Руководство проектом по созданию системы защиты информационной системы персональных данных (ИСПДн) компании Knightfrank ZAO

7 ноября 2001 года Российская Федерация подписала конвенцию Европы о защите физических лиц при автоматизированной обработке персональных данных. Согласно этой конвенции, государством был принят Федеральный закон №152 «О персональных данных».

Подразделения компании работают как с частными, так и с юридическими лицами. Информация о клиентах компании хранится в различных информационных системах.

Персональные данные, хранящие в каждой из систем: Sage SalesLogix, 1C Бухгалтерия, Интранет, 1С Зарплата и Управление персоналом.

Мероприятия по обеспечению безопасности персональных данных:

• Определение угроз безопасности персональных данных, формирование модели угроз.
• Разработка на основе модели угроз системы защиты персональных данных с использованием методов и способов защиты, предусмотренных для соответствующего класса информационных систем.
• Контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.
• Описание системы защиты персональных данных.

Согласно «Основным мероприятиям…» и ГОСТ, создание СЗПДн должно включать следующие стадии и этапы: предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического (частного технического) задания на ее создание; стадия проектирования и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн; стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемо-сдаточные испытания, а также оценку соответствия ИСПДн требованиям безопасности информации.

Для успешного завершения проекта команда проекта должна:

• выбрать из групп процессов управления проектом подходящие процессы, необходимые для достижения целей проекта;
• использовать определенный подход для согласования планов и спецификаций продукта с требованиями к продукту и проекту;
• исполнять требования, чтобы соответствовать нуждам, желаниям и ожиданиям участников проекта;
• уравновешивать противоречащие требования по объему, времени, стоимости качеству, ресурсам и рискам, чтобы произвести качественный продукт.

Миссией проекта является приведение информационных систем персональных данных Компании в соответствие требованиям Федерального законодательства и нормативных документов, регламентирующих защиту персональных данных. Документом, подтверждающим данное соответствие, является Аттестат соответствия на информационную систему персональных данных.

Для достижения миссии проекта должны быть решены следующие задачи:
1. Категорирование персональных данных.
2. Изучение бизнес-процессов.
3. Составление схемы сети.
4. Составление карты сети.
5. Сегментация сети.
6. Идентификация информационных систем персональных данных.
7. Классификация информационных систем персональных данных.
8. Разработка модели угроз.
9. Обоснование требований по обеспечению защиты ПДн.
10. Разработка замысла защиты.
11. Выбор мер и средств защиты.
12. Организация управления обеспечением безопасности ПДн.
13. Разработка регламентирующих документов.
14. Получение Аттестата соответствия на информационную систему персональных данных.

В соответствии со стратегией управления разрабатываются следующие планы управления:
• План управления масштабом проекта
• План управления расписанием проекта
• План управления качеством проекта
• План управления коммуникациям проекта
• План управления рисками проекта
• План управления поставками проекта

Основными тормозящими факторами данного проекта было отсутствие соответствующих знаний и навыков у команды проекта. Приходилось тесно сотрудничать с компаниями производителями рассматриваемых средств защиты информации, уточнять про неспецифичные настройки продуктов, чтобы они подходили под существующую системную инфраструктуру компании.

После окончания тестирования и установки выбранных средств защиты на рабочие станции, выяснилось, что их мощности не хватает для достижения поставленных параметров качества. Вследствие этого было принято решение о заказе более мощных рабочих станций (иначе показатели качества были не достижимы). В результате длительность проекта увеличилась на 1 месяц и возросла стоимость проекта.

Также достаточно большой проблемой стало время проведения проекта. До проведения аттестационных испытаний в компании должны были быть разработанные и утвержденные нормативные документы. Все сотрудники компании, обрабатывающие персональные данные, должны быть ознакомлены с ними до начала аттестационных испытаний, которые были назначены на 1 сентября 2010 года. Конец лета – самый сезон отпусков и большинства сотрудников подолгу не было на работе, что усложняло утверждение документов. В результате данного фактора дата проведения аттестационных испытаний была сдвинута на более поздний срок. Это не выявленный вовремя риск, который, в принципе, не нанес существенного ущерба проекту.

Copyright © 2010 Якутина А.Н.