Контакты
Подписка
МЕНЮ
Контакты
Подписка

Применение методов проектного управления при внедрении DLP-систем

Применение методов проектного управления при внедрении DLP-систем

В рубрику "Защита информации и каналов связи" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Применение методов проектного управления при внедрении DLP-систем

Самое слабое звено в информационной безопасности организации – это персонал. Мировая и отечественная статистика свидетельствует о том, что значительный процент утечек информации происходит от так называемых инсайдеров – работников организации. В настоящее время на рынке информационной безопасности существует множество производителей систем класса DLP, позволяющих осуществлять контроль над коммуникациями работников и предотвращать утечку информации за периметр организации. Как правильно выбрать и внедрить DLP-систему в организации, будет рассказано в данной статье.
Константин Саматов
Руководитель направления в Аналитическом центре
Уральского центра систем безопасности, член Ассоциации
руководителей служб информационной безопасности,
преподаватель дисциплин информационной безопасности в
УрГЭУ и УРТК им. А.С. Попова.

Управление проектами в сфере информационной безопасности

Практически любой вид деятельности, связанный с реализацией мероприятий по защите информации в организации, – это проект. Например, разработка системы защиты персональных данных, внедрение системы противодействия внутренним утечкам, внедрение средств защиты информации, установление режима коммерческой тайны – все они являются однократной, неповторяющейся деятельностью, обладающей уникальностью в рамках своей организации.


По мнению автора, при использовании проектного управления для реализации мероприятий по защите информации важно учитывать следующие моменты:

  • с точки зрения управления любой проект представляет собой треугольник, в котором сбалансированы цель (результат), время и ресурсы (деньги);
  • целью любого мероприятия по защите информации является обеспечение конфиденциальности, целостности и доступности обрабатываемой информации;
  • время и ресурсы зависят от конкретных проектов.

Методология классического проектного управления, применимая для большинства проектов в сфере информационной безопасности, предусматривает следующие группы процессов управления проектами:

  • инициация;
  • планирование;
  • выполнение (координация человеческих и других ресурсов для выполнения плана);
  • контроль;
  • завершение (процесс приемки окончательных результатов и официального закрытия проекта).

Проектное управление в рамках проектного подхода включает комплекс мероприятий по планированию, организации, мониторингу и контролю, а также мотивации всех его участников с целью полного достижения целей проекта в заданный промежуток времени и в рамках выделенных ресурсов.

Методология классического проектного управления, применимая для большинства проектов в сфере информационной безопасности, предусматривает следующие группы процессов управления проектами:

  • процессы инициации – процессы формального признания необходимости выполнения проекта;
  • процессы планирования – определение и уточнение целей проекта и наилучшего пути их достижения;
  • процессы выполнения – координация человеческих и других ресурсов для выполнения плана;
  • процессы контроля – регулярное измерение параметров проекта, идентификация возникающих отклонений и принятие решений о необходимости применения корректирующих действий;
  • процессы завершения – процессы приемки окончательных результатов и официального закрытия проекта.

Попробую проиллюстрировать применение методов проектного менеджмента для реализации мероприятий информационной безопасности на конкретном примере – внедрение в организации DLP-системы.

Проект внедрения DLP-системы в организации

DLP (англ. Data Leak Prevention) представляет собой систему защиты конфиденциальных данных от внутренних угроз. Речь идет прежде всего о защите информации от утечек за периметр организации, а также контроле за поведением персонала на автоматизированных рабочих местах, обрабатывающих защищаемую информацию. Как правило, указанная система состоит из программных и аппаратных компонентов.

Предположим, что перед руководителем службы информационной безопасности стоит задача внедрения данной системы в организации. Задача взята из практики автора. Попробуем посмотреть на нее с точки зрения управления проектами.


Очевидно, что указанная задача представляет собой однократный (неповторяющийся) комплекс мероприятий, при реализации которого человеческие, финансовые и материальные ресурсы организованы для ее выполнения. Таким образом, внедрение DLP-системы в организации – это проект.

Для реализации данного проекта "рисуем" проектный треугольник:

  • цель – внедрение в организации системы защиты конфиденциальных данных от внутренних угроз;
  • время – определяем временной промежуток, необходимый для реализации указанной цели (например, один год);
  • ресурсы: бюджет на закупку системы (например, 3 млн руб.).

В процессе инициации данного проекта проводится анализ угроз безопасности и информационных ресурсов организации, определяется актуальность защиты от внутренних утечек и целесообразность внедрения DLP-системы, в том числе производится оценка возврата на инвестиции в проект, так называемый ROI (Return on Investment).

В области безопасности коэффициент возврата инвестиций (ROI) зависит в первую очередь от стоимости потерь: утечки информации, стоимости похищенных материальных ценностей, поврежденного оборудования и т.п. Поэтому расчет ROI при любом проекте в сфере информационной безопасности будет проводиться по формуле: ROI = (уменьшение среднегодовых потерь (риска) – стоимость защитных мер)/стоимость защитных мер1.

В области безопасности коэффициент возврата инвестиций (ROI) зависит в первую очередь от стоимости потерь: утечки информации, стоимости похищенных материальных ценностей, поврежденного оборудования и т.п. Поэтому расчет ROI при любом проекте в сфере информационной безопасности будет проводиться по формуле: ROI = (уменьшение среднегодовых потерь (риска) – стоимость защитных мер)/стоимость защитных мер1.

ROI показывает, во сколько раз величина потенциального ущерба (риска) превышает расходы на его предотвращение. Возможные значения ROI2:

  • ROI = 0, сколько вложили, столько и сэкономили (ничего не выиграли и не потеряли);
  • ROI < 0, стоимость защиты превышает потенциальный ущерб (зря потрачены деньги и время);
  • 0 < ROI < 1, с учетом большой неопределенности измерений какая-либо польза не очевидна;
  • ROI = 1, получаем 100% экономию на вложенные средства;
  • ROI > 1, ожидаемое сокращение потерь на порядок превышает затраты.

Расчет ROI важен для обоснования необходимости и целесообразности внедрения DLP-системы.

Завершением процесса инициации проекта является принятие решения о необходимости внедрения DLP-системы.

Процесс планирования включает в себя подготовку иерархической структуры работ, так называемую WBS (Work Breakdown Structure), идентификацию и оценку рисков, а также создание проектной команды.

Применительно к проекту внедрения DLP-системы WBS может быть представлена следующим образом – табл. 1.


Реестр рисков можно представить в виде следующей структуры (табл. 2). Приведен перечень основных рисков, в зависимости от конкретного проекта перечень рисков может меняться.


В рамках проекта должна быть создана проектная команда в составе следующих лиц:

  • руководитель проекта – отвечает за организационные вопросы реализации проекта, координирует взаимодействие в команде проекта и с внешними организациями, обеспечивает соответствие выполняемых работ требованиям проектной и нормативной документации, контролирует сроки выполнения проекта;
  • куратор (координатор) проекта – назначается из топ-менеджмента компании, обеспечивает контроль общего хода выполнения проекта и решение вопросов, выходящих за пределы компетенции остальных членов проектной команды, в том числе разрешение конфликтных ситуаций;
  • инженер проекта – отвечает за качество технической части проекта, координирует работу команды исполнителей;
  • основной персонал проекта – специалисты, непосредственно исполняющие задачи проекта и осуществляющие контроль качества его результатов;
  • вспомогательный персонал проекта – специалисты, выполняющие одну или несколько неосновных (вспомогательных) функций и задач в проекте.

Данный процесс завершается утверждением иерархической структуры работ и реестра рисков, формированием команды проекта.

Состав проектной команды:

  • руководитель проекта ;
  • куратор (координатор) проекта;
  • инженер проекта;
  • основной персонал проекта;
  • вспомогательный персонал проекта.

Процессы выполнения и контроля заключаются в реализации утвержденного плана работ и контроля указанного процесса. Процесс реализации проекта необходимо контролировать. В качестве инструмента для контроля можно использовать диаграмму Ганта (используется также и в процессах планирования), позволяющую наглядно представлять сроки этапов проекта и визуализировать их исполнение (рис. 1).


По завершении этапа реализации проекта проводится анализ, подготавливается отчет, организуются необходимые для перехода к процессу эксплуатации DLP-системы мероприятия.

Процесс завершения проекта внедрения DLP-системы включает в себя следующие подпроцессы:

  • закрытие (завершение) контрактов – данный подпроцесс может считаться завершенным только в том случае, если произведены окончательные расчеты и решены все возникшие в ходе исполнения контрактов спорные моменты;
  • внесены все необходимые для легитимации (узаконивания) DLP-системы изменения в организационно-распорядительные документы, работники ознакомлены с ними под подпись; l проведено закрывающее совещание – все участники проекта подтвердили полное выполнение работ и его окончание.

Таким образом, рассмотренный в данной статье пример показывает, что методологию проектного управления можно эффективно использовать для реализации мероприятий, направленных на обеспечение информационной безопасности организации, в том числе и при внедрении DLP-систем.

___________________________________________
1 В данном случае стоимость покупки и владения DLP-системой.
2 Астахов А. Есть решение. Как рассчитать окупаемость DLP-системы? // Директор по безопасности. – 2017. – Февраль. – С. 46–55.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2018
Посещений: 2141

Приобрести этот номер или подписаться
  Автор

Константин Саматов

Константин Саматов

Руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова

Всего статей:  23

В рубрику "Защита информации и каналов связи" | К списку рубрик  |  К списку авторов  |  К списку публикаций