Применение методов проектного управления при внедрении DLP системы

Дата: 13.11.2018
Samatov Автор: Константин Саматов, руководитель направления Аналитического центра УЦСБ

Самое слабое звено в информационной безопасности организации – это персонал. Мировая и отечественная статистика свидетельствует о том, что значительный процент утечек информации происходит от т.н. «инсайдеров» – работников организации. В настоящее время, на рынке информационной безопасности существует множество производителей систем класса DLP, позволяющих осуществлять контроль над коммуникациями работников и предотвращать утечку информации за периметр организации. Как правильно выбрать и внедрить DLP систему в организации будет рассказано в данной статье.

Управление проектами в сфере информационной безопасности

Практически любой вид деятельности связанный с реализацией мероприятий по защите информации в организации – это проект. Например, разработка системы защиты персональных данных, внедрение системы противодействия внутренним утечкам, внедрение средств защиты информации, установление режима коммерческой тайны, все они являются однократной, не повторяющейся деятельностью, обладающей уникальностью в рамках своей организации.

По мнению автора, при использовании проектного управления для реализации мероприятий по защите информации, важно учитывать следующие моменты:

  • с точки зрения управления, любой проект представляет собой треугольник, в котором сбалансированы цель (результат), время и ресурсы (деньги);
  • целью любого мероприятия по защите информации является обеспечение конфиденциальности, целостности и доступности обрабатываемой информации;
  • время и ресурсы зависят от конкретных проектов.

Проектное управление в рамках проектного подхода включает комплекс мероприятий по планированию, организации, мониторингу и контролю, а также мотивации всех его участников с целью полного достижения целей проекта в заданный промежуток времени и в рамках выделенных ресурсов.

Методология классического проектного управления, применимая для большинства проектов в сфере информационной безопасности предусматривает следующие группы процессов управления проектами:

  • процессы инициации – процессы формального признания необходимости выполнения проекта;
  • процессы планирования – определение и уточнение целей проекта и наилучшего пути их достижения;
  • процессы выполнения – координация человеческих и других ресурсов для выполнения плана;
  • процессы контроля – регулярное измерение параметров проекта, идентификация возникающих отклонений и принятие решений о необходимости применения корректирующих действий;
  • процессы завершения – процессы приемки окончательных результатов и официального закрытия проекта.

Попробую проиллюстрировать применение методов проектного менеджмента для реализации мероприятий информационной безопасности на конкретном примере – внедрение в организации DLP системы.

Проект внедрения DLP системы в организации

DLP (англ. Data Leak Prevention) представляет собой систему защиты конфиденциальных данных от внутренних угроз. Речь идет, прежде всего, о защите информации от утечек за периметр организации, а также контроле за поведением персонала на автоматизированных рабочих местах, обрабатывающих защищаемую информацию. Как правило, указанная система состоит из программных и аппаратных компонентов.

Предположим, что перед руководителем службы информационной безопасности стоит задача по внедрению данной системы в организации. Задача взята из практики автора. Попробуем посмотреть на нее с точки зрения управления проектами.

Очевидно, что указанная задача представляет собой однократный (не повторяющийся) комплекс мероприятий, при реализации которого человеческие, финансовые и материальные ресурсы организованы для ее выполнения. Таким образом, внедрение DLP системы в организации – это проект.

Для реализации данного проекта «рисуем» проектный треугольник:

  • Цель – внедрение в организации системы защиты конфиденциальных данных от внутренних угроз.
  • Время – определяем временной промежуток, необходимый для реализаций указанной цели (например, один год).
  • Ресурсы: бюджет на закупку системы (например, 3 млн. рублей).

В процессе инициации данного проекта проводится анализ угроз безопасности и информационных ресурсов организации, определяется актуальность защиты от внутренних утечек и целесообразность внедрения DLP системы, в том числе производиться оценка возврата на инвестиции в проект, т.н. «ROI» (Return on investment).

В области безопасности коэффициент возврата инвестиций (ROI) зависит в первую очередь от стоимости потерь: утечка информации, стоимость похищенных материальных ценностей, поврежденного оборудования и т.п. Поэтому, расчет ROI при любом проекте в сфере информационной безопасности будет проводиться по формуле: ROI = (Уменьшение среднегодовых потерь (риска) – стоимость защитных мер) / стоимость защитных мер1.

ROI показывает, во сколько раз величина потенциального ущерба (риска) превышает расходы на его предотвращение. Возможные значения ROI2:

  • ROI = 0, сколько вложили, столько и съэкономили (ничего не выиграли и не потеряли);
  • ROI < 0, стоимость защиты превышает потенциальный ущерб (зря потрачены деньги и время);
  • 0 < ROI < 1, с учетом большой неопределенности измерений, какая либо польза не очевидна.
  • ROI = 1, получаем 100% экономию на вложенные средства.
  • ROI > 1, ожидаемое сокращение потерь на порядок превышает затраты.

Расчет ROI важен для обоснования необходимости и целесообразности внедрения DLP системы.

Завершением процесса инициации проекта является принятие решения о необходимости внедрения DLP системы.

Процесс планирования включает в себя подготовку иерархической структуры работ, т.н. «WBS» (Work Breakdown Structure), идентификацию и оценку рисков, а также создание проектной команды.

Применительно к проекту внедрения DLP системы, WBS может быть представлена следующим образом – таблица 1.

Таблица 1. Иерархическая структура работ

Стадия

Этап/содержание работ

Результаты работ

Исполнители работ

Срок (рабочих дней3)

Этап 1 – Проектно-изыскательские работы

Обследование

Обследование объекта автоматизации, сбор исходных данных

Отчет об обследовании

Проектная организация

14

Техническое задание

Разработка и утверждение технического задания на создание Системы

Техническое задание

Проектная организация

7

Технический проект

Разработка проектной документации на создание Системы

Технический проект, разработанный в соответствии с заданием на проектирование, в составе:

  • ведомость технического проекта;
  • пояснительная записка к техническому проекту;
  • схема структурная комплекса технических средств;
  • схема функциональной структуры;
  • схема (таблица) соединений и подключений.

Проектная организация

14

Этап 2 – Строительно-монтажные и пуско-наладочные работы

Ввод в действие

Комплектация Системы поставляемыми изделиями

Акт приемки-передачи оборудования в монтаж

Поставщик оборудования

30

Строительно-монтажные работы

Акт завершения строительно-монтажных работ

Подрядная организация

10

Разработка документации, необходимой для ввода Системы в действие

Документация, необходимая для ввода в действие в составе:

  • План пуско-наладочных работ.
  • Программа и методика испытаний.

Подрядная организация

10

Пуско-наладочные работы в соответствии с планом пуско-наладочных работ

Завершены пуско-наладочные работы. Система

готова к предварительным испытаниям

Подрядная организация

7

Разработка эксплуатационной документации

Эксплуатационная документация в составе:

  • Инструкция Администратора Системы;
  • Инструкция Администратора ИБ Системы;
  • Инструкция по эксплуатации Системы;
  • Паспорт Системы

Подрядная организация

14

Проведение предварительных испытаний

Протокол предварительных испытаний.

Акт перевода Системы в опытную эксплуатацию

Подрядная организация

Заказчик

5

Опытная эксплуатация Системы в соответствии с программой опытной эксплуатации

Рабочий журнал опытной эксплуатации.

Акт завершения опытной эксплуатации Системы

Подрядная организация

Заказчик

14

Проведение приемочных испытаний

Протокол приемочных испытаний Системы.

Акт о приемке Системы в постоянную эксплуатацию

Подрядная организация

Заказчик

7

_____________________________________________________
В данном случае стоимость покупки и владения DLP системой.
2 Астахов А. Есть решение. Как рассчитать окупаемость DLP-системы? // Директор по безопасности. Февраль 2017. С. 46 – 55.
Приведен усредненный показатель. 

Реестр рисков можно представить в виде следующей структуры (таблица 2). Приведен перечень основных рисков, в зависимости от конкретного проекта перечень рисков может меняться.

Таблица 2. Реестр проектных рисков

п/п 

Наименование риска

Ожидаемые последствия

Мероприятия по реагированию

Вероятность наступления

Уровень влияния на проект

1.

Внешний риск

Задержка поставки DLP системы, выполнения работ или оказания услуг 

Контроль за своевременным внесение закупки в планы, проведением торгов, заключением договоров и их оплатой

Низкая

Средний

2.

Организационные риски

Недостаток финансирования (ошибки в первоначальных расчетах)

Переговоры с поставщиком (производителем) по снижению цен, переговоры с руководителем (инвестором) о выделении дополнительного финансирования

Средняя

Высокий

Недостаточная квалификация работников задействованных в проекте

Обучение (в т.ч. собственными силами).

Низкая

Низкий

3.

Риски управления проектом

Ошибки планирования

Контроль исполнения. Корректировка планов.

Низкая

Средний

Недостаточный контроль

Мониторинг, корректировка требований

Низкая

Средний

Проблемы в коммуникациях с подрядчиками, исполнителями

Выделение из проектной группы наиболее квалифицированных коммуникаторов (переговорщиков).

Средняя

Высокий

Проблемы в коммуникациях с другими структурными подразделениями, сопротивление изменениям

Проведение мероприятий по подготовке персонала к внедрению DLP системы (корректировка инструкций, подготовка обязательств о неразглашении информации и т.п.), задействование административного ресурса (власть руководителя организации).

Высокая

Средний

4.

Технические риски

Сложность внедрения

Проведение обучения сотрудников задействованных в проекте (администраторов DLP системы).

Средняя

Средний

Конфликт внедряемых решений с имеющейся ИТ инфраструктурой 

Проведение аудита ИТ инфраструктуры, выявление возможных проблемных мест, проработка решений.

Средняя

Высокий

В рамках проекта должна быть создана проектная команда в составе следующих ролей:

  • Руководитель проекта  отвечает за организационные вопросы реализации проекта, координирует взаимодействие в команде проекта и с внешними организациями, обеспечивает соответствие выполняемых работ требованиям проектной и нормативной документации, контролирует сроки выполнения проекта.
  • Куратор (координатор) проекта – назначается из тор-менеджмента компании, обеспечивает контроль общего хода выполнения проекта и решение вопросов, выходящих за пределы компетенции остальных членов проектной команды, в том числе разрешение конфликтных ситуаций.
  • Инженер проекта  отвечает за качество технической части проекта, координирует работу команды исполнителей.
  • Основной персонал проекта  специалисты, непосредственно исполняющие задачи проекта и осуществляющие контроль качества его результатов.
  • Вспомогательный персонал проекта  специалисты, выполняющие одну или несколько не основных (вспомогательных) функций и задач в проекте.

Данный процесс завершается утверждением иерархической структуры работ и реестра рисков, формированием команды проекта.

Процессы выполнения и контроля заключаются в реализации утвержденного плана работ и контроля указанного процесса. Процесс реализации проекта необходимо контролировать. В качестве инструмента для контроля можно использовать диаграмму Ганта (используется также и в процессах планирования) позволяющую наглядно представлять сроки этапов проекта и визуализировать их исполнение (рисунок 1).

 

Рисунок 1. Пример диаграммы Ганта

По завершении этапа реализации проекта проводится анализ, подготавливается отчет, организуются необходимые для перехода к процессу эксплуатации DLP системы мероприятия.

Процесс завершения проекта внедрения DLP системы включает в себя следующие подпроцессы:

  • закрытие (завершение) контрактов – данный подпроцесс может считаться завершенным только в том случае, если произведены окончательные расчеты и решены все возникшие в ходе исполнения контрактов спорные моменты;
  • внесены все необходимые для легитимации (узаконивания) DLP системы изменения в организационно-распорядительные документы, работники ознакомлены с ними под подпись;
  • проведено закрывающее совещание – все участники проекта подтвердили полное выполнение работ и его окончание.

Таким образом, рассмотренный в данной статье пример показывает, что методологию проектного управления можно эффективно использовать для реализации мероприятий, направленных на обеспечение информационной безопасности организации, в том числе и при внедрении DLP систем.

Сведения об авторе: Саматов Константин Михайлович, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова.

Источник: http://itsec.ru/imag/insec-5-2018/38