Слайд 6. Устав проекта (Project Charter) для ИБ: как правильно запустить

Блок 3. Планирование проекта Устав проекта (Project Charter) для ИБ: как правильно запустить Слайд 6 / 14

УСТАВ ПРОЕКТА (PROJECT CHARTER) — ВНЕДРЕНИЕ EDR, ФАЗА 1

Название проекта (Project Name)Внедрение EDR, Фаза 1: Защита конечных точек

Обоснование (Business Justification)MTTD (Mean Time To Detect / среднее время обнаружения) 197 дней превышает риск-аппетит. EDR снижает MTTD до 4 часов, экономия ALE (Annual Loss Expectancy / ожидаемые годовые потери) 280M руб/год

Цели (Objectives — SMART)SMART (Specific, Measurable, Achievable, Relevant, Time-bound / конкретные, измеримые, достижимые, релевантные, ограниченные по времени): 1) EDR на 100% конечных точек за 20 нед. 2) MTTD ≤ 24 ч через 3 мес после запуска. 3) Охват EDR 95% к концу года

Область (Scope)Входит: 3,200 конечных точек (endpoints) + интеграция с SIEM + обучение SOC. Не входит: серверы Linux, мобильные устройства

Стейкхолдеры (Stakeholders)Спонсор (Sponsor): CFO (Chief Financial Officer / финансовый директор) | PM (Project Manager / руководитель проекта): PMO Manager | CISO (Chief Information Security Officer / руководитель ИБ) | экономбез (стейкхолдер)

Бюджет (Budget)CAPEX (Capital Expenditure / капитальные затраты) 18M руб | OPEX (Operational Expenditure / операционные затраты) 4M руб/год

Сроки (Timeline)20 недель. Контрольные точки (Milestone): пилот завершён → полное развёртывание → переход в операционную деятельность

Критерии успеха (Success Criteria)EDR на 95%+ конечных точек | SLA (Service Level Agreement / соглашение об уровне обслуживания) по MTTD достигнут | Формальная приёмка экономбеза и CISO (Chief Information Security Officer / руководитель ИБ)

Риски (Risks — топ-3)1) Сопротивление пользователей 2) Проблемы с производительностью 3) Задержки закупки

ПодписиСпонсор (Sponsor) / PM (Project Manager / руководитель проекта) / CISO (Chief Information Security Officer / руководитель ИБ) / экономбез (утверждающий)

ТОП-5 ОШИБОК УСТАВА (CHARTER)

1. Расплывчатые цели (без SMART) — невозможно оценить успех

2. Нет критериев успеха (Success Criteria) — проект «вроде идёт», но никто не знает, закончен ли

3. Не определён спонсор (Sponsor) — при трудностях никто не принимает решения

4. Бюджет только CAPEX (Capital Expenditure / капитальные затраты), забыт OPEX (Operational Expenditure / операционные затраты) — через год команда без денег

5. Стейкхолдеры не идентифицированы — экономбез узнаёт о проекте, когда он провален

Устав (Charter) — ваш контракт с CISO (Chief Information Security Officer / руководитель ИБ). Без подписанного Charter любой ИБ-проект — авантюра. Если вас просят подписать Charter, читайте критерии успеха (Success Criteria). Если не понимаете, как будет измеряться успех — не подписывайте.