Давно хотел написать, про факторы, влияющие на длительность (и трудозатраты) внедрения системы управления информационной безопасностью (СУИБ) в соответствии с ISO 27001. Однако в связи с отсутствием времени пока решил написать лишь их перечень с краткими тезисами, а как с ними работать (считайте «минимизировать влияние») я, вероятно, расскажу как-нибудь в следующий раз.
Итак, вот основные факторы, которые очень сильно влияют на успех, длительность и трудозатраты проекта по внедрению СУИБ:
I. Общая идея СУИБ
- Стратегия и приоритеты развития Компании. Важно чтобы проект внедрения СУИБ соответствовал приоритетам развития Компании, а сама СУИБ помогала бизнесу в достижении стратегических целей, обеспечивала их реализацию. Это поможет заручиться поддержкой и руководства Компании и сотрудников основных бизнес-подразделений.
- Цели внедрения и инициатор внедрения. Необходимо понимать, кто поддерживает проект СУИБ и его (их) ожидания от проекта, которые должны перерасти в общие цели проекта. Так проект, целью которого является «соответствие лучшим практикам и обеспечение безопасности ключевой информации», будет сильно отличаться от проекта с основной целью «получение сертификата по ISO 27001». Если мы будем помогать заинтересованным лицам в достижении их целей и удовлетворении их ожиданий от проекта, то мы можем быть уверенными в поддержке проекта на всех его этапах. Однако если проект не может реализовать какие-либо ожидания (или ожидания завышены, или нехватает ресурсов, или идут в противоречие другим требования), то эти вопросы необходимо обсуждать и решать еще на старте проекта.
- Область СУИБ (процессы, информация, системы и сервисы, персонал, площадки). Чем больше и «сложнее» область, тем больше трудозатрат необходимо для обследования, проведения инвентаризации, оценки рисков, планирования, проектирования и внедрения СУИБ. Имеет смысл сначала внедрить СУИБ на выбранную небольшую область, а потом, при необходимости, расширить/тиражировать ее.
- Наличие ограничений и ресурсов:
- Деньги (консалтинг/аутсорсинг, оборудование (ИТ/ИБ), заработная плата, мотивация, обучение, закупка доп.материалов)
- Время / сроки
- Персонал (поддержка, взаимодействие подразделений, наличие и занятость специалистов (для совещаний, разработки документов, согласования, поддержания процессов СУИБ), сторонние консультанты)
- ИТ-инфраструктура (системы и сервисы, хранение и передача информации, СЗИ)
- Регулирующие органы и организации
Тут все просто, чем меньше у нас ресурсов (и денег, и времени, и людей, и прочего), тем сложнее нам будет реализовывать проект. Также наличие дополнительных ограничений, например наличие регулирующих требований по ИБ из головной организации, могут существенно увеличить трудозатраты и длительность проекта.
II. Персонал
- Поддержка высшего руководства.Это один из самых важных факторов, необходимых для успеха проекта. Если отсутствует поддержка со стороны высшего руководства, то проект может не только «заглохнуть» на середине, но даже и не начаться, а время и другие ресурсы, выделенные на проект, могут пропасть зря.
- Понимание и принятие сотрудниками (в первую очередь, ИТ, бизнес-подразделений, ИБ и СБ, отдела кадров,). Люди и их отношение к работе и проекту СУИБ в частности, это очень важно. Ведь это именно люди будут участвовать и в планировании, и проектировании, и дальнейшей реализации и поддержке СУИБ. Важно получить поддержку руководителей, а еще лучше и сотрудников подразделений, входящих в область СУИБ,
- Квалификация Руководителя проекта.Тоже очень важный пункт, о котором многие забывают. Проект внедрения СУИБ долгосрочный, недешевый и непростой, в рамках проекта требуется координировать работу большого количества человек. Без руководителя проекта и управления основными процессами ведения проекта (см.например, PMBOK) ни как не обойтись.
- Команда по внедрению СУИБ (опыт, знания, мотивация, общая загрузка и наличие других задач, внутренние конфликты). Внедрение СУИБ – это командная работа, чем лучше у нас укомплектована команда, тем выше вероятность успеха проекта.
- Соответствие и/или опыт внедрения других стандартов и "лучших практик".Если в Компании уже внедрены стандарты управления (например, ISO 9001, ISO 20000/ITIL), то часть процессов и требований, необходимых по ISO 27001, уже должны быть внедрены (например, внутренние аудиты), а значит внедрять СУИБ будет проще. Также если Компания ориентируется на «лучшие практики» в ИБ и ИТ, то многие требования ISO 27001 также уже могут быть реализованными.
- Уровень зрелости процессов управления (ИБ, ИТ, основных бизнес-процессов).
- Текущий уровень ИБ (риски и наличие контрмер). Чем меньше угроз и ниже риски ИБ, а также если уже внедрены многие механизмы обеспечения ИБ (например, средства защиты), то это значит, что внедрять СУИБ будет проще.
Также в приложении общая майндкарта.
