Журнал "Information Security/ Информационная безопасность" #6, 2025

Многие успешно реализовали у себя крупные проекты по переходу на отече- ственные решения в сфере информа- ционной безопасности: системы на постоянной основе эксплуатируются в инфраструктуре. Однако внедрение новых систем может встречать пассив- ное, но при этом достаточно отчетливое сопротивление среды. При общении с пользователями и адми- нистраторами часто всплывает недоволь- ство текущим положением дел – жалобы на нестабильность и снижение произво- дительности, рост требований к обору- дованию или на то, что ИБ закручивает гайки. Почти неизбежно звучит и тезис о том, что раньше системы работали быстрее и с меньшими ресурсными затра- тами. Отчасти это справедливо: средства информационной безопасности редко упрощают жизнь пользователям или уско- ряют работу инфраструктуры. Однако есть основания считать, что ностальгия по прошлому во многом преувеличена, а восприятие новых решений – излишне негативизировано. Более семи лет участвуя во внедре- нии ИБ-систем в крупной компании и взаимодействуя с вендорами, интег- раторами и коллегами из других орга- низаций, я заметила, что большинство таких проектов инициируются и реали- зуются подразделениями информа- ционной безопасности – при поддержке руководства, но часто без внутреннего запроса со стороны других ИТ-команд. В результате ИБ нередко воспринима- ется как неизбежное зло. При этом в разных компаниях из раза в раз повторяются одни и те же факторы: системы внедрялись в довольно жест- кие сроки; часто проекты реализовы- вались в режиме героизма на отдель- ных участках; даже после завершения проектов ИБ-командам приходилось прикладывать значительные усилия для поддержания необходимого уровня экс- плуатации. При этом во многих компаниях переход на отечественные решения не рассмат- ривался как полноценный процесс управ- ления изменениями, а работа с заинте- ресованными сторонами велась неси- стемно – нередко создавалось впечат- ление, что стейкхолдеры скорее мешают, чем участвуют в трансформации. В результате внедрение новых ИБ- систем и процессов редко воспринима- ется позитивно кем-либо, кроме самих специалистов по безопасности. Совершенствуем систему проектного управления Столкнувшись с тем, что из года в год проекты команды кибербезопасности реализовываются в героическом режиме на отдельных участках, наша команда приняла решение усовершенствовать систему проектного управления в части взаимодействия с заинтересованными сторонами, для чего мы обратились к лучшим практикам стейкхолдер- менеджмента, описанным в седьмой редакции PMBoK (Project Management Body of Knowledge). Рекомендации PMBok7 предлагают следующую этапность работы со стейк- холдерами: идентификация – вовлечение – управление взаимодействием – мони- торинг и адаптация. При этом в процессе выстраивания отношений делается упор на трансляцию следующих ценностей: внимание к потребностям заинтересованных сторон, двусторонний диалог, демонстрацию лидерства. Казалось бы, что проще. Уделяй внимание потребностям заинте- ресованных сторон, общайся с ними, сближай позиции, не перекладывай ответственность и обращайся за экс- пертизой и конкретными действиями. Причем постановка вопроса в такой форме существенно способствует взаи- мопониманию и смене формата обще- ния, когда стейкхолдеры не мешают, а наоборот делятся своей экспертизой и способствуют реализации изменений. Чтобы рекомендации методологий можно было применять на практике, важно корректно определить ключевых участников и сегментировать группы заинтересованных сторон. На этапе идентификации формируется детальный перечень стейкхолдеров, для чего необходимо ответить на ряд базовых вопросов: кто принимает решения по проекту; кто способен оказать поддержку или, наоборот, создать препятствия; кому проект представляет интерес; кто уже работал с аналогичными задачами; у кого есть ресурсы и экспертиза, значи- мые для реализации; кто обеспечивает финансирование; на кого проект оказы- вает влияние и кто получает эффект от его реализации; кто способен влиять на лиц, принимающих решения. Далее можно определить степень влияния, вовлеченности и интереса к проекту для каждого выявленного стейкхолдера (как отдельных фигур, так и групп), используя графические инстру- менты (не меньше одного, чтобы полу- чить картину с разных точек зрения). На практике мы использовали: диаграмму сил поля Курта Левина и "круг стейкхол- деров" Линды Бёрн. Для определения векторов максимального приложения усилий, мы использовали адаптирован- ную оценочную шкалу Ликерта и диа- граммы "влияние-вовлеченность" и "влияние-отношение" (см. рис. 1 и 2). Для оценки влияния и вовлеченности использовалась упрощенная 100-балль- ная шкала Ликерта. Визуализация полу- ченных значений позволяет выделить группы стейкхолдеров и определить стратегию дальнейших коммуникаций. В результате анализа в план комму- никации войдут три группы заинтересо- ванных лиц, для которых будет опреде- лена стратегия построения отношений: l Максимально тесно сотрудничать в ходе проекта с самыми влиятельными и заинтересованными лицами. l Поддерживать удовлетворенность не слишком вовлеченных влиятельных лиц (особенно с учетом того, что они могут в какой-то момент оказаться вовлечен- ными, особенно при проявлении про- ектных рисков), следить чтобы про- ектные результаты соответствовали их ожиданиям и верифицировать эти ожи- дания. l Информировать о ходе проекта и внедряемых изменениях коллег, кого процесс затрагивает непосредственно, однако они на него не слишком влияют. 62 • УПРАВЛЕНИЕ Работа с заинтересованными сторонами в проектах внедрения ИБ-систем Наталья Онищенко, независимый эксперт по информационной безопасности