- •3 Проект совершенствования комплексной системы защиты информации банка
- •3.1 Обоснование проекта
- •3.2 Резюме проекта
- •3.3 Предложения. Ограничения. Исключения
- •3.4 Продукты доставки проекта
- •3.4.1. Организационно-распорядительная документация
- •3.6 Структурная схема организации работ
- •3.7 Матрица ответственности
- •3.8 Сетевой график и диаграмма Ганта
- •3.9 Оценка затрат. Эффективность проекта
- •Заключение
3 Проект совершенствования комплексной системы защиты информации банка
3.1 Обоснование проекта
Организация такого масштаба обрабатывает огромный объём информации, в т.ч. конфиденциальной, неизвестность которой третьим лицам и даёт Банку неоспоримое конкурентное преимущество. Банк также несёт ответственность перед контрагентами в соответствии с нормативно-правовыми актами РФ за сохранность информации. Это накладывает специфические требования, выработка которых и является одной из основных целей комплексной системы защиты информации Банка.
Обширный список информационных потоков (см. раздел 1.2), которые требуют защиты, предполагает разработку всеохватной и до мельчайших подробностей продуманной комплексной системы защиты. Поэтому наиболее полный проект совершенствования КСЗИ позволит существенно снизить риски и предотвратить потенциально возможный ущерб в среднесрочной и долгосрочной перспективах.
3.2 Резюме проекта
Сведения, относящиеся к резюме проекта совершенствования КСЗИ Банка, находятся в проекте технического задания (см. Приложение В). Для достижения поставленных целей в проекте предлагается ряд организационно-правовых и организационно-технических мер для обеспечения защиты информации в Банке. Проект разбит на детальные работы, каждая из которых имеет своё ответственное лицо, зафиксированное в матрице ответственности, определены основные продукты доставки. Результатом проекта является полностью работоспособная комплексная система защиты информации, соответствующая требованиям нормативно-правовых актов в этой области и целям внедрения.
3.3 Предложения. Ограничения. Исключения
С целью наиболее эффективного проектирования и учета всех особенностей проекта, необходимо осуществить не только анализ рисков для конкретных решений, но и для всего проекта в целом (см. таблицу 3.3.).
Под рисками проекта будем понимать комплекс возможных обстоятельств, которые могут стать причиной снижения эффективности (доходности) проекта или его полной неосуществимости. По своей природе риск — это некоторое вероятностное событие, которое может случиться, и связано с неопределенностью.
Таблица 3.3 – Оценка рисков проекта КСЗИ Банка
Риски / пути их реализации |
Критичность ER |
Вероятность P(V) |
Th |
CTh |
1 |
2 |
3 |
4 |
5 |
1.Риски изменения дальнего окружения Банка, изменений в стране, обществе |
||||
1.1. Ухудшение политических и экономических характеристик и факторов: |
|
0,211 |
||
- государственный (общемировой) экономический кризис |
50 |
10 |
0,05 |
|
- реорганизация государственной (банковской) системы |
80 |
5 |
0,04 |
|
- реформы в экономике и политике |
40 |
20 |
0,08 |
|
- изменение законодательства |
20 |
30 |
0,06 |
|
1.2. Изменение характеристик общества: |
|
0,097 |
||
- ухудшение условий и уровня жизни |
10 |
20 |
0,02 |
|
- новые требования трудового законодательства |
30 |
15 |
0,05 |
|
- здравоохранение и медицина, условия отдыха |
10 |
20 |
0,02 |
|
- возникновение негативного отношения налогоплательщиков и сотрудников к проекту |
10 |
15 |
0,02 |
|
1.3. Резкий скачок уровня науки и техники, информационных технологий и компьютеризации, промышленных и производственных технологий: |
|
0,226 |
||
- внезапное устаревание предлагаемых решений |
80 |
10 |
0,08 |
|
- возникновение новых требований к защите |
50 |
15 |
0,08 |
|
- возникновение новых принципов и технологий защиты |
60 |
15 |
0,09 |
|
Продолжение Таблицы 3.3
1 |
2 |
3 |
4 |
5 |
1.4. Влияние форс-мажорных обстоятельств: |
|
0,071 |
||
- стихийные бедствия и природные катаклизмы |
90 |
5 |
0,05 |
|
- вооружённые конфликты |
90 |
2 |
0,02 |
|
- государственный переворот |
90 |
1 |
0,01 |
|
2. Риски окружения проекта в составе предприятия |
||||
2.1. Непонимание руководством предприятия сущности проекта: |
|
0,192 |
||
- неверная постановка целей и определение главных задач проекта |
70 |
20 |
0,14 |
|
- формирование слишком жестких ограничений |
40 |
15 |
0,06 |
|
2.2. Изменение или недостаток бюджета проекта: |
|
0,165 |
||
- задержки финансирования |
30 |
25 |
0,08 |
|
- недостаток средств |
40 |
10 |
0,04 |
|
- отсутствие денежного резерва для реагирования на события рисков (в т.ч. для ликвидации отставания от графика) |
20 |
30 |
0,06 |
|
2.3. Недостаточно хорошая организация работ |
|
0,390 |
||
- срыв графиков работ, невыполнение сроков |
30 |
30 |
0,09 |
|
- нехватка рабочей силы |
30 |
10 |
0,03 |
|
- ошибки в проекте |
60 |
25 |
0,15 |
|
- неправильная оценка эффективности тех или иных решений, выбор технологий |
60 |
15 |
0,09 |
|
- недооценка стоимости работ и использование финансов для других целей |
40 |
15 |
0,06 |
|
- неудовлетворительные результаты отдельных этапов |
50 |
10 |
0,05 |
|
- изменение технологий |
30 |
30 |
0,09 |
|
2.4. Риски персонала |
|
0,295 |
||
- влияние личностных факторов (неумеренные амбиции участников проекта, переоценка собственных возможностей, преувеличение роли технологической стороны в ущерб менеджменту) |
40 |
30 |
0,12 |
|
- конфликты между участниками проекта |
40 |
30 |
0,12 |
|
- риск недоступности персонала, которому сложно подобрать замену (болезнь, увольнение и другие непредвиденные обстоятельства) |
60 |
15 |
0,09 |
|
3.1. Изменение плана поставок |
|
0,264 |
||
- существенное изменение цены на оборудование |
40 |
20 |
0,08 |
|
- отсутствие оборудования у поставщика на момент закупки |
50 |
40 |
0,20 |
|
Как видно из анализа наиболее высокие риски проекта совершенствования КСЗИ Банка связаны с изменениями планов поставок, недостаточно хорошей организацией работ, а также с деятельностью персонала. Основные риски исполнения грамотно спланированного проекта заключаются в недостаточных управленческих навыках руководителя проекта.
Риски, величина которых составляет менее 30%, будем считать приемлемыми. Соответственно меры по данным рискам применять нецелесообразно.
Для минимизации основных рисков (более 30%) в проекте предусматривается ряд временных допущений и задержек. Для их ликвидации на время реализации проекта создаётся резервный фонд в размере 15% от стоимости проекта, который впоследствии будет расформирован по статям расходов организации (в том числе может перейти на следующий год в качестве расходов на амортизацию КСЗИ).
Существенное снижение рисков проекта достигается за счет планирования взаимодействия. Технология взаимодействия включает: инструкции, заседания, печатные документы, компьютерные графики, базы данных. Снижению рисков способствует наличие системы ответственности по каждой из работ, разработка в рамках проекта описания формы, содержания, степени детализации, сроков предоставления информации.