У вас много проектов по ИБ и вы не знаете какой выбрать?

У вас много проектов по ИБ и вы не знаете какой выбрать?
Достаточно распространенная ситуация, встречающаяся в жизни многих компаний и предприятий. И часто возникает вопрос, как приоритезировать множество проектов? Помочь в этом может публикация национального американского инстутита стандартизации NIST SP 800-65 "Recommendations for Integrating Information Security into the Capital Planning and Investment Control Process (CPIC)". Я про них уже писал , но решил вернуться именно в данном контексте. Раздел 3 данного документа описывает именно процесс приоритезации. Все проекты классифицируются по 6-ти критериям. И хотя сам документ ориентировано на государственные структуры США, его рекомендации могут быть полезны и в коммерческой сфере. Из 6-ти критериев в бизнесе можно взять 5: влияние на бизнесценасоотношение цена/эффективностьвыполнимостьважность проекта в деятельности организации (привязка к бизнес-целям).Дополнительно также рекомендуется применять и другие критерии: зависимость анализируемого проекта от другихзависимость других проектов от анализируемогосложностьвремя завершения.Затем данным критериям присваиваются веса и потом применяются традиционный системный анализ. Оцениваем каждый проект по пятибальной (трехбальной) шкале, умножаем показатель на вес критерия, суммируем все показатели по каждому проекту и получаем итоговые значения, которые и ранжируются по убыванию. Проекты с бОльшим значением должны выполняться в первую очередь. ЗЫ. Напомню, что сам документ описывает вопросы планирования и бюджетирования ИБ.
безопасность бизнеса стандарты
Alt text

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!