Geekly articles weekly

Stratégie de sécurité de l'information: avez-vous décidé de la marche à suivre?

Bonjour Je m'appelle Anton Udovichenko, je suis le chef du département d'audit d'Infosecurity. Sur la base de mon expérience, j'ai préparé des instructions sur la façon de développer une stratégie de sécurité de l'information dans une entreprise.


L'Ă©laboration d'une stratĂ©gie de sĂ©curitĂ© de l'information (SI) pour de nombreuses entreprises semble ĂȘtre une tĂąche difficile, tant du point de vue de l'organisation du processus de dĂ©veloppement lui-mĂȘme que de la mise en Ɠuvre pratique ultĂ©rieure de la stratĂ©gie. Certaines entreprises disent qu'elles peuvent se passer d'une planification formelle, sans perdre de temps et d'Ă©nergie Ă  faire des plans, ce qui se justifie par des changements rapides sur le marchĂ© des technologies qui traversent tous leurs efforts. Compte tenu de la prĂ©sence d'actions efficaces, cette approche peut conduire Ă  un certain succĂšs, mais non seulement elle ne garantit pas le succĂšs Ă  l'avenir, mais la met Ă©galement en doute. La planification formelle rĂ©duit considĂ©rablement le risque de prendre de mauvaises dĂ©cisions et sert de base Ă  un contrĂŽle ultĂ©rieur, et contribue Ă©galement Ă  accroĂźtre la prĂ©paration aux changements du marchĂ©.

La nécessité d'une stratégie de sécurité de l'information se pose, en rÚgle générale, pour les entreprises qui se sentent déjà suffisamment confiantes sur le marché pour faire des plans pour les années à venir, mais qui ont fait face aux défis suivants:

  • manque de corrĂ©lation entre les objectifs stratĂ©giques de l'entreprise et les directions de dĂ©veloppement de la sĂ©curitĂ© de l'information;
  • niveau insuffisant de sĂ©curitĂ© de l'information des processus commerciaux clĂ©s de l'entreprise;
  • faible retour sur investissement dans le dĂ©veloppement de la sĂ©curitĂ© de l'information.

La stratĂ©gie de dĂ©veloppement du SI doit ĂȘtre considĂ©rĂ©e comme une sorte de carte qui dĂ©finit les points de repĂšre sur le terrain et oriente vers l'objectif. Il vous permet de rendre les objectifs rĂ©alisables gĂ©rables en fixant des limites et des prioritĂ©s pour les dĂ©cisions tactiques pour ceux qui sont responsables du dĂ©veloppement de l'entreprise et / ou des domaines individuels. Il convient de noter que la stratĂ©gie de sĂ©curitĂ© de l'information ne doit pas ĂȘtre statique et, comme le facteur d'incertitude diminue avec le temps, la stratĂ©gie doit ĂȘtre revue et, si nĂ©cessaire, ajustĂ©e, en fixant de nouvelles prioritĂ©s pour les dĂ©cisions tactiques.

Pour qui une stratégie de sécurité de l'information est-elle intéressante?


Certains pensent Ă  tort que la stratĂ©gie SI n'est nĂ©cessaire que par les responsables de la garantie SI. En fait, il y a beaucoup plus d'utilisateurs de la stratĂ©gie SI et chacun a son propre intĂ©rĂȘt, les principaux sont:

Direction d'entreprise:

  • comprendre le rĂŽle de la sĂ©curitĂ© de l'information dans la mise en Ɠuvre du concept gĂ©nĂ©ral de dĂ©veloppement de l'entreprise;
  • assurer la cohĂ©rence avec la stratĂ©gie de dĂ©veloppement de l'ensemble de l'entreprise;
  • comprĂ©hension des objectifs et du volume d'investissement dans la sĂ©curitĂ© de l'information;
  • rĂ©partition rationnelle des investissements;
  • outils de suivi de la rĂ©alisation des objectifs.

Service des technologies de l'information:

  • comprendre le rĂŽle de la sĂ©curitĂ© de l'information dans le dĂ©veloppement d'une entreprise informatique;
  • comprĂ©hension des exigences du SI Ă  l'architecture informatique cible.

Service de sécurité de l'information:

  • la prĂ©sence de principes uniformes pour le dĂ©veloppement de la sĂ©curitĂ© de l'information;
  • comprĂ©hension de l'architecture cible de l'entreprise de sĂ©curitĂ© de l'information;
  • disponibilitĂ© d'un plan d'action dĂ©taillĂ© (portefeuille de projets);
  • une comprĂ©hension claire des ressources nĂ©cessaires;
  • respect de la lĂ©gislation et des normes de l'industrie en matiĂšre de sĂ©curitĂ© de l'information;
  • des outils de suivi de la rĂ©alisation des objectifs SI.

La procédure d'élaboration des stratégies de sécurité de l'information


Avant de considérer les principales étapes de l'élaboration d'une stratégie, vous devez déterminer le critÚre de qualité de la stratégie SI et, en conséquence, dans le but de la développer, vous obtiendrez des réponses complÚtes à trois questions:

  • Quels sont les objectifs stratĂ©giques pour le dĂ©veloppement de la sĂ©curitĂ© de l'information, comment ces objectifs sont-ils en corrĂ©lation avec les objectifs stratĂ©giques de l'entreprise?
  • Quel est le futur profil (statut) de l'entreprise de sĂ©curitĂ© de l'information?
  • Quelles mesures doivent ĂȘtre prises pour atteindre les objectifs stratĂ©giques du dĂ©veloppement de la sĂ©curitĂ© de l'information?

Étape 1. PrĂ©paration. Pour commencer, nous dĂ©terminerons les paramĂštres et l'ordre de gestion du projet.

Tùches clés à résoudre:

  • crĂ©er une Ă©quipe de projet et fixer des objectifs;
  • coordination de la structure des donnĂ©es collectĂ©es et adaptation des modĂšles;
  • coordination des limites du projet, de la structure et du contenu des documents de rapport;
  • coordination du processus de gestion de projet
  • dĂ©termination de la procĂ©dure de rĂ©solution des problĂšmes Ă©mergents;
  • prĂ©paration et approbation d'un plan de travail.

À ce stade, en effet, vous devez dĂ©finir les facteurs clĂ©s de succĂšs et atteindre les rĂ©sultats souhaitĂ©s, Ă  savoir:

  1. Implication de la direction dans le projet: l'Ă©laboration et la mise en Ɠuvre de la stratĂ©gie de sĂ©curitĂ© de l'information devraient, en premier lieu, ĂȘtre soutenues par la direction de l'entreprise, qui devrait ĂȘtre responsable du suivi de l'avancement des travaux, de l'allocation des ressources nĂ©cessaires, ainsi que de l'approbation ultĂ©rieure de la stratĂ©gie dĂ©veloppĂ©e.
  2. Formation de l'équipe de projet: sa composition devrait inclure les employés les plus compétents et rester inchangée tout au long du projet. Les unités organisationnelles suivantes se distinguent dans le projet:
    • Conservateur de projet de l'entrepreneur;
    • Commissaire de projet de la part du client;
    • comitĂ© de pilotage;
    • Chef de projet de la part de l'entrepreneur;
    • le chef du groupe de travail de la part du Client;
    • Équipe de projet de l'entrepreneur;
    • spĂ©cialistes fonctionnels du cĂŽtĂ© du client.

  3. ÉnoncĂ© clair des objectifs, des exigences, des limites, ainsi que des critĂšres de rĂ©ussite du projet, qui respecteront strictement la bonne direction et rĂ©pondront aux attentes du client.
  4. Élaboration d'une procĂ©dure de gestion de projet: les processus de communication et de prise de dĂ©cision assurent l'interconnexion et l'interdĂ©pendance de toutes les fonctions de gestion, assurant ainsi l'intĂ©gritĂ© et l'efficacitĂ© du processus de gestion. La procĂ©dure devrait prĂ©voir la rĂ©partition des pouvoirs et des responsabilitĂ©s, la procĂ©dure d'interaction des participants, la procĂ©dure de coordination des rĂ©sultats intermĂ©diaires et finaux, la procĂ©dure de gestion des problĂšmes et de modification du projet.

Le rĂ©sultat de cette Ă©tape devrait ĂȘtre:

  • charte de projet, calendrier de travail, calendrier des entretiens nĂ©cessaires;
  • structure des documents de rapport et modĂšles de collecte de donnĂ©es / documents de rapport.

Étape 2. Analyse de l'Ă©tat actuel de la sĂ©curitĂ© de l'information. Le but de l'Ă©tape est de collecter et d'analyser l'ordre et les mĂ©thodes de traitement des informations du point de vue de la sĂ©curitĂ© de l'information, l'Ă©tat actuel de la sĂ©curitĂ© de la sĂ©curitĂ© de l'information.

Questions clés auxquelles il faut répondre:

  • Quel est le rĂŽle de la sĂ©curitĂ© des informations dans une entreprise?
  • Quelles exigences sont Ă  la base du fonctionnement de l'entreprise de sĂ©curitĂ© de l'information?
  • Quel est l'Ă©tat actuel des processus de sĂ©curitĂ© des SI?
  • Quels outils de protection des informations sont utilisĂ©s, leurs avantages et leurs inconvĂ©nients?
  • Quelles sont les exigences d'une entreprise pour assurer la sĂ©curitĂ© des informations?

La mise en place du rÎle de la sécurité de l'information dans l'entreprise définit le contexte général du développement d'une stratégie et se fait à tous les niveaux: direction, chefs de service et salariés.

Les informations sont collectées dans les domaines suivants:

  • le niveau de culture de la sĂ©curitĂ© de l'information dans l'entreprise;
  • PrioritĂ© SI par rapport aux processus mĂ©tiers;
  • l'impact de la sĂ©curitĂ© de l'information sur les processus commerciaux de l'entreprise;
  • sensibilisation de la direction au besoin de sĂ©curitĂ© de l'information;
  • degrĂ© d'implication et de sensibilisation des employĂ©s aux questions de sĂ©curitĂ© de l'information.

L'étape suivante consiste à identifier les exigences que l'entreprise est obligée de suivre ou sur lesquelles elle a volontairement décidé de se concentrer. Les exigences, en substance, sont à la base du fonctionnement de la sécurité de l'information, notamment la législation, les normes de l'industrie, les normes nationales et internationales de sécurité de l'information, les politiques d'un groupe d'entreprises, etc.

L'étape d'examen et d'analyse des processus de sécurité de l'information est une étape clé, déterminant en grande partie le résultat de l'ensemble du projet. Sa complexité réside dans la nécessité d'obtenir des informations fiables et objectives suffisantes pour former le profil futur de la sécurité de l'information, en rÚgle générale, pour une durée trÚs limitée. On peut distinguer trois approches conceptuelles: de base, détaillée et combinée (expert).

Approche de base

L'approche implique l'analyse de l'Ă©tat de la sĂ©curitĂ© de l'information pour la conformitĂ© avec un certain niveau de sĂ©curitĂ© de base. Le niveau de base est un certain ensemble standard de mesures de protection, en rĂšgle gĂ©nĂ©rale, caractĂ©ristique des entreprises opĂ©rant dans le mĂȘme domaine, pour la protection de tous ou des systĂšmes d'information individuels. Un ensemble typique de mesures de protection est formĂ© en fonction des besoins des entreprises Ă  utiliser certaines mesures standard, par exemple, pour se conformer aux exigences lĂ©gales, ainsi que pour se protĂ©ger contre les menaces les plus courantes.

L'approche de base vous permet de gĂ©rer le montant minimum de ressources pendant l'analyse, peut ĂȘtre mis en Ɠuvre mĂȘme sous la forme de listes de contrĂŽle avec des questions concernant la disponibilitĂ© de certaines mesures et les paramĂštres de leur mise en Ɠuvre. Un inconvĂ©nient important de cette approche est l'inexactitude et les limites des informations collectĂ©es, car le niveau de base ne peut pas toujours correspondre Ă  la criticitĂ© des informations traitĂ©es, Ă  la spĂ©cificitĂ© de ses systĂšmes d'information et de ses processus mĂ©tier. Les systĂšmes distincts d'une entreprise peuvent ĂȘtre caractĂ©risĂ©s par des degrĂ©s de sensibilitĂ© variables, des volumes et des valeurs d'informations diffĂ©rents; l'utilisation de mesures de protection gĂ©nĂ©rales dans ce cas sera logiquement incorrecte.

Approche détaillée

Une approche détaillée implique une étude complÚte des processus de traitement de l'information et la garantie de la sécurité de l'information de l'entreprise. Une telle approche comprend l'identification et l'évaluation des actifs informationnels, l'évaluation des risques de violation des SI, l'évaluation de la maturité des processus SI, l'analyse des statistiques d'incidents, l'analyse des revues publiques et les rapports des régulateurs.

Les rĂ©sultats d'une analyse dĂ©taillĂ©e permettent de faire un choix raisonnĂ© de mesures de protection lors de l'Ă©laboration du profil futur de la sĂ©curitĂ© de l'information, cependant, la mise en Ɠuvre de cette approche nĂ©cessite une somme importante d'argent, de temps et de main-d'Ɠuvre qualifiĂ©e. En outre, il existe une certaine probabilitĂ© d'obsolescence des rĂ©sultats de l'enquĂȘte, car une telle approche peut nĂ©cessiter un temps considĂ©rable.

Approche combinée (experte)

L'application de chacune des approches dĂ©crites ci-dessus prĂ©sente des limites importantes et ne permet pas toujours de collecter suffisamment d'informations pendant un temps acceptable pour dĂ©velopper raisonnablement une stratĂ©gie de sĂ©curitĂ© de l'information et former un portefeuille de projets. Par consĂ©quent, dans la pratique, diverses combinaisons de ces approches sont utilisĂ©es, y compris des mĂ©thodes formelles d'analyse et l'expĂ©rience pratique de spĂ©cialistes. En rĂšgle gĂ©nĂ©rale, cette approche est basĂ©e sur une analyse prĂ©liminaire pour une Ă©valuation de haut niveau des risques de violation de la sĂ©curitĂ© des informations, en tenant compte de la criticitĂ© des informations (confidentielles), des flux d'informations et de l'importance des systĂšmes d'information. À l'avenir, une analyse dĂ©taillĂ©e est effectuĂ©e pour les systĂšmes d'information Ă  haut risque, pour d'autres, elle peut ĂȘtre limitĂ©e par l'approche de base. En outre, une analyse dĂ©taillĂ©e et une description des principaux processus de sĂ©curitĂ© de l'information sont effectuĂ©es, ainsi qu'une Ă©valuation des outils et des mĂ©thodes utilisĂ©s pour protĂ©ger les informations, leurs avantages et leurs inconvĂ©nients.

Cette approche permet, avec un minimum de temps et d'efforts consacrĂ©s Ă  l'identification de l'Ă©tat actuel, d'obtenir les donnĂ©es nĂ©cessaires pour former le futur profil de la sĂ©curitĂ© de l'information. Il convient de noter que l'objectivitĂ© et la qualitĂ© des rĂ©sultats de l'enquĂȘte dans cette approche seront dĂ©terminĂ©es par la qualitĂ© de la mĂ©thodologie d'enquĂȘte et l'expĂ©rience de son utilisation par des spĂ©cialistes.

En outre, il convient de noter que le choix des mĂ©thodes d'enquĂȘte et le degrĂ© d'implication des employĂ©s seront dĂ©terminĂ©s par l'approche utilisĂ©e et la mĂ©thodologie d'enquĂȘte. Par exemple, l'approche de base peut se limiter Ă  l'analyse de documents internes et de questionnaires avec un certain nombre d'entretiens avec des employĂ©s clĂ©s, tandis que les deux autres approches impliquent un plus grand nombre d'employĂ©s et un Ă©ventail d'outils plus large:

  • analyse des documents internes;
  • interrogatoire;
  • entretien;
  • inspection visuelle;
  • examen par des moyens techniques spĂ©cialisĂ©s.

À la fin de cette Ă©tape, quelle que soit l'approche choisie, vous devez vous attendre:

  • avis d'expert sur le niveau de dĂ©veloppement de l'entreprise de sĂ©curitĂ© de l'information;
  • Ă©valuation intĂ©grale de l'Ă©tat actuel de la sĂ©curitĂ© de l'information;
  • Description des exigences commerciales pour la sĂ©curitĂ© de l'information;
  • rapport et prĂ©sentation des rĂ©sultats de l'Ă©tape.

Étape 3. DĂ©veloppement du profil cible de la sĂ©curitĂ© de l'information. À ce stade, les tĂąches clĂ©s suivantes sont rĂ©solues:

  • assurer la relation entre les objectifs stratĂ©giques de l'entreprise et les orientations de dĂ©veloppement de la sĂ©curitĂ© de l'information;
  • formulation des principes de base de la stratĂ©gie de sĂ©curitĂ© de l'information;
  • dĂ©termination du profil futur de l'entreprise de sĂ©curitĂ© de l'information.

L'un des principaux obstacles Ă  l'Ă©laboration d'une stratĂ©gie de sĂ©curitĂ© de l'information en termes de gestion des attentes des dirigeants est le manque de conditions initiales claires, Ă  savoir la stratĂ©gie de dĂ©veloppement de l'entreprise avec une description claire de tous les aspects en termes comprĂ©hensibles. Dans la pratique, en rĂšgle gĂ©nĂ©rale, il existe soit une absence de stratĂ©gie de dĂ©veloppement pour l'entreprise en tant que telle, soit elle n'est pas formalisĂ©e et, au mieux, peut ĂȘtre formulĂ©e par des mots.

Le problÚme de l'absence d'une stratégie de développement pour l'entreprise est résolu par les efforts conjoints des représentants des entreprises, des TI et des SI dans le développement d'une vision commune des tùches SI, en tenant compte des facteurs suivants:

  • quelles initiatives sont prĂ©vues dans toute l'entreprise, y compris les changements organisationnels, le dĂ©veloppement du marchĂ© et de la technologie;
  • quels changements sont prĂ©vus dans les processus commerciaux et informatiques;
  • quelles dĂ©cisions importantes dĂ©pendent de la fiabilitĂ©, de l'intĂ©gritĂ© ou de la disponibilitĂ© des informations, ou de leur rĂ©ception en temps opportun;
  • quels types d'informations confidentielles nĂ©cessitent une protection;
  • quelles consĂ©quences peuvent survenir pour l'entreprise aprĂšs la survenance d'un incident de sĂ©curitĂ© de l'information;
  • quels changements dans l'environnement extĂ©rieur peuvent ĂȘtre attendus, y compris les actions des concurrents, les changements dans la lĂ©gislation, etc.

Les rĂ©ponses Ă  ces questions peuvent aider Ă  formuler les objectifs de la sĂ©curitĂ© de l'information dans l'entreprise. À son tour, il convient de garder Ă  l'esprit que pour chaque initiative ou action proposĂ©e, les rĂ©sultats possibles ou souhaitĂ©s, les risques de leur mise en Ɠuvre, ainsi que les risques en cas de refus de mise en Ɠuvre, doivent ĂȘtre Ă©valuĂ©s.

En effet, les principes de base de la stratĂ©gie SI dĂ©terminent l'ensemble des rĂšgles globales Ă  suivre lors de sa construction, ainsi que lors du choix et de la mise en Ɠuvre des solutions. Les principes sont formulĂ©s en fonction des objectifs stratĂ©giques, des processus de l'entreprise, des opportunitĂ©s d'investissement, etc., ils sont donc gĂ©nĂ©ralement individuels pour l'entreprise. Nous mettons en Ă©vidence certains principes universels:

  • IntĂ©gritĂ© du SI: les solutions logicielles et matĂ©rielles applicables, ainsi que les mesures organisationnelles, doivent ĂȘtre mutuellement convenues et fournir un niveau de sĂ©curitĂ© spĂ©cifiĂ©;
  • normalisation et unification: la diversitĂ© des technologies utilisĂ©es doit ĂȘtre minimisĂ©e afin de rĂ©duire le coĂ»t du maintien de l'expertise et des dĂ©cisions, leur coordination et intĂ©gration, l'octroi de licences et la maintenance;
  • facilitĂ© d'utilisation: les mĂ©thodes et les moyens utilisĂ©s pour assurer la sĂ©curitĂ© de l'information ne devraient pas conduire Ă  une augmentation du nombre d'actions erronĂ©es du personnel, alors que ce principe ne signifie pas la simplicitĂ© de l'architecture ou une diminution des fonctionnalitĂ©s;
  • privilĂšges minimaux: l'essence du principe est l'attribution des moindres droits, qui ne doit pas conduire Ă  une violation du travail de l'utilisateur;
  • efficacitĂ© Ă©conomique: les solutions appliquĂ©es doivent s'efforcer de rĂ©duire le coĂ»t total de possession, d'augmenter le taux de retour sur investissement et d'optimiser d'autres indicateurs pour Ă©valuer l'efficacitĂ© Ă©conomique des investissements.

La formation du futur profil de la sécurité de l'information est la solution à plusieurs tùches partiellement conflictuelles:

  • se conformer aux exigences de sĂ©curitĂ© de l'information (lĂ©gislation, rĂ©gulateurs, fabricants, partenaires, etc.);
  • minimiser les risques de violation du SI;
  • assurer la conformitĂ© aux objectifs commerciaux, en tenant compte des changements prĂ©vus dans les processus commerciaux et informatiques;
  • assurer l'attractivitĂ© des investissements de la sĂ©curitĂ© de l'information.

Il existe de nombreuses normes, Ă  la fois internationales (ISO, COBIT, NIST, etc.) et russes (STO BR, GOST, etc.), qui peuvent ĂȘtre adoptĂ©es pour former le futur profil de la sĂ©curitĂ© de l'information. Cependant, il est important de se rappeler ici qu'aucune norme ne peut ĂȘtre pleinement appliquĂ©e Ă  toutes les entreprises. Par consĂ©quent, vous ne devez pas dĂ©velopper une stratĂ©gie basĂ©e uniquement sur une norme ou tout faire sous la copie conforme. En derniĂšre analyse, toutes les composantes du processus de sĂ©curitĂ© de l'information doivent s'inscrire organiquement dans la logique du dĂ©veloppement des affaires: d'une part, ne restreignez pas trop le dĂ©veloppement et, d'autre part, maintenez les risques dans des limites spĂ©cifiĂ©es.

Une question importante qui doit Ă©galement ĂȘtre prise en compte dans le cadre de la stratĂ©gie des SI est le nombre et les qualifications du personnel, qui sont nĂ©cessaires pour garantir l'accomplissement des fonctions de base. Il faudrait au moins Ă©laborer le modĂšle de compĂ©tence le plus simple qui, en plus des responsabilitĂ©s professionnelles, dĂ©terminera les connaissances et les compĂ©tences organisationnelles et industrielles dont le personnel a besoin. Lors de l'Ă©laboration d'une stratĂ©gie de sĂ©curitĂ© de l'information, il est prĂ©fĂ©rable de n'offrir que les solutions qui nĂ©cessiteront des compĂ©tences ultĂ©rieurement disponibles pour l'entreprise, ou au moins des compĂ©tences qui peuvent ĂȘtre obtenues avec un minimum d'effort.

Une autre question Ă  considĂ©rer est l'externalisation. Il peut ĂȘtre un bon outil qui accĂ©lĂšre la mise en Ɠuvre de nombreuses fonctions de sĂ©curitĂ© de l'information, ainsi que de fournir leur soutien opĂ©rationnel. Lors de la dĂ©cision d'externaliser, il est nĂ©cessaire de prendre en compte les risques pertinents, car le recours Ă  des sociĂ©tĂ©s tierces pour fournir des SI ne signifie pas toujours transfĂ©rer la responsabilitĂ© Ă  leurs clients et rĂ©gulateurs.En outre, en cas d'incident, les clients se moquent souvent de la cause de l'Ă©chec. Dans ce cas, les fonctions de gestion et de contrĂŽle de la sĂ©curitĂ© de l'information ne doivent pas ĂȘtre totalement externalisĂ©es.

Le résultat de cette étape sera:

  • buts et objectifs, principes du dĂ©veloppement de la sĂ©curitĂ© de l'information;
  • description de la composition et des fonctionnalitĂ©s du systĂšme de sĂ©curitĂ© de l'information cible;
  • description des processus de gestion de la sĂ©curitĂ© des informations cibles;
  • rapport et prĂ©sentation des rĂ©sultats de l'Ă©tape.

Étape 4. Formation du portefeuille de projets de sĂ©curitĂ© de l'information. Au stade final, le problĂšme de l'efficacitĂ© des investissements dans le dĂ©veloppement de la sĂ©curitĂ© de l'information est rĂ©solu. À cet effet, un portefeuille de projets de sĂ©curitĂ© de l'information est en cours de constitution, comprenant l'Ă©valuation et la sĂ©lection de projets potentiels, fixant leurs prioritĂ©s et fixant des critĂšres de faisabilitĂ©.

Il existe un grand nombre de méthodes pour évaluer les projets potentiels à inclure dans le portefeuille: économique-mathématique, expert-analytique, graphique. Parmi celles-ci, les méthodes analytiques expertes, en particulier la méthode des critÚres pondérés multiples, qui permet une évaluation à la fois sur des critÚres quantitatifs et qualitatifs, en priorisant les projets en tenant compte de leur spécificité et en étant faciles à utiliser, sont largement utilisées en relation avec les projets IT / IS. L'essence de la méthode est d'attribuer un poids spécifique à chaque critÚre, déterminé en fonction de son importance pour la réalisation des objectifs stratégiques. Un ensemble de critÚres et leur gravité spécifique sont propres à chaque entreprise et sont déterminés par sa spécificité et son ampleur d'activité. Dans la pratique, les groupes de critÚres sont le plus souvent utilisés: critÚres financiers, critÚres commerciaux, critÚres de risque. La procédure d'évaluation utilisant cette méthode est simple et comprend les étapes suivantes:

  • dĂ©termination d'un ensemble de critĂšres et de leur gravitĂ© spĂ©cifique;
  • Ă©valuation de chaque projet potentiel selon un ensemble donnĂ© de critĂšres;
  • calcul de l'Ă©valuation intĂ©grale de chaque projet potentiel;
  • classement des projets potentiels sur la base d'une Ă©valuation intĂ©grĂ©e.

La prochaine étape aprÚs l'évaluation des projets est la formation d'un ensemble optimal de projets qui assure le mieux la réalisation des objectifs stratégiques de l'entreprise, en tenant compte des restrictions actuelles. A cette étape, des écarts importants entre les indicateurs du projet sont identifiés et leur lissage en tenant compte de leurs interconnexions. En rÚgle générale, les principales lignes directrices pour trouver la meilleure solution sont les suivantes:

  • l'effet maximal de la mise en Ɠuvre des projets dans les meilleurs dĂ©lais, compte tenu des contraintes financiĂšres;
  • l'effet de la mise en Ɠuvre d'une sĂ©quence de projets interconnectĂ©s.

La derniĂšre question Ă  laquelle il faut rĂ©pondre lors de l'Ă©laboration d'une stratĂ©gie de sĂ©curitĂ© de l'information est de savoir comment, dans le cadre de sa mise en Ɠuvre ultĂ©rieure, savoir si nous allons dans la bonne direction et combien nous avons progressĂ©. Pour Ă©valuer l'efficacitĂ© de la mise en Ɠuvre de la stratĂ©gie SI, un ensemble de mĂ©triques est posĂ©. Les mesures doivent ĂȘtre cohĂ©rentes avec les objectifs de l'entreprise.Par consĂ©quent, lors du dĂ©veloppement de mesures, il est important de dĂ©terminer d'abord l'avantage commercial rĂ©el de fournir la sĂ©curitĂ© des informations, puis les critĂšres qui peuvent ĂȘtre utilisĂ©s pour Ă©valuer la rĂ©alisation de cet avantage. En rĂšgle gĂ©nĂ©rale, la direction de l'entreprise, en tant que mesure, perçoit les indicateurs en termes monĂ©taires ou le degrĂ© d'influence sur les processus mĂ©tier. , .

:

  • ;
  • « » ;
  • ;
  • ;
  • .




, , .

.

« », , . , , — , «». , , .

.

- — , , () . , . , , .

.

, , , . , , .

.

, . , , .

, , . , .

Conclusion


, , . , , . , , — .

Source: https://habr.com/ru/post/fr441920/

More articles:


All Articles