Журнал "Information Security/ Информационная безопасность" #5, 2018

В области безопасности коэффициент возврата инвестиций (ROI) зависит в первую очередь от стоимо- сти потерь: утечки информа- ции, стоимости похищенных материальных ценностей, поврежденного оборудова- ния и т.п. Поэтому расчет ROI при любом проекте в сфере информационной безопасности будет прово- диться по формуле: ROI = (уменьшение среднегодовых потерь (риска) – стоимость защитных мер)/стоимость защитных мер 1 . задача внедрения данной систе- мы в организации. Задача взята из практики автора. Попробуем посмотреть на нее с точки зре- ния управления проектами. Очевидно, что указанная задача представляет собой однократный (неповторяющий- ся) комплекс мероприятий, при реализации которого человече- ские, финансовые и матери- альные ресурсы организованы для ее выполнения. Таким обра- зом, внедрение DLP-системы в организации – это проект. Для реализации данного про- екта "рисуем" проектный тре- угольник: l цель – внедрение в органи- зации системы защиты конфи- денциальных данных от внут- ренних угроз; l время – определяем времен- ной промежуток, необходимый для реализации указанной цели (например, один год); l ресурсы: бюджет на закупку системы (например, 3 млн руб.). В процессе инициации дан- ного проекта проводится анализ угроз безопасности и инфор- мационных ресурсов организа- ции, определяется актуальность защиты от внутренних утечек и целесообразность внедрения DLP-системы, в том числе про- изводится оценка возврата на инвестиции в проект, так назы- ваемый ROI (Return on Invest- ment). В области безопасности коэффициент возврата инве- стиций (ROI) зависит в первую очередь от стоимости потерь: утечки информации, стоимости похищенных материальных цен- ностей, поврежденного обору- дования и т.п. Поэтому расчет ROI при любом проекте в сфере информационной безопасности будет проводиться по формуле: ROI = (уменьшение среднего- довых потерь (риска) – стои- мость защитных мер)/стоимость защитных мер 1 . ROI показывает, во сколько раз величина потенциального ущерба (риска) превышает рас- ходы на его предотвращение. Возможные значения ROI 2 : l ROI = 0, сколько вложили, столько и сэкономили (ничего не выиграли и не потеряли); l ROI < 0, стоимость защиты превышает потенциальный ущерб (зря потрачены деньги и время); l 0 < ROI < 1, с учетом большой неопределенности измерений какая-либо польза не очевидна; l ROI = 1, получаем 100% эко- номию на вложенные средства; l ROI > 1, ожидаемое сокра- щение потерь на порядок пре- вышает затраты. Расчет ROI важен для обосно- вания необходимости и целе- сообразности внедрения DLP- системы. Завершением процесса ини- циации проекта является при- нятие решения о необходимости внедрения DLP-системы. Процесс планирования вклю- чает в себя подготовку иерар- хической структуры работ, так называемую WBS (Work Break- down Structure), идентификацию и оценку рисков, а также соз- дание проектной команды. 38 • ТЕХНОЛОГИИ Наименование риска Ожидаемые последствия Мероприятия по реагированию Вероятность наступления Уровень влияния на проект 1. Внешний риск Задержка поставки DLP-системы, выполнения работ или оказания услуг Контроль за своевременным внесением закупки в планы, проведением торгов, заключением договоров и их оплатой Низкая Средний 2. Организационные риски Недостаток финансирования (ошибки в первоначальных расче- тах) Переговоры с поставщиком (производите- лем) по снижению цен, переговоры с руко- водителем (инвестором) о выделении дополнительного финансирования Средняя Высокий Недостаточная квалификация работников, задействованных в проекте Обучение (в том числе собственными силами) Низкая Низкий 3. Риски управления проектом Ошибки планирования Контроль исполнения. Корректировка планов Низкая Средний Недостаточный контроль Мониторинг, корректировка требований Низкая Средний Проблемы в коммуникациях с под- рядчиками, исполнителями Выделение из проектной группы наиболее квалифицированных коммуникаторов (переговорщиков) Средняя Высокий Проблемы в коммуникациях с дру- гими структурными подразделе- ниями, сопротивление изменениям Проведение мероприятий по подготовке персонала к внедрению DLP-системы (кор- ректировка инструкций, подготовка обяза- тельств о неразглашении информации и т.п.), задействование административного ресурса (власть руководителя организации) Высокая Средний 4. Технические риски Сложность внедрения Проведение обучения сотрудников, задей- ствованных в проекте (администраторов DLP-системы) Средняя Средний Конфликт внедряемых решений с имеющейся ИТ-инфраструктурой Проведение аудита ИТ-инфраструктуры, выявление возможных проблемных мест, проработка решений Средняя Высокий Таблица 2. Реестр проектных рисков 1 В данном случае стоимость покупки и владения DLP-системой. 2 Астахов А. Есть решение. Как рассчитать окупаемость DLP-системы? // Директор по безопасности. – 2017. – Февраль. – С. 46–55.