«SMART — не просто популярная аббревиатура, а философия принятия решений для взрослой организации. Если ты не можешь превратить свою абстрактную идею в SMART-цель, значит ты не знаете, чего хочешь добиться и каков путь к этому. Это страшное положение, которое раньше скрывали под красотой лозунгов о защите данных и обороне компании. С формулировкой SMART мы начинаем говорить языком договора, обязательств и ресурсов, а не желаний и надежд»
.
Что такое SMART и почему это теперь обязательная часть ИБ
SMART-цели начали применять в менеджменте задолго того, как стали нормой для информационной безопасности. Методика почти тридцатилетняя, но её суть не меняется: любая цель должна быть конкретной, измеряемой, достижимой, значимой и ограниченной по времени. В условиях ФСТЭК, при увеличении требований к контролю и отчётности, SMART превращается из методики планирования в инструмент выживания. Если твоя задача «улучшить защиту периметра» или «снизить риски» не имеет показателей, сроков и оценённых ресурсов — ты не получишь бюджет и не сможете договориться с бизнесом. А в грядущих условиях это означает, что ты не выполнишь 152-ФЗ.
Цели ИБ без SMART часто остаются декларативными. Это было терпимо в прошлые годы, пока не требовалась детальная отчётность перед регулятором и пока ответственность за результаты ИБ не стала персональной. Теперь формулировка целей, это форма закрепления обязательств. У тебя есть год, и ты должен уложить в этот период реалистичные задачи. SMART переводит абстрактные требования регулятора в язык контракта с самим собой и организацией.
Применение SMART к цели «Уменьшить количество инцидентов ИБ»
Это самая очевидная цель любого отдела ИБ, но как её превратить в SMART? Сначала нужно определить, какие инциденты ты считаешь — все, включая мелкие, или только критичные. Затем задаться вопросом, откуда у тебя текущие данные о инцидентах — из системы, из отчётов сотрудников, или ты просто примерно оценивает по памяти.
Конкретная (Specific)
«Уменьшить количество инцидентов ИБ» — слишком широко. Сформулируйте более узко: «Сократить количество инцидентов, связанных с утечкой данных через электронную почту и мессенджеры». Это уже конкретная область, где можно сосредоточить ресурсы.
Измеряемая (Measurable)
Без измерений цель остаётся декларацией. Текущий уровень инцидентов такого типа — 15 случаев за последний год. Цель — снизить до 5 случаев за следующий год. Или можно измерить процентно: снизить на 60%. Главное — иметь исходную точку для отсчёта.
Достижимая (Achievable)
Если у вас нет DLP, средств контроля почты и бюджетных возможностей для их покупки, то снижение с 15 до 5 инцидентов может быть недостижимо. Проверьте свои ресурсы: есть ли команда для реализации, средства для покупки инструментов или время для пересмотра политик. Если нет — цель нереальна, её нужно либо корректировать, либо запрашивать дополнительные ресурсы.
Значимая (Relevant)
Почему именно инциденты через почту и мессенджеры? Потому что они приводят к утечке данных, что напрямую нарушает 152-ФЗ и создаёт риски для компании. Эта цель значима для регуляторных требований и для защиты бизнеса.
Ограниченная по времени (Time-bound)
Цель ставится на один год. Но лучше разбить её на этапы: через три месяца внедрить политики, через шесть месяцев запустить обучение сотрудников, через девять месяцев провести первый аудит и корректировать процессы. За год нужно достичь конечного результата.
SMART-цели для ФСТЭК и 152-ФЗ: переход от абстрактных требований к измеримым задачам
Регуляторные требования ФСТЭК и 152-ФЗ часто формулируются в виде обязательных мер защиты. Но их реализация в организации требует превращения этих мер в конкретные задачи с показателями. SMART помогает в этом.
Пример: цель по соответствию требованиям ФСТЭК по криптографии
Одно из требований ФСТЭК — использование средств криптографической защиты информации (СКЗИ). Абстрактная цель: «Внедрить СКЗИ». SMART-цель: «Внедрить сертифицированные СКЗИ на всех серверах с конфиденциальной информацией (100% покрытие) к концу года, обеспечивая шифрование данных в хранилищах и при передаче». Конкретно — указаны сервера и тип информации; измеряемо — 100% покрытие; достижимо — если у вас есть бюджет на СКЗИ и команда для внедрения; значимо — соответствие требованиям ФСТЭК; ограничено по времени — конец года.
Пример: цель по проведению внутреннего аудита ИБ по 152-ФЗ
152-ФЗ требует проведения внутренних аудитов. Абстрактная цель: «Провести аудит». SMART-цель: «Провести внутренний аудит всех 15 требований 152-ФЗ для двух ключевых систем обработки персональных данных до 1 декабря, сформировав отчёт с описанием соответствия и планом корректирующих действий для каждого несоответствия». Конкретно — указаны требования и системы; измеряемо — полный аудит 15 требований и отчёт; достижимо — если есть аудиторы и время; значимо — выполнение закона; ограничено по времени — 1 декабря.
Где и как SMART-цели встраиваются в годовое планирование ИБ
SMART-цели не должны быть разрозненными. Они становятся основой годового плана ИБ. Этот план обычно включает следующие элементы:
- Регуляторные требования — перевод их в SMART-цели.
- Оценка рисков — определение наиболее значимых рисков и формулирование целей по их снижению.
- Ресурсы — бюджет, человеческие ресурсы, инструменты, необходимые для достижения каждой цели.
- Ответственность — кто отвечает за реализацию каждой цели, контроль и отчётность.
- Отчётность — как и когда будут измеряться результаты, форматы отчётов для руководства и регулятора.
SMART-цели становятся якорями плана. Каждая цель должна иметь свой раздел в плане с описанием шагов реализации, контрольных точек и метрик успеха.
Частые ошибки в формулировке SMART-целей для ИБ
Ошибка 1: измеряемость без исходных данных
Ты формулируете цель «Снизить количество уязвимость на 30%», но у вас нет исходных данных о текущем количестве уязвимости. Без исходного уровня измеряемость невозможна. Прежде чем ставить цель, нужно собрать базовые показатели.
Ошибка 2: недостижимость из-за отсутствия ресурсов
Цели часто ставятся в идеальных условиях, без учёта реальных ресурсов. Если у вас нет бюджета на новый инструмент или команды для его внедрения, цель по его внедрению недостижима. SMART требует честной оценки ресурсов перед постановкой цели.
Ошибка 3: неограниченность по времени
Цель «Внедрить систему мониторинга» без конкретного срока не имеет временных рамок и может растягиваться бесконечно. SMART требует указания точной даты или периода завершения.
Ошибка 4: отсутствие значимости для бизнеса или регулятора
Цель может быть конкретной и измеряемой, но не иметь значимости. Например, «Внедрить новую систему отчётности, которая сокращает время формирования отчётов на 10%». Если эта система не влияет на безопасность или соответствие требованиям, её значимость низка. Цели ИБ должны быть значимыми для защиты бизнеса и регуляторных требований.
Проверка SMART-целей на реалистичность
После формулировки цели её нужно проверить на реалистичность. Это не часть SMART, но обязательный этап. Проверка включает:
- Анализ ресурсов: бюджет, люди, время, инструменты.
- Анализ зависимостей: зависит цель от других проектов или внешних факторов?
- Анализ рисков реализации: что может помешать достижению цели?
- Проверка соответствия регуляторным требованиям: если цель не связана с ФСТЭК или 152-ФЗ, возможно, её стоит переформулировать или отложить.
Реалистичность проверяется через детальный план действий для каждой цели. Если план не может быть составлен из-за неопределённостей, цель нужно корректировать.
SMART и непрерывность: цели одного года как основа для следующего
SMART-цели на год не должны быть конечными. Их результаты и измерения становятся исходными данными для целей следующего года. Например, если ты достиг снижения инцидентов с почтой до 5 случаев, в следующем году можно ставить цель по дальнейшему снижению или по расширению контроля на другие каналы.
Это создаёт цикл непрерывного улучшения ИБ. Каждый год ты начинаете с исходных показателей, ставьте новые цели на основе достижений прошлого года и корректируете их по мере изменения рисков и регуляторных требований.
SMART превращает ИБ из реактивной деятельности в проактивное планирование с измеримыми результатами и цикличностью.
Как SMART меняет культуру ИБ внутри организации
Введение SMART-целей меняет не только планирование, но и культуру отдела ИБ и его взаимодействие с бизнесом. Когда цели измеримы и ограничены по времени, становится невозможно скрыть невыполнение. Это повышает ответственность и дисциплину.
Бизнес начинает понимать ИБ не как абстрактную функцию, а как набор конкретных проектов с бюджетами, сроками и результатами. Это улучшает диалог и увеличивает вероятность получения ресурсов.
Внутри отдела сотрудники получают ясные задачи с критериями успеха, что повышает мотивацию и эффективность. SMART делает ИБ более профессиональной и управляемой дисциплиной.
В условиях российского регуляторика, где требования становятся более детальными и обязательными, SMART, это инструмент превращения этих требований в рабочий план, который не только обеспечивает соответствие, но и реально улучшает защиту организации.