Т.4 февраля 2010 г. в 09:46

    Без NISTа. :-) Я думал только у нас в стране пытаются выпустить как можно больше стандартов и НМД - американцы тоже не дремлют. Все закономерно - область ИБ разделась до больших размеров, останавливаться нельзя, надо выпускать все больше и больше стандартов. Но писать уже не о чем, вот и создают такие невероятные формулы расчета. Я думаю, грамотный специалист сам сможет без формул определить, какие процессы в компании являются приоритетными и как они взаимосвязаны. А неграмотный специалист в формуле самостоятельно не разберется. Включать фонарик надо.

    ОтветитьУдалить
  4. Vair4 февраля 2010 г. в 12:12

    2 Алексей Т.: Примерно так и выглядит первый шаг на пути в волюнтаризму...

    ОтветитьУдалить
  5. Алексей Т.4 февраля 2010 г. в 13:21

    2 Vair. Если под термином понимать:
    Волюнтари́зм (лат. voluntas — воля) — направление в философии, признающее волю первоосновой всего сущего.
    То я с Вами согласен - главное воля (фонарик в голове - ав.), в том числе и вопросах защиты информации. А навязывание идей (стандартов NIST, воли других людей) надо рассматривать внимательно и объективно. Чем автор блога и занимается. ;-)

    ОтветитьУдалить
  6. Алексей Лукацкий4 февраля 2010 г. в 22:40

    А где там невероятная формула рассчета? Это обычный системный анализ. ЛЮБОЙ человек так выбирает ЛЮБОЕ решение. Сначала определяются критерии, потом их важность (веса), потом оценивается то, как критерий реализован в оцениваемых решениях, потом все перемножается и ранжируется. Если конечно речь не идет о нравится/не нравится.

    ОтветитьУдалить
  7. Andy_AiF5 февраля 2010 г. в 18:39

        "Нравится/не нравится" - это ж тоже вписывается в концепцию системного анализа. Критерий, шкала которого состоит из 2 значений, а вес - +бесконечность ;-)

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.