Содержание проектов по информационной безопасности

Васин И.Г.
Выпускник группы MBA CSO-03
Школы IT-Менеджмента
РАНХиГС при Президенте РФ

Постановка задачи
В настоящее время есть небольшое количество литературы, касающейся управления ИТ-проектами. В области управления проектами по информационной безопасности ощущается нехватка методической литературы по содержанию данных проектов.

Проекты по информационной безопасности (исключая разработку и проектирование технических средств защиты информации, не рассматриваемые в данной работе), очень обще, на взгляд автора работы, можно разделить на следующие:

• разработка программного обеспечения, применяемого для защиты информации (так называемые средства защиты информации);
• разработка защищенного программного обеспечения, предназначенного для  обработки информации (т.е. не содержащего уязвимости или недекларированные возможности), использование которого не приводит к нарушению целостности, конфиденциальности и доступности обрабатываемой информации;
• проектирование, строительство и ввод в эксплуатацию объектов информатизации в защищенном исполнении (содержащих, как правило, комплексную систему защиты информации).

Для разработки вышеуказанных проектов по информационной безопасности, на первый взгляд, должны быть осуществлены такие же, как и в случае с ИТ-проектами, организационно-технические мероприятия, например:

• разработка плана проекта,
• установление сроков,
• определение бюджета проекта;
• формирование команды проекта, разработка и утверждения матрицы ответственности и т.д.

Однако при более детальном рассмотрении проблемы управления проектом по информационной безопасности необходимо не забывать и о дополнительных организационных мероприятиях и технических вопросах, составляющих единое целое при реализации данного проекта.

Автором работы предпринята попытка раскрыть некоторые вопросы, относящиеся к проблеме содержания планов проектов по информационной безопасности (ИБ) – своего рода методический документ, который бы мог использоваться специалистами по информационной безопасности в дальнейшем для написания таких проектов. В частности, рассмотрены вопросы, касающиеся общей организации выполнения проекта по ИБ,  управление таким проектом, содержимое проекта безопасности ИТ-инфраструктуры компании и операционного плана безопасности компании. Особое внимание в работе уделено рассмотрению вопросов содержания проектов информационной безопасности IT-систем на «общем» уровне (без указания применения конкретных технических методов и средств защиты информации).

Составными частями общего проекта плана корпоративной безопасности в организации являются план безопасности IT-инфраструктуры и операционный план безопасности, содержанию которых в работе уделено отдельное внимание.

За основу взят перевод автором отдельных глав книги Susan Snedaker «IT Security Project Management».

Основные положения работы.
Определение требований к проектам ИТ-безопасности.
Определение целей проектов ИТ-безопасности.
Определение целей проекта безопасности ИТ-инфраструктуры.
Операционный план ИТ-безопасности.
Оценка операционной безопасности. Реагирование на инциденты. Функционал корпоративной команды реагирования на инциденты.
Оценка команды реагирования на инциденты. Менеджмент услуг по безопасности. Анализ рисков. Планирование катастроф. Образование персонала и его осведомленность.

Политики. Принципы «хорошей» политики безопасности. Создание корпоративной политики безопасности. Распространение политики и обучение ей. Политика поддержания корпоративной безопасности.

Восстановление после катастроф. Средства. Операции. Информирование и коммуницирование. Страхование бизнеса.
Параметры проекта. Функциональные и технические требования. Масштаб. График. Бюджет. Качество. Время. Проблемы. Решения. Миссия или результат. Необходимый ключевой персонал. Проектные процессы и процедуры.

Декомпозиция  работ по проекту.
В работе дополнительно рассматриваются проблемы так называемого «compliance» (соответствия) требованиям государственных регуляторов,  относящиеся к вопросам информационной безопасности по отношению к организациям, осуществляющим мероприятия и (или) оказывающих услуги по защите информации ограниченного доступа (информация, составляющая государственную тайну, конфиденциальную информацию, персональные данные и т.д.) в процессе управления проектами по информационной безопасности.

Проект по информационной безопасности отличается от проектов по ИТ тем, что включает в себя многочисленные дополнительные требования, определенные законодательством, в том числе:

• лицензирование деятельности на осуществление мероприятий и (или) оказание услуг по защите информации;
• лицензирование деятельность организации по допуску к сведениям, составляющим государственную тайну;
• аккредитация организации в качестве испытательной лаборатории средств защиты информации;
• аккредитация организации в качестве органа по аттестации объектов информатизации
• сертификация средств защиты информации по требованиям безопасности информации.

Область применения
Область применения данной работы – заказчики работ по информационной безопасности, организации, занимающиеся разработкой и выполнением проектов по информационной безопасности, организации, обрабатывающие информацию, которая подлежит защите, специалисты по безопасности информации.

Полученные результаты
Экономия средств в организации, в которой работает автор, при разработке новых проектов по информационной безопасности с учетом положений данной работы, по экспертным оценкам составила 10%.

Выводы
Результатом работы явилось создание подхода к созданию проектов по информационной безопасности, выполнение которого принесет экономию средств заказчиков проектов по информационной безопасности. Разработчики данных проектов смогут аргументированно обратить внимание своих заказчиков на необходимость выполнения дополнительных мероприятий и привлечения дополнительных средств для достижения результата.