В рубрику "Защита информации и каналов связи" | К списку рубрик | К списку авторов | К списку публикаций
Практически любой вид деятельности, связанный с реализацией мероприятий по защите информации в организации, – это проект. Например, разработка системы защиты персональных данных, внедрение системы противодействия внутренним утечкам, внедрение средств защиты информации, установление режима коммерческой тайны – все они являются однократной, неповторяющейся деятельностью, обладающей уникальностью в рамках своей организации.
По мнению автора, при использовании проектного управления для реализации мероприятий по защите информации важно учитывать следующие моменты:
Методология классического проектного управления, применимая для большинства проектов в сфере информационной безопасности, предусматривает следующие группы процессов управления проектами:
Проектное управление в рамках проектного подхода включает комплекс мероприятий по планированию, организации, мониторингу и контролю, а также мотивации всех его участников с целью полного достижения целей проекта в заданный промежуток времени и в рамках выделенных ресурсов.
Методология классического проектного управления, применимая для большинства проектов в сфере информационной безопасности, предусматривает следующие группы процессов управления проектами:
Попробую проиллюстрировать применение методов проектного менеджмента для реализации мероприятий информационной безопасности на конкретном примере – внедрение в организации DLP-системы.
DLP (англ. Data Leak Prevention) представляет собой систему защиты конфиденциальных данных от внутренних угроз. Речь идет прежде всего о защите информации от утечек за периметр организации, а также контроле за поведением персонала на автоматизированных рабочих местах, обрабатывающих защищаемую информацию. Как правило, указанная система состоит из программных и аппаратных компонентов.
Предположим, что перед руководителем службы информационной безопасности стоит задача внедрения данной системы в организации. Задача взята из практики автора. Попробуем посмотреть на нее с точки зрения управления проектами.
Очевидно, что указанная задача представляет собой однократный (неповторяющийся) комплекс мероприятий, при реализации которого человеческие, финансовые и материальные ресурсы организованы для ее выполнения. Таким образом, внедрение DLP-системы в организации – это проект.
Для реализации данного проекта "рисуем" проектный треугольник:
В процессе инициации данного проекта проводится анализ угроз безопасности и информационных ресурсов организации, определяется актуальность защиты от внутренних утечек и целесообразность внедрения DLP-системы, в том числе производится оценка возврата на инвестиции в проект, так называемый ROI (Return on Investment).
В области безопасности коэффициент возврата инвестиций (ROI) зависит в первую очередь от стоимости потерь: утечки информации, стоимости похищенных материальных ценностей, поврежденного оборудования и т.п. Поэтому расчет ROI при любом проекте в сфере информационной безопасности будет проводиться по формуле: ROI = (уменьшение среднегодовых потерь (риска) – стоимость защитных мер)/стоимость защитных мер1.
ROI показывает, во сколько раз величина потенциального ущерба (риска) превышает расходы на его предотвращение. Возможные значения ROI2:
Расчет ROI важен для обоснования необходимости и целесообразности внедрения DLP-системы.
Завершением процесса инициации проекта является принятие решения о необходимости внедрения DLP-системы.
Процесс планирования включает в себя подготовку иерархической структуры работ, так называемую WBS (Work Breakdown Structure), идентификацию и оценку рисков, а также создание проектной команды.
Применительно к проекту внедрения DLP-системы WBS может быть представлена следующим образом – табл. 1.
Реестр рисков можно представить в виде следующей структуры (табл. 2). Приведен перечень основных рисков, в зависимости от конкретного проекта перечень рисков может меняться.
В рамках проекта должна быть создана проектная команда в составе следующих лиц:
Данный процесс завершается утверждением иерархической структуры работ и реестра рисков, формированием команды проекта.
Состав проектной команды:
Процессы выполнения и контроля заключаются в реализации утвержденного плана работ и контроля указанного процесса. Процесс реализации проекта необходимо контролировать. В качестве инструмента для контроля можно использовать диаграмму Ганта (используется также и в процессах планирования), позволяющую наглядно представлять сроки этапов проекта и визуализировать их исполнение (рис. 1).
По завершении этапа реализации проекта проводится анализ, подготавливается отчет, организуются необходимые для перехода к процессу эксплуатации DLP-системы мероприятия.
Процесс завершения проекта внедрения DLP-системы включает в себя следующие подпроцессы:
Таким образом, рассмотренный в данной статье пример показывает, что методологию проектного управления можно эффективно использовать для реализации мероприятий, направленных на обеспечение информационной безопасности организации, в том числе и при внедрении DLP-систем.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2018