13 Октября, 2011

Факторы, влияющие на длительность и трудозатраты при внедрении СУИБ

Andrey Prozorov


Давно хотел написать, про факторы, влияющие на длительность (и трудозатраты) внедрения системы управления информационной безопасностью (СУИБ) в соответствии с ISO 27001. Однако в связи с отсутствием времени пока решил написать лишь их перечень с краткими тезисами, а как с ними работать (считайте «минимизировать влияние») я, вероятно, расскажу как-нибудь в следующий раз.


Итак, вот основные факторы, которые очень сильно влияют на успех, длительность и трудозатраты проекта по внедрению СУИБ:
  
I. Общая идея СУИБ 
  1. Стратегия и приоритеты развития Компании. Важно чтобы проект внедрения СУИБ соответствовал приоритетам развития Компании, а сама СУИБ помогала бизнесу в достижении стратегических целей, обеспечивала их реализацию. Это поможет заручиться поддержкой и руководства Компании и сотрудников основных бизнес-подразделений.
  2. Цели внедрения и инициатор внедрения. Необходимо понимать, кто поддерживает проект СУИБ и его (их) ожидания от проекта, которые должны перерасти в общие цели проекта. Так проект, целью которого является «соответствие лучшим практикам и обеспечение безопасности ключевой информации», будет сильно отличаться от проекта с основной целью «получение сертификата по ISO 27001». Если мы будем помогать заинтересованным лицам в достижении их целей и удовлетворении их ожиданий от проекта, то мы можем быть уверенными в поддержке проекта на всех его этапах. Однако если проект не может реализовать какие-либо ожидания (или ожидания завышены, или нехватает ресурсов, или идут в противоречие другим требования), то эти вопросы необходимо обсуждать и решать еще на старте проекта.
  3. Область СУИБ (процессы, информация, системы и сервисы, персонал, площадки). Чем больше и «сложнее» область, тем больше трудозатрат необходимо для обследования, проведения инвентаризации, оценки рисков, планирования, проектирования и внедрения СУИБ. Имеет смысл сначала внедрить СУИБ на выбранную небольшую область, а потом, при необходимости, расширить/тиражировать ее.
  4. Наличие ограничений и ресурсов:
  • Деньги (консалтинг/аутсорсинг, оборудование (ИТ/ИБ), заработная плата, мотивация, обучение, закупка доп.материалов)
  • Время / сроки
  • Персонал (поддержка, взаимодействие подразделений, наличие и занятость специалистов (для совещаний, разработки документов, согласования, поддержания процессов СУИБ), сторонние консультанты)
  • ИТ-инфраструктура (системы и сервисы, хранение и передача информации, СЗИ)
  • Регулирующие органы и организации 
Тут все просто, чем меньше у нас ресурсов (и денег, и времени, и людей, и прочего), тем сложнее нам будет реализовывать проект. Также наличие дополнительных ограничений, например наличие регулирующих требований по ИБ из головной организации, могут существенно увеличить трудозатраты и длительность проекта.
 II. Персонал 
  1. Поддержка высшего руководства.Это один из самых важных факторов, необходимых для успеха проекта. Если отсутствует поддержка со стороны высшего руководства, то проект может не только «заглохнуть» на середине, но даже и не начаться, а время и другие ресурсы, выделенные на проект, могут пропасть зря.
  2. Понимание и принятие сотрудниками (в первую очередь, ИТ, бизнес-подразделений, ИБ и СБ, отдела кадров,). Люди и их отношение к работе и проекту СУИБ в частности, это очень важно. Ведь это именно люди будут участвовать и в планировании, и проектировании, и дальнейшей реализации и поддержке СУИБ. Важно получить поддержку руководителей, а еще лучше и сотрудников подразделений, входящих в область СУИБ,
  3. Квалификация Руководителя проекта.Тоже очень важный пункт, о котором многие забывают. Проект внедрения СУИБ долгосрочный, недешевый и непростой, в рамках проекта требуется координировать работу большого количества человек. Без руководителя проекта и управления основными процессами ведения проекта (см.например, PMBOK) ни как не обойтись. 
  4. Команда по внедрению СУИБ (опыт, знания, мотивация, общая загрузка и наличие других задач, внутренние конфликты). Внедрение СУИБ – это командная работа, чем лучше у нас укомплектована команда, тем выше вероятность успеха проекта.
 III. Зрелость Компании
  1. Соответствие и/или опыт внедрения других стандартов и "лучших практик".Если в Компании уже внедрены стандарты управления (например, ISO 9001, ISO 20000/ITIL), то часть процессов и требований, необходимых по ISO 27001, уже должны быть внедрены (например, внутренние аудиты), а значит внедрять СУИБ будет проще. Также если Компания ориентируется на «лучшие практики» в ИБ и ИТ, то многие требования ISO 27001 также уже могут быть реализованными.
  2. Уровень зрелости процессов управления (ИБ, ИТ, основных бизнес-процессов).
  3. Текущий уровень ИБ (риски и наличие контрмер). Чем меньше угроз и ниже риски ИБ, а также если уже внедрены многие механизмы обеспечения ИБ (например, средства защиты), то это значит, что внедрять СУИБ будет проще.

Также в приложении общая майндкарта.