Практически любой вид деятельности связанный с реализацией мероприятий по защите информации в организации - это проект. Например, разработка системы защиты информации, внедрение информационной системы в защищенном исполнении, внедрение единичного средства защиты информации, установление режима коммерческой тайны и т.п. Все они являются однократной, не повторяющейся деятельностью. В связи с чем, для эффективного создания и модернизации уже существующей системы безопасности информации в любой организации следует рассматривать указанную деятельность с позиции проектного менеджмента.
В теории проектного управления выделяют следующие группы и виды проектов:
1. По сфере деятельности организации: технический, организационный, экономический, социальный, смешанный.
2. По структуре и содержанию предметной области: монопроект, мультипроект, мегапроект.
3. По масштабу: малый проект, мегапроект.
4. По длительности: краткосрочный, среднесрочный, долгосрочный.
Применительно к проектам, реализуемым в сфере информационной безопасности, можно говорить о том, что наиболее распространены организационные и технические малые краткосрочные, либо среднесрочные монопроекты.
Поскольку деятельность по защите информации носит преимущественно проектный характер, в ряде случаев к управлению проектами в сфере информационной безопасности применим портфельный подход.
Портфельное управление дополняет систему проектного управления механизмами, которые позволяют своевременно и обоснованно определять необходимость в запуске, остановке или трансформации проектов для оптимального и максимально возможного приближения результатов проектной деятельности к целям бизнеса. Основное отличие портфельного управления от управления проектами заключается в цели управления. Если цель управления проектом – своевременная поставка продукта проекта в рамках бюджета, то цель управления портфелем – получение наибольшей отдачи от реализации всей совокупности проектов. Примером совокупности проектов в данном случае может быть проект разработки и внедрения объекта критической информационной инфраструктуры и проект построения системы его защиты.
Повседневная деятельность руководителя службы информационной безопасности, по сути, представляет собой деятельность проектного менеджера, важную роль в которой играют вопросы обоснования необходимости инвестиций в тот или иной проект.
С точки зрения управления любой проект представляет собой треугольник, в котором сбалансированы цель (результат), время и ресурсы (деньги). При принятии решений об инвестициях в проекты, факторы, определяющие риск, стоимость и ценность для бизнеса, должны быть заранее идентифицированы, оценены, ранжированы по приоритетам и сбалансированы в портфеле проектов. Указанные факторы в пределах одного или нескольких проектов могут конфликтовать.
В области безопасности коэффициент возврата инвестиций (ROI) зависит в первую очередь от стоимости потерь: утечка информации, стоимость похищенных материальных ценностей, поврежденного оборудования и т.п. Поэтому, расчет ROI при любом проекте в сфере информационной безопасности будет проводиться по формуле: ROI = (Уменьшение среднегодовых потерь (риска) – стоимость защитных мер) / стоимость защитных мер.
ROI показывает, во сколько раз величина потенциального ущерба (риска) превышает расходы на его предотвращение. Возможные значения ROI:
- ROI = 0, сколько вложили, столько и съэкономили (ничего не выиграли и не потеряли);
- ROI < 0, стоимость защиты превышает потенциальный ущерб (зря потрачены деньги и время);
- 0 < ROI < 1, с учетом большой неопределенности измерений, какая либо польза не очевидна.
- ROI = 1, получаем 100% экономию на вложенные средства.
- ROI > 10, ожидаемое сокращение потерь на порядок превышает затраты.
Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.
Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!