3.4 Продукты доставки проекта
3.4.1. Организационно-распорядительная документация
При организации защиты информации наибольшее внимание следует уделить проработке организационно-распорядительной документации, так как существующие локальные нормативно-правовые акты нуждаются в переработке в соответствии с последними изменениями законодательства. Предложенная система мер включает внедрение следующих документов:
Положение о банковской тайне.
Положение о работе с персональными данными сотрудников
Соглашение об использовании персональных данных сотрудника
Соглашение о неразглашении персональных данных сотрудником;
Инструкции (памятки) по информационно-психологической защите.
Также проектом предусмотрено изменение уже имеющихся документов в области информационной безопасности банка, изменение должностных инструкций сотрудников в соответствии с принимаемыми положениями о банковской тайне и о персональных данных.
3.4.2 Организационно-технические меры
Программный комплекс «Заявка» - 607 комплектов по три рабочих места.
3.4.3 Изменения в штатной структуре
Назначить ответственного за обеспечение защиты персональных данных в соответствии с положением о работе с персональными данными.
Ввести штатную единицу психолога-специалиста по информационно-психологической безопасности или изыскать возможность использования в этом направлении штатных психологов.
3.4.4. Обучение
Обучение сотрудников новым требованиям защиты информации с обоснованием их необходимости и значимости для организации по результатам внедрения новых организационно-распорядительных документов, предусмотренных проектом, а также программно-аппаратных решений.
3.5 Структура разбиения работ
Под структурой разбиения (декомпозиции) работ (WBS – Work Breakdown Structure) понимается иерархическая структура последовательной декомпозиции проекта на подпроекты, пакеты работ различного уровня и пакеты детальных работ [19, с.431].
Для простоты поиска и навигации в проекте, а также однозначного определения конкретных работ, пакетов детальных работ, пакетов работ различного уровня и подпроектов в нашем проекте каждой работе присваивается свой идентификатор. Общий идентификатор первого уровня всех работ проекта внедрения комплексной системы защиты информации Банка – «ИБ» или «Информационная безопасность». Затем идут цифровые идентификаторы конкретных работ и пакетов работ.
СРР позволяет согласовать план проекта с потребностями заказчика, представленным в виде спецификаций или описаний работ. С другой стороны, СРР является удобным средством управления для проект-менеджера, так как позволяет:
определить работы, пакеты работ, обеспечивающие достижение подцелей (частных целей) проекта;
проверить, все ли цели будут достигнуты в результате реализации проекта;
создать удобную, соответствующую целям проекта структуру отчетности;
определить на соответствующем уровне детализации плана вехи (ключевые результаты), которые должны стать контрольными точками по проекту;
распределить ответственность за достижение целей проекта между его исполнителями и тем самым гарантировать, что все работы по проекту имеют ответственных и не выпадут из поля зрения;
обеспечить членам команды понимание общих целей и задач по проекту.
Обобщённая структура разбиения работ по проекту представлена на рисунке 3.5.1.
Рисунок 3.5.1 – Структура разбиения работ проекта
Структура декомпозиции работ по совершенствованию КСЗИ Банка:
ИБ.01. Изучение структуры Банка
ИБ.02. Выделение защищаемой информации (ЗИ)
ИБ.02.01. Анализ перечня ЗИ
ИБ.03. Анализ информационной системы (ИС)
ИБ.03.01. Анализ объектов защиты
ИБ.03.02. Анализ модели нарушителя
ИБ.03.03. Оценка угроз
ИБ.03.04. Выявление уязвимостей
ИБ.03.05. Анализ и оценка рисков
ИБ.03.06. Создание технического паспорта на АС
ИБ.04. Формирование технического задания (ТЗ)
ИБ.04.01. Формулировка целей, задач совершенствования КСЗИ
ИБ.04.01.01. Определение исполнителей, сроков и порядка выполнения работ
ИБ.04.01.02. Описание назначения КСЗИ
ИБ.04.01.03. Постановка цели совершенствования КСЗИ
ИБ.04.01.04. Определение задач
ИБ.04.02. Описание объекта защиты - Банка
ИБ.04.02.01. Составление паспорта предприятия с точки зрения ИБ
ИБ.04.02.02. Описание основных информационных процессов Банка
ИБ.04.02.03. Описание объектов защиты
ИБ.04.02.04. Определение субъектов доступа к объектам защиты
ИБ.04.03. Определение требований к КСЗИ
ИБ.04.03.01. Описание требований к КСЗИ в целом
ИБ.04.03.02. Описание требований к организационно-правовой ЗИ
ИБ.04.03.03. Описание требований к организационно-технической ЗИ
ИБ.05. Проектирование
ИБ.05.01. Разработка организационно-распорядительной документации
ИБ.05.01.01. Создание и переработка базовых положений по ИБ
ИБ.05.01.01.01. Создание положения о банковской тайне
ИБ.05.01.01.02. Переработка положения о коммерческой тайне
ИБ.05.01.01.03. Создание Положения о работе с ПД
ИБ.05.01.01.04. Изменение политики ИБ Банка
ИБ.05.01.02. Изменение, разделение и дополнение перечня ЗИ
ИБ.05.01.02.01. Выделение перечня информации, составляющей БТ
ИБ.05.01.02.02. Выделение перечня информации, составляющей КТ
ИБ.05.01.02.03. Выделение перечня информации, составляющей ПД
ИБ.05.01.03. Изменение существующих документов по ИБ
ИБ.05.01.03.01. Модификация политики по управлению рисками
ИБ.05.01.03.02. Модификация политики по управлению операционными рисками
ИБ.05.01.03.03. Модификация положения об Удостоверяющих центрах Банка
ИБ.05.01.03.04. Изменение порядка обеспечения безопасности ИТ в Банке
ИБ.05.01.03.05. Модификация положения сервере центрального аппарата и отделений
ИБ.05.01.03.06. Модификация требований по обеспечению ИБ в АС
ИБ.05.01.03.07. Модификация прочих документов по ИБ в случае необходимости изменений
ИБ.05.01.04. Создание инструкций и технологических карт
ИБ.05.01.04.01. Изменение должностных инструкций в соответствии с изменениями
ИБ.05.01.04.02. Модификация инструкций администраторам АС
ИБ.05.01.04.03. Модификация инструкций администраторам безопасности сети
ИБ.05.01.04.04. Разработка инструкции пользователю ИС
ИБ.05.02. Создание технического проекта КСЗИ
ИБ.05.02.01. Разработка технической конфигурации
ИБ.05.02.02. Разработка финансового плана
ИБ.05.02.03. Юридическое согласование
ИБ.05.02.04. Анализ финансирования
ИБ.05.02.05. Определение ответственных и исполнителей при внедрении ПО
ИБ.05.02.06. Согласование и утверждение документации (в т.ч. По ИБ.05.01)
ИБ.06. Внедрение
ИБ.06.01. Закупка ПО
"ИБ.06.01.01. Закупка АС "Заявка"
ИБ.06.02. Планирование установки
ИБ.06.03. Разработка справочника ПО
ИБ.06.04. Подготовка установки системы
ИБ.06.05. Установка ПО
"ИБ.06.05.01. Установка системы "Заявка"
ИБ.06.05.02. Тестирование работы системы и оценка рабочей нагрузки
ИБ.06.06. Обучение персонала
ИБ.06.06.01. Доведение до сотрудников необходимости и актуальности совершенствования КСЗИ
ИБ.06.06.02. Ознакомление персонала с основной документацией КСЗИ
ИБ.06.06.03. Ознакомление персонала с инструкциями и памятками
ИБ.06.06.04. Обучение новому порядку ЗИ и порядку работы с новым ПО
ИБ.06.07. Испытание и приёмка
ИБ.06.08. Включение в производственный процесс