Найти в Дзене
АРСИБ
857 подписчиков

ПРИМЕНЕНИЕ МЕТОДОВ ПРОЕКТНОГО УПРАВЛЕНИЯ ПРИ ВНЕДРЕНИИ DLP СИСТЕМ

35
7 мин
Самое слабое звено в информационной безопасности организации – это персонал. Мировая и отечественная статистика свидетельствует о том, что значительный процент утечек информации происходит от т.н. «инсайдеров» - работников организации. В настоящее время, на рынке информационной безопасности существует множество производителей систем класса DLP, позволяющих осуществлять контроль над коммуникациями работников и предотвращать утечку информации за периметр организации. Как правильно выбрать и внедрить DLP систему в организации будет рассказано в данной статье. Управление проектами в сфере информационной безопасности Практически любой вид деятельности связанный с реализацией мероприятий по защите информации в организации - это проект. Например, разработка системы защиты персональных данных, внедрение системы противодействия внутренним утечкам, внедрение средств защиты информации, установление режима коммерческой тайны, все они являются однократной, не повторяющейся деятельностью, обладающей

Самое слабое звено в информационной безопасности организации – это персонал. Мировая и отечественная статистика свидетельствует о том, что значительный процент утечек информации происходит от т.н. «инсайдеров» - работников организации. В настоящее время, на рынке информационной безопасности существует множество производителей систем класса DLP, позволяющих осуществлять контроль над коммуникациями работников и предотвращать утечку информации за периметр организации. Как правильно выбрать и внедрить DLP систему в организации будет рассказано в данной статье.

Управление проектами в сфере информационной безопасности

Практически любой вид деятельности связанный с реализацией мероприятий по защите информации в организации - это проект. Например, разработка системы защиты персональных данных, внедрение системы противодействия внутренним утечкам, внедрение средств защиты информации, установление режима коммерческой тайны, все они являются однократной, не повторяющейся деятельностью, обладающей уникальностью в рамках своей организации.

По мнению автора, при использовании проектного управления для реализации мероприятий по защите информации, важно учитывать следующие моменты:

  • с точки зрения управления, любой проект представляет собой треугольник, в котором сбалансированы цель (результат), время и ресурсы (деньги);
  • целью любого мероприятия по защите информации является обеспечение конфиденциальности, целостности и доступности обрабатываемой информации;
  • время и ресурсы зависят от конкретных проектов.

Проектное управление в рамках проектного подхода включает комплекс мероприятий по планированию, организации, мониторингу и контролю, а также мотивации всех его участников с целью полного достижения целей проекта в заданный промежуток времени и в рамках выделенных ресурсов.

Методология классического проектного управления, применимая для большинства проектов в сфере информационной безопасности предусматривает следующие группы процессов управления проектами:

  • процессы инициации – процессы формального признания необходимости выполнения проекта;
  • процессы планирования – определение и уточнение целей проекта и наилучшего пути их достижения;
  • процессы выполнения – координация человеческих и других ресурсов для выполнения плана;
  • процессы контроля – регулярное измерение параметров проекта, идентификация возникающих отклонений и принятие решений о необходимости применения корректирующих действий;
  • процессы завершения – процессы приемки окончательных результатов и официального закрытия проекта.

Попробую проиллюстрировать применение методов проектного менеджмента для реализации мероприятий информационной безопасности на конкретном примере – внедрение в организации DLP системы.

Проект внедрения DLP системы в организации

DLP (англ. Data Leak Prevention) представляет собой систему защиты конфиденциальных данных от внутренних угроз. Речь идет, прежде всего, о защите информации от утечек за периметр организации, а также контроле за поведением персонала на автоматизированных рабочих местах, обрабатывающих защищаемую информацию. Как правило, указанная система состоит из программных и аппаратных компонентов.

Предположим, что перед руководителем службы информационной безопасности стоит задача по внедрению данной системы в организации. Задача взята из практики автора. Попробуем посмотреть на нее с точки зрения управления проектами.

Очевидно, что указанная задача представляет собой однократный (не повторяющийся) комплекс мероприятий, при реализации которого человеческие, финансовые и материальные ресурсы организованы для ее выполнения. Таким образом, внедрение DLP системы в организации – это проект.

Для реализации данного проекта «рисуем» проектный треугольник:

  • Цель – внедрение в организации системы защиты конфиденциальных данных от внутренних угроз.
  • Время – определяем временной промежуток, необходимый для реализаций указанной цели (например, один год).
  • Ресурсы: бюджет на закупку системы (например, 3 млн. рублей).

В процессе инициации данного проекта проводится анализ угроз безопасности и информационных ресурсов организации, определяется актуальность защиты от внутренних утечек и целесообразность внедрения DLP системы, в том числе производиться оценка возврата на инвестиции в проект, т.н. «ROI» (Return on investment).

В области безопасности коэффициент возврата инвестиций (ROI) зависит в первую очередь от стоимости потерь: утечка информации, стоимость похищенных материальных ценностей, поврежденного оборудования и т.п. Поэтому, расчет ROI при любом проекте в сфере информационной безопасности будет проводиться по формуле: ROI = (Уменьшение среднегодовых потерь (риска) – стоимость защитных мер) / стоимость защитных мер.

ROI показывает, во сколько раз величина потенциального ущерба (риска) превышает расходы на его предотвращение. Возможные значения ROI:

  • ROI = 0, сколько вложили, столько и съэкономили (ничего не выиграли и не потеряли);
  • ROI < 0, стоимость защиты превышает потенциальный ущерб (зря потрачены деньги и время);
  • 0 < ROI < 1, с учетом большой неопределенности измерений, какая либо польза не очевидна.
  • ROI = 1, получаем 100% экономию на вложенные средства.
  • ROI > 1, ожидаемое сокращение потерь на порядок превышает затраты.

Расчет ROI важен для обоснования необходимости и целесообразности внедрения DLPсистемы.

Завершением процесса инициации проекта является принятие решения о необходимости внедрения DLP системы.

Процесс планирования включает в себя подготовку иерархической структуры работ, т.н. «WBS» (Work Breakdown Structure), идентификацию и оценку рисков, а также создание проектной команды.

Применительно к проекту внедрения DLP системы, WBS может быть представлена следующим образом – таблица 1.

Таблица 1. Иерархическая структура работ

-2
-3

Реестр рисков можно представить в виде следующей структуры (таблица 2). Приведен перечень основных рисков, в зависимости от конкретного проекта перечень рисков может меняться.

Таблица 2. Реестр проектных рисков

-4
-5

В рамках проекта должна быть создана проектная команда в составе следующих ролей:

  • Руководитель проекта - отвечает за организационные вопросы реализации проекта, координирует взаимодействие в команде проекта и с внешними организациями, обеспечивает соответствие выполняемых работ требованиям проектной и нормативной документации, контролирует сроки выполнения проекта.
  • Куратор (координатор) проекта – назначается из тор-менеджмента компании, обеспечивает контроль общего хода выполнения проекта и решение вопросов, выходящих за пределы компетенции остальных членов проектной команды, в том числе разрешение конфликтных ситуаций.
  • Инженер проекта - отвечает за качество технической части проекта, координирует работу команды исполнителей.
  • Основной персонал проекта - специалисты, непосредственно исполняющие задачи проекта и осуществляющие контроль качества его результатов.
  • Вспомогательный персонал проекта - специалисты, выполняющие одну или несколько не основных (вспомогательных) функций и задач в проекте.

Данный процесс завершается утверждением иерархической структуры работ и реестра рисков, формированием команды проекта.

Процессы выполнения и контроля заключаются в реализации утвержденного плана работ и контроля указанного процесса. Процесс реализации проекта необходимо контролировать. В качестве инструмента для контроля можно использовать диаграмму Ганта (используется также и в процессах планирования) позволяющую наглядно представлять сроки этапов проекта и визуализировать их исполнение (рисунок 1).

-6

Рисунок 1. Пример диаграммы Ганта

По завершении этапа реализации проекта проводится анализ, подготавливается отчет, организуются необходимые для перехода к процессу эксплуатации DLP системы мероприятия.

Процесс завершения проекта внедрения DLP системы включает в себя следующие подпроцессы:

  • закрытие (завершение) контрактов – данный подпроцесс может считаться завершенным только в том случае, если произведены окончательные расчеты и решены все возникшие в ходе исполнения контрактов спорные моменты;
  • внесены все необходимые для легитимации (узаконивания) DLP системы изменения в организационно-распорядительные документы, работники ознакомлены с ними под подпись;
  • проведено закрывающее совещание – все участники проекта подтвердили полное выполнение работ и его окончание.

Таким образом, рассмотренный в данной статье пример показывает, что методологию проектного управления можно эффективно использовать для реализации мероприятий, направленных на обеспечение информационной безопасности организации, в том числе и при внедрении DLP систем.

Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.

-7

Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!

Бизнес и финансы
1,13 млн интересуются