Ранжирование проектов информационной безопасности | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №44 (491) ноябрь 2023 г.

Дата публикации: 01.11.2023

Статья просмотрена: 109 раз

Библиографическое описание:

Чернышев, К. С. Ранжирование проектов информационной безопасности / К. С. Чернышев. — Текст : непосредственный // Молодой ученый. — 2023. — № 44 (491). — С. 30-34. — URL: https://moluch.ru/archive/491/107204/ (дата обращения: 17.12.2024).



Настоящая статья посвящена рассмотрению вопроса о ранжировании мер (проектов) информационной безопасности на предприятиях для определения последовательности их реализации.

В статье представлена модель ранжирования, включающая критерии влияния внедряемого проекта на уровень состоятельности того или иного процесса системы менеджмента информационной безопасности, а также на СМИБ в целом. В модели представлена возможность проводить ранжирование с применением доминирующего коэффициента, позволяющей лицу проводящему оценку наиболее гибко настраивать модель под текущие требования.

В качестве источников информации для проведения исследования использованы научные статьи и литература в области аналогичных исследований. В качестве инструмента математической поддержки использованы формулы и коэффициенты.

Актуальность работы связанна с универсальностью и относительно низкой сложностью адаптации представленной модели ранжирования проектов к предприятиям различного профиля, что может вызвать заинтересованность научного сообщества к его применению.

Ключевые слова: ранжирование, приоритет, проект, мера, информационная безопасность, процесс.

Управление информационной безопасностью (далее — ИБ), как и любой другой процесс, для своего полноценного функционирования, требует достаточных ресурсов: трудовых, временных, финансовых и т. д. К сожалению, для большинства предприятий, периодическая или постоянная нехватка таких ресурсов больше является закономерностью чем исключением. Поэтому анализ угроз ИБ и разработка мер по их противодействию являются лишь одними из первых этапов на пути построения эффективной системы менеджмента информационной безопасности (далее — СМИБ), следующим этапом является определение первоочерёдности их реализации, этот процесс называется ранжированием проектов.

На первый взгляд можно предположить, что термин «ранжирование» аналогичен термину «сортировка», но это не совсем так. Сортировка представляет собой процедуру перестановки элементов массива или перечня в определенном порядке по заданному условию, в то время как ранжирование — процесс упорядочивания объектов с учетом определенных критериев.

Особую актуальность ранжирование может иметь при достаточно объёмном перечне проектов, который может быть сформирован, к примеру, по итогам проведенного аудита информационной безопасности или оценки состоятельности СМИБ предприятия с использованием моделей зрелости процессов [1]. Тогда количество проектов, необходимых для достижения целевого уровня состоятельности СМИБ предприятия, может составлять несколько десятков.

Следует заметить что ранжирование проектов используется в случае, когда проекты не являются альтернативными, то есть, возможно принятие всех или нескольких проектов, но предприятие не может реализовать их одновременно, поэтому очередной проект может быть реализован по мере появления такой возможности без радикального исключения его из списка [2].

В целом ранжирование проектов можно описать как процесс, выражаемый в виде последовательности, продемонстрированной на рисунке 1.

Процесс ранжирования проектов

Рис. 1. Процесс ранжирования проектов

Так как универсальных инструментов (моделей) для ранжирования проектов, пригодных для использования во всех конкретных ситуациях, не существует, соответствующие критерии ранжирования, как и сама модель, разрабатывается или адаптируется для каждого случая в зависимости от специфики предметной области и поставленных задач.

При проведении ранжирования важно уделить внимание именно разработке критериев, от их адекватности зависит успешность проводимой оценки. Следовательно, ключ к успешному применению моделей ранжирования состоит в составлении надлежащего списка критериев оценки, который будет отражать цели реализации проектов к интересам предприятия [3].

Вторым фактором при разработке критериев является их количество. При большом количестве критериев, модель становится громоздкой, а время необходимое для проведения расчётов, с каждым добавленным критерием, растёт по экспоненте. Вырастет и сложность адаптации модели при необходимости её использования в похожих областях. Также недостатком будет являться логическая пересекаемость тех или иных критериев, тем самым результаты некоторых критериев могут противоречить друг другу.

Для проведения примера и разработки критериев предлагается провести процесс ранжирования условных проектов ИБ предприятия. Предположим, что предприятие N провело оценку состоятельности СМИБ с применением модели зрелости процессов [1], провела анализ существующей системы защиты и по его итогу составила перечень проектов, которые необходимо реализовать для достижения приемлемого (целевого) уровня СМИБ.

Для начала составим список проектов (таблица 1).

Таблица 1

Список проектов

Наименование проекта

Влияние на процессы СМИБ по ISO 27k

Комментарии к проекту

Проект 1

Криптография, Безопасность при эксплуатации, Соответствие

Имеется срочность реализации до дд.мм.гг

Проект 2

Взаимоотношения с поставщиками, Приобретение, разработка и поддержка систем

-

Проект 3

Менеджмент инцидентов информационной безопасности, Соответствие

Требуется привлечение интегратора

Проект 4

Физическая безопасность и защита от воздействия окружающей среды

-

Проект 5

Управление доступом

Требуется значительное инвестирование

Проект n

Безопасность, связанная с персоналом

-

Разработанная система критериев для ранжирования проектов ИБ предприятия N представлена в таблице 2.

Таблица 2

Система критериев для ранжирования

Критерий

Качественное описание критерия

Коэффициент

Доминирующий коэффициент

Срочность

Прогнозируемый срок реализации проекта условно высокий (более 12 мес.)

1

0.2

Прогнозируемый срок реализации проекта условно умеренный (менее 12 мес.)

2

Прогнозируемый срок реализации проекта условно низкий (менее 6 мес.)

3

Ресурсоёмкость

Проект требует значительного количества ресурсов

1

0.3

Проект требует дополнительных ресурсов

2

Проект не требует дополнительных ресурсов

3

Влияние

Оказывает влияние на процесс совместно с другим проектом

1

0.5

Оказывает влияние на процесс с незначительным потенциалом

2

Оказывает влияние на процесс со значительным потенциалом

3

Для нормирования полученных значений для проектов используются доминирующие коэффициенты a, b, c, присвоенные каждому критерию. Значения доминирующих коэффициентов назначаются экспертно и отражают важность того или иного критерия в системе общей оценки. В данном случае доминирующий коэффициент критерия влияния является самым высоким т. к. целью внедрения перечня проектов является повышение уровня состоятельности СМИБ предприятия, при этом сумма всех коэффициентов равна фиксированному числу — 1.

Стоит заметить, что если имеются факторы ограничения реализации проекта имеющий более повышенный приоритет, такие как срочность исполнения (к примеру для устранения замечаний по выданному предписанию от регулирующих органов исполнительной власти) или фактор влияния на конкретную информационную систему предприятия, то лицо принимающее решении о назначении веса доминирующего коэффициента может комбинировать их по своему усмотрению.

Таким образом для подсчета итогового балла конкретного проекта используется следующая формула:

где

— показатель приоритета проекта

n — наименование проекта

A — Коэффициент критерия срочности проекта

B — Коэффициент критерия ресурсоёмкости проекта

C — Коэффициент критерия влияния проекта

a — Доминирующий коэффициент срочности проекта

b — Доминирующий коэффициент ресурсоёмкости проекта

c — Доминирующий коэффициент влияния проекта

В случае, если проект оказывает максимальное влияние при минимальной ресурсоёмкости и сроках реализации, данному проекту автоматически присваивается наивысшее значение (Высокий), в противном случае присваивается уровень приоритета (Низкий) или (Средний). Критерии отнесения итогового балла с значением приоритета отражены в таблице 3.

Таблица 3

Качественная оценка приоритета

Диапазон значений

Приоритет проекта

2,5 ≤ P ≤ 3

Высокий

2 ≤ P ≤ 2,4

Средний

0 ≤ P ≤ 1,9

Низкий

Пример результатов ранжирования проектов приведены в Таблице 4.

Таблица 4

Пример результатов ранжирования

Наименование проекта

Балл

Качественная оценка приоритета

Порядок реализации

Проект 1

2.7

Высокий

1

Проект 2

2.3

Средний

3

Проект 3

1.8

Низкий

5

Проект 4

2.5

Высокий

2

Проект 5

2.0

Средний

4

Проект n

1.5

Низкий

6

В заключение можно сказать, что СМИБ предприятия как правило является обеспечивающим (вспомогательным) процессом для бизнеса и не является процессом прямо формирующим его активы но при этом она может и должна вносить существенный вклад в достижение его целей [4] поэтому ранжирование проектов имеет весомое значение с точки зрения менеджмента, так как результат его проведения имеет большое влияние на успешность достижения целей предприятия в разных временных перспективах.

Литература:

  1. Чернышев, К. С. Комбинированный метод оценки зрелости системы менеджмента информационной безопасности с применением модели CMMI / К. С. Чернышев. — Текст: непосредственный // Молодой ученый. — 2023. — № 36 (483). — С. 24–28. — URL: https://moluch.ru/archive/483/105848/
  2. Соловьева И. А., Гальтяев А. В. Разработка многокритериальной модели отбора и ранжирования проектов при формировании инвестиционной программы компании // Интернет-журнал «Науковедение» Том 9, № 1 (2017) http://naukovedenie.ru/PDF/44EVN117.pdf (доступ свободный).
  3. Милошевич Д. Набор инструментов для управления проектами / Драган З. Милошевич; Пер. с англ. Мамонтова Е. В.; Под ред. Неизвестного С. И. — М.: Компания АйТи; ДМК Пресс, 2008.
  4. Варзунов А. В., Торосян Е. К., Сажнева Л. П., Анализ и управление бизнес-процессами // Учебное пособие. — СПб: Университет ИТМО, 2016.
Основные термины (генерируются автоматически): проект, информационная безопасность, ранжирование проектов, доминирующий коэффициент, наименование проекта, предприятие, прогнозируемый срок реализации проекта, процесс, разработка критериев, таблица.


Похожие статьи

Оценка применимости нотации описания бизнес-процессов для моделирования процесса управления рисками информационной безопасности в организации

В статье рассматриваются различные методологии для построения бизнес-процессов, статистика популярности каждой методики, приводятся рекомендации, по какой методике производить моделирование управления рисками информационной безопасности в организации...

К вопросу о проблемах организации системы риск-менеджмента на предприятии

В данной статье рассматривается актуальный вопрос важности интеграции и использования системы риск-менеджмента в работе современных предприятий. В ходе исследования проведен обзор системы-риск менеджмента: ее преимущества и основные этапы применения....

Оценка эффективности системы управления проектами организации

Система управления проектами как самостоятельная сфера менеджмента в настоящее время активно набирает популярность в российском бизнесе-сообществе и достаточно востребована. В то же время необходимо отметить, что уровень развития проектного управлени...

Защита облачной инфраструктуры с точки зрения информационной безопасности

Данное исследование посвящено актуальной проблеме защиты облачной инфраструктуры с точки зрения информационной безопасности. Цель работы — разработать комплексный подход к обеспечению безопасности облачных систем, учитывающий современные угрозы и тех...

Совершенствование системы обеспечения информационной безопасности кредитной организации с помощью экономико-математических методов

Рассматриваются системы защиты информации ограниченного доступа банковских систем. Рассматривается задача модификации и улучшения средств и мер защиты для повышения общего уровня защищенности. Предложено решение задачи путем применения экономико-мате...

Управление рисками на химических и нефтехимических предприятиях: модель категорий анализируемого объекта и компетенций сотрудника

Разработан метод для проведения анализа риска возникновения происшествия на обслуживаемом участке производственного процесса химических и нефтехимических предприятий, с учетом компетенций сотрудника. Проведен обзор ключевых факторов, влияющих на уров...

Внедрение технологий информационного моделирования в процесс эксплуатации зданий и сооружений

Внедрение технологий информационного моделирования является комплексным проектом, затрагивающим деятельность практически всех служб и отделов эксплуатирующей организации. В рамках данной статьи рассматривается поэтапное внедрение BIM-технологий в эк...

Направления повышения эффективности складской деятельности коммерческого предприятия

В статье рассмотрены проблемы складской деятельности коммерческой организации, ранжированные с помощью метода экспертных оценок. Для наиболее значимых проблем предложены направления и алгоритмы решения, позволяющие повысить эффективность складских пр...

Методы верификации программного обеспечения

В статье идет речь об исследовании и классификации методов верификации программного обеспечения (ПО). Осуществлен обзор имеющихся статических методов верификации, исследованы характеристики методов и осуществлено исследование на обнаружение зависимос...

Методология определения эффективности инвестиционных проектов в жилищном строительстве

Целью статьи является анализ тенденций развития методологических подходов к оценке эффективности инвестиционных проектов в сфере жилищного строительства, формулирование предложений по их дальнейшему совершенствованию с точки зрения сбалансированности...

Похожие статьи

Оценка применимости нотации описания бизнес-процессов для моделирования процесса управления рисками информационной безопасности в организации

В статье рассматриваются различные методологии для построения бизнес-процессов, статистика популярности каждой методики, приводятся рекомендации, по какой методике производить моделирование управления рисками информационной безопасности в организации...

К вопросу о проблемах организации системы риск-менеджмента на предприятии

В данной статье рассматривается актуальный вопрос важности интеграции и использования системы риск-менеджмента в работе современных предприятий. В ходе исследования проведен обзор системы-риск менеджмента: ее преимущества и основные этапы применения....

Оценка эффективности системы управления проектами организации

Система управления проектами как самостоятельная сфера менеджмента в настоящее время активно набирает популярность в российском бизнесе-сообществе и достаточно востребована. В то же время необходимо отметить, что уровень развития проектного управлени...

Защита облачной инфраструктуры с точки зрения информационной безопасности

Данное исследование посвящено актуальной проблеме защиты облачной инфраструктуры с точки зрения информационной безопасности. Цель работы — разработать комплексный подход к обеспечению безопасности облачных систем, учитывающий современные угрозы и тех...

Совершенствование системы обеспечения информационной безопасности кредитной организации с помощью экономико-математических методов

Рассматриваются системы защиты информации ограниченного доступа банковских систем. Рассматривается задача модификации и улучшения средств и мер защиты для повышения общего уровня защищенности. Предложено решение задачи путем применения экономико-мате...

Управление рисками на химических и нефтехимических предприятиях: модель категорий анализируемого объекта и компетенций сотрудника

Разработан метод для проведения анализа риска возникновения происшествия на обслуживаемом участке производственного процесса химических и нефтехимических предприятий, с учетом компетенций сотрудника. Проведен обзор ключевых факторов, влияющих на уров...

Внедрение технологий информационного моделирования в процесс эксплуатации зданий и сооружений

Внедрение технологий информационного моделирования является комплексным проектом, затрагивающим деятельность практически всех служб и отделов эксплуатирующей организации. В рамках данной статьи рассматривается поэтапное внедрение BIM-технологий в эк...

Направления повышения эффективности складской деятельности коммерческого предприятия

В статье рассмотрены проблемы складской деятельности коммерческой организации, ранжированные с помощью метода экспертных оценок. Для наиболее значимых проблем предложены направления и алгоритмы решения, позволяющие повысить эффективность складских пр...

Методы верификации программного обеспечения

В статье идет речь об исследовании и классификации методов верификации программного обеспечения (ПО). Осуществлен обзор имеющихся статических методов верификации, исследованы характеристики методов и осуществлено исследование на обнаружение зависимос...

Методология определения эффективности инвестиционных проектов в жилищном строительстве

Целью статьи является анализ тенденций развития методологических подходов к оценке эффективности инвестиционных проектов в сфере жилищного строительства, формулирование предложений по их дальнейшему совершенствованию с точки зрения сбалансированности...

Задать вопрос