Журнал "Information Security/ Информационная безопасность" #5, 2018

Методология классиче- ского проектного управле- ния, применимая для боль- шинства проектов в сфере информационной безопас- ности, предусматривает сле- дующие группы процессов управления проектами: l инициация; l планирование; l выполнение (координация человеческих и других ресурсов для выполнения плана); l контроль; l завершение (процесс при- емки окончательных резуль- татов и официального закрытия проекта). Управление проектами в сфере информационной безопасности Практически любой вид дея- тельности, связанный с реали- зацией мероприятий по защите информации в организации, – это проект. Например, разра- ботка системы защиты персо- нальных данных, внедрение системы противодействия внут- ренним утечкам, внедрение средств защиты информации, установление режима коммер- ческой тайны – все они являют- ся однократной, неповторяю- щейся деятельностью, обладаю- щей уникальностью в рамках своей организации. По мнению автора, при использовании проектного управления для реализации мероприятий по защите инфор- мации важно учитывать сле- дующие моменты: l с точки зрения управления любой проект представляет собой треугольник, в котором сбалансированы цель (резуль- тат), время и ресурсы (деньги); l целью любого мероприятия по защите информации являет- ся обеспечение конфиденци- альности, целостности и доступ- ности обрабатываемой инфор- мации; l время и ресурсы зависят от конкретных проектов. Проектное управление в рам- ках проектного подхода вклю- чает комплекс мероприятий по планированию, организации, мониторингу и контролю, а также мотивации всех его участ- ников с целью полного дости- жения целей проекта в задан- ный промежуток времени и в рамках выделенных ресурсов. Методология классического проектного управления, приме- нимая для большинства про- ектов в сфере информационной безопасности, предусматривает следующие группы процессов управления проектами: l процессы инициации – про- цессы формального признания необходимости выполнения проекта; l процессы планирования – определение и уточнение целей проекта и наилучшего пути их достижения; l процессы выполнения – коор- динация человеческих и других ресурсов для выполнения плана; l процессы контроля – регу- лярное измерение параметров проекта, идентификация возни- кающих отклонений и принятие решений о необходимости при- менения корректирующих дей- ствий; l процессы завершения – про- цессы приемки окончательных результатов и официального закрытия проекта. Попробую проиллюстрировать применение методов проектного менеджмента для реализации мероприятий информационной безопасности на конкретном примере – внедрение в органи- зации DLP-системы. Проект внедрения DLP- системы в организации DLP (англ. Data Leak Preven- tion) представляет собой систему защиты конфиденциальных дан- ных от внутренних угроз. Речь идет прежде всего о защите информации от утечек за пери- метр организации, а также конт- роле за поведением персонала на автоматизированных рабочих местах, обрабатывающих защи- щаемую информацию. Как пра- вило, указанная система состоит из программных и аппаратных компонентов. Предположим, что перед руководителем службы инфор- мационной безопасности стоит 36 • ТЕХНОЛОГИИ Применение методов проектного управления при внедрении DLP-систем амое слабое звено в информационной безопасности организации – это персонал. Мировая и отечественная статистика свидетельствует о том, что значительный процент утечек информации происходит от так называемых инсайдеров – работников организации. В настоящее время на рынке информационной безопасности существует множество производителей систем класса DLP, позволяющих осуществлять контроль над коммуникациями работников и предотвращать утечку информации за периметр организации. Как правильно выбрать и внедрить DLP- систему в организации, будет рассказано в данной статье. С Константин Саматов, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова. Рис. 1. Пример диаграммы Ганта