Настоящая статья посвящена рассмотрению вопроса о ранжировании мер (проектов) информационной безопасности на предприятиях для определения последовательности их реализации.
В статье представлена модель ранжирования, включающая критерии влияния внедряемого проекта на уровень состоятельности того или иного процесса системы менеджмента информационной безопасности, а также на СМИБ в целом. В модели представлена возможность проводить ранжирование с применением доминирующего коэффициента, позволяющей лицу проводящему оценку наиболее гибко настраивать модель под текущие требования.
В качестве источников информации для проведения исследования использованы научные статьи и литература в области аналогичных исследований. В качестве инструмента математической поддержки использованы формулы и коэффициенты.
Актуальность работы связанна с универсальностью и относительно низкой сложностью адаптации представленной модели ранжирования проектов к предприятиям различного профиля, что может вызвать заинтересованность научного сообщества к его применению.
Ключевые слова: ранжирование, приоритет, проект, мера, информационная безопасность, процесс.
Управление информационной безопасностью (далее — ИБ), как и любой другой процесс, для своего полноценного функционирования, требует достаточных ресурсов: трудовых, временных, финансовых и т. д. К сожалению, для большинства предприятий, периодическая или постоянная нехватка таких ресурсов больше является закономерностью чем исключением. Поэтому анализ угроз ИБ и разработка мер по их противодействию являются лишь одними из первых этапов на пути построения эффективной системы менеджмента информационной безопасности (далее — СМИБ), следующим этапом является определение первоочерёдности их реализации, этот процесс называется ранжированием проектов.
На первый взгляд можно предположить, что термин «ранжирование» аналогичен термину «сортировка», но это не совсем так. Сортировка представляет собой процедуру перестановки элементов массива или перечня в определенном порядке по заданному условию, в то время как ранжирование — процесс упорядочивания объектов с учетом определенных критериев.
Особую актуальность ранжирование может иметь при достаточно объёмном перечне проектов, который может быть сформирован, к примеру, по итогам проведенного аудита информационной безопасности или оценки состоятельности СМИБ предприятия с использованием моделей зрелости процессов [1]. Тогда количество проектов, необходимых для достижения целевого уровня состоятельности СМИБ предприятия, может составлять несколько десятков.
Следует заметить что ранжирование проектов используется в случае, когда проекты не являются альтернативными, то есть, возможно принятие всех или нескольких проектов, но предприятие не может реализовать их одновременно, поэтому очередной проект может быть реализован по мере появления такой возможности без радикального исключения его из списка [2].
В целом ранжирование проектов можно описать как процесс, выражаемый в виде последовательности, продемонстрированной на рисунке 1.
Рис. 1. Процесс ранжирования проектов
Так как универсальных инструментов (моделей) для ранжирования проектов, пригодных для использования во всех конкретных ситуациях, не существует, соответствующие критерии ранжирования, как и сама модель, разрабатывается или адаптируется для каждого случая в зависимости от специфики предметной области и поставленных задач.
При проведении ранжирования важно уделить внимание именно разработке критериев, от их адекватности зависит успешность проводимой оценки. Следовательно, ключ к успешному применению моделей ранжирования состоит в составлении надлежащего списка критериев оценки, который будет отражать цели реализации проектов к интересам предприятия [3].
Вторым фактором при разработке критериев является их количество. При большом количестве критериев, модель становится громоздкой, а время необходимое для проведения расчётов, с каждым добавленным критерием, растёт по экспоненте. Вырастет и сложность адаптации модели при необходимости её использования в похожих областях. Также недостатком будет являться логическая пересекаемость тех или иных критериев, тем самым результаты некоторых критериев могут противоречить друг другу.
Для проведения примера и разработки критериев предлагается провести процесс ранжирования условных проектов ИБ предприятия. Предположим, что предприятие N провело оценку состоятельности СМИБ с применением модели зрелости процессов [1], провела анализ существующей системы защиты и по его итогу составила перечень проектов, которые необходимо реализовать для достижения приемлемого (целевого) уровня СМИБ.
Для начала составим список проектов (таблица 1).
Таблица 1
Список проектов
Наименование проекта |
Влияние на процессы СМИБ по ISO 27k |
Комментарии к проекту |
Проект 1 |
Криптография, Безопасность при эксплуатации, Соответствие |
Имеется срочность реализации до дд.мм.гг |
Проект 2 |
Взаимоотношения с поставщиками, Приобретение, разработка и поддержка систем |
- |
Проект 3 |
Менеджмент инцидентов информационной безопасности, Соответствие |
Требуется привлечение интегратора |
Проект 4 |
Физическая безопасность и защита от воздействия окружающей среды |
- |
Проект 5 |
Управление доступом |
Требуется значительное инвестирование |
Проект n |
Безопасность, связанная с персоналом |
- |
Разработанная система критериев для ранжирования проектов ИБ предприятия N представлена в таблице 2.
Таблица 2
Система критериев для ранжирования
Критерий |
Качественное описание критерия |
Коэффициент |
Доминирующий коэффициент |
Срочность |
Прогнозируемый срок реализации проекта условно высокий (более 12 мес.) |
1 |
0.2 |
Прогнозируемый срок реализации проекта условно умеренный (менее 12 мес.) |
2 |
||
Прогнозируемый срок реализации проекта условно низкий (менее 6 мес.) |
3 |
||
Ресурсоёмкость |
Проект требует значительного количества ресурсов |
1 |
0.3 |
Проект требует дополнительных ресурсов |
2 |
||
Проект не требует дополнительных ресурсов |
3 |
||
Влияние |
Оказывает влияние на процесс совместно с другим проектом |
1 |
0.5 |
Оказывает влияние на процесс с незначительным потенциалом |
2 |
||
Оказывает влияние на процесс со значительным потенциалом |
3 |
Для нормирования полученных значений для проектов используются доминирующие коэффициенты a, b, c, присвоенные каждому критерию. Значения доминирующих коэффициентов назначаются экспертно и отражают важность того или иного критерия в системе общей оценки. В данном случае доминирующий коэффициент критерия влияния является самым высоким т. к. целью внедрения перечня проектов является повышение уровня состоятельности СМИБ предприятия, при этом сумма всех коэффициентов равна фиксированному числу — 1.
Стоит заметить, что если имеются факторы ограничения реализации проекта имеющий более повышенный приоритет, такие как срочность исполнения (к примеру для устранения замечаний по выданному предписанию от регулирующих органов исполнительной власти) или фактор влияния на конкретную информационную систему предприятия, то лицо принимающее решении о назначении веса доминирующего коэффициента может комбинировать их по своему усмотрению.
Таким образом для подсчета итогового балла конкретного проекта используется следующая формула:
где
— показатель приоритета проекта
n — наименование проекта
A — Коэффициент критерия срочности проекта
B — Коэффициент критерия ресурсоёмкости проекта
C — Коэффициент критерия влияния проекта
a — Доминирующий коэффициент срочности проекта
b — Доминирующий коэффициент ресурсоёмкости проекта
c — Доминирующий коэффициент влияния проекта
В случае, если проект оказывает максимальное влияние при минимальной ресурсоёмкости и сроках реализации, данному проекту автоматически присваивается наивысшее значение (Высокий), в противном случае присваивается уровень приоритета (Низкий) или (Средний). Критерии отнесения итогового балла с значением приоритета отражены в таблице 3.
Таблица 3
Качественная оценка приоритета
Диапазон значений |
Приоритет проекта |
2,5 ≤ P ≤ 3 |
Высокий |
2 ≤ P ≤ 2,4 |
Средний |
0 ≤ P ≤ 1,9 |
Низкий |
Пример результатов ранжирования проектов приведены в Таблице 4.
Таблица 4
Пример результатов ранжирования
Наименование проекта |
Балл |
Качественная оценка приоритета |
Порядок реализации |
Проект 1 |
2.7 |
Высокий |
1 |
Проект 2 |
2.3 |
Средний |
3 |
Проект 3 |
1.8 |
Низкий |
5 |
Проект 4 |
2.5 |
Высокий |
2 |
Проект 5 |
2.0 |
Средний |
4 |
Проект n |
1.5 |
Низкий |
6 |
В заключение можно сказать, что СМИБ предприятия как правило является обеспечивающим (вспомогательным) процессом для бизнеса и не является процессом прямо формирующим его активы но при этом она может и должна вносить существенный вклад в достижение его целей [4] поэтому ранжирование проектов имеет весомое значение с точки зрения менеджмента, так как результат его проведения имеет большое влияние на успешность достижения целей предприятия в разных временных перспективах.
Литература:
- Чернышев, К. С. Комбинированный метод оценки зрелости системы менеджмента информационной безопасности с применением модели CMMI / К. С. Чернышев. — Текст: непосредственный // Молодой ученый. — 2023. — № 36 (483). — С. 24–28. — URL: https://moluch.ru/archive/483/105848/
- Соловьева И. А., Гальтяев А. В. Разработка многокритериальной модели отбора и ранжирования проектов при формировании инвестиционной программы компании // Интернет-журнал «Науковедение» Том 9, № 1 (2017) http://naukovedenie.ru/PDF/44EVN117.pdf (доступ свободный).
- Милошевич Д. Набор инструментов для управления проектами / Драган З. Милошевич; Пер. с англ. Мамонтова Е. В.; Под ред. Неизвестного С. И. — М.: Компания АйТи; ДМК Пресс, 2008.
- Варзунов А. В., Торосян Е. К., Сажнева Л. П., Анализ и управление бизнес-процессами // Учебное пособие. — СПб: Университет ИТМО, 2016.