Обеспечение информационной безопасности сведений, имеющих высокую степень конфиденциальности, требует применения серьезных мер защиты. Внедрение DLP-системы снижает риск утечек. Большинство современных продуктов не относятся к «коробочному типу», необходима доработка функционала под потребности конкретной компании. Такая доработка и само внедрение требуют детального технического задания.

Предпосылки внедрения DLP-системы

В большинстве случаев компания приходит к решению о внедрении DLP-системы после первого существенного инцидента информационной безопасности, причинившего заметный ущерб интересам фирмы. Взвесив соотношение расходов и рисков, руководство принимает решение об установке повышенной степени защиты, чтобы обезопасить информацию, обрабатываемую во время бизнес-процессов, от утечек.

Выбрав необходимый продукт, компания иногда сталкивается с тем, что ей нужна настройка его функционала под собственные потребности. Как минимум нужно наполнить словарь текстового анализатора лексикой и цифровыми отпечатками данных, которые помогут отслеживать утечку сведений, которые являются конфиденциальными для конкретной компании. Но чаще задача оказывается сложнее, и этап подгонки ПО под потребности клиента и внедрения занимает несколько месяцев. Максимально детальное техническое задание позволит отследить все этапы работы и оценить результат.

Привлечение эксперта по безопасности позволит определить, какая именно версия DLP-системы решит задачу контроля каналов утечки информации. Для небольшой компании решением может стать внедрение одного или нескольких модулей готового DLP-решения. Перед тем, как пригласить разработчика, необходимо определиться, какие именно задачи информационной безопасности должно решать ПО.

Полноценное внедрение, включая обследование бизнес-процессов и подготовку лексического аппарата, занимает не менее трех месяцев, и в условиях форс-мажора готовый продукт может оказаться более эффективным.

Вопросы, на которые должно ответить техническое задание

Техническое задание на разработку и внедрение программного обеспечения имеет стандартизированную структуру, незначительно отличающуюся в зависимости от типа ПО. Формат технического задания можно найти в ГОСТах и стандартах ISO/IEC/ IEEE. Согласно этим нормативным документам, ТЗ, которое чаще всего устраивает государственного заказчика, должно иметь следующую структуру (ГОСТ 34):

1. Общие сведения.

2. Назначение и цели внедрения DLP-системы.

3. Характеристика информационной системы заказчика.

4. Технические требования к внедряемой программе, ее желаемый функционал (здесь необходимо учесть положения политик безопасности).

5. Состав, содержание и сроки проведения работ.

6. Порядок контроля за внедрением и приемкой работ.

7. Требования к документации (иногда при внедрении иностранной системы документацию приходится переводить).

Международные стандарты (IEEE) предлагают немного иную, но в целом схожую структуру ТЗ:

1. Введение (применение ПО, используемые термины, краткие ссылки на сайты с информацией, лаконичное описание продукта).

2. Общее описание (функционал, политики безопасности, защищаемые каналы, взаимодействие с другим ПО, характеристика пользователя, ограничения и допущения).

3. Детальные требования к функционалу, интерфейсу, производительности, взаимодействию с пользователями.

4. Приложения, политики и правила.

В задании необходимо изложить, чего IT-подразделение и служба безопасности компании ждут от внедрения автоматизированной системы защиты и предотвращения утечек информации.

Неотъемлемой частью технического задания является политика безопасности. Она разрабатывается на базе документов, которые уже существуют в компании, а именно:

• перечень сведений, относящихся к конфиденциальным;
• описание бизнес-процессов по взаимодействию с секретной информацией;
• перечень лиц, допущенных к ее обработке, разграничение их прав доступа.

Эти документы – основа для разработки ТЗ. Если их нет, придется потратить время на классификацию информации и персонала и подготовку внутренних регламентов.

Риски внедрения и их отражение в ТЗ

Помимо политик безопасности, при разработке ТЗ на внедрение DLP-системы необходимо учесть и отразить в нем риски, возникающие на этапе тестирования, доработки и установки:

• задержка процесса внедрения. Риск купируется четкой установкой сроков, поэтапной приемкой системы и оплатой по результатам этапа, определением мер ответственности за затягивание работы;
• превышение бюджета. Неудовлетворительное качество первоначального обследования может привести к выявлению новых задач и, как следствие, повышению стоимости работы. Для компаний со строгой бюджетной дисциплиной или в случае заключения контракта на торгах этот риск может стать критичным, поэтому ТЗ на внедрение DLP-системы уже на этапе составления должно быть максимально подробным; 
• недостаточная квалификация исполнителя. Если для внедрения лицензионного продукта приглашена малоизвестная компания, этот риск может быть существенным, поэтому, когда предстоит решение сложной и комплексной задачи, необходимо взаимодействовать с разработчиками продукта. Конечно, это касается только отечественных разработок, при внедрении иностранных программных продуктов их доработка собственными силами практически невозможна по условиям лицензии;
• недостаточный контроль за действиями исполнителя. Если в штате заказчика нет профессионалов, способных проконтролировать исполнение и принять результаты каждого этапа работ, потребуется привлечение экспертов;
• внутренние системные проблемы, противодействие структурных подразделений или отдельных сотрудников. Этот риск необходимо предвидеть еще до составления ТЗ, так как он способен существенно затруднить работу исполнителя по внедрению DLP-системы. Выходом из этой ситуации станет принятие решения о внедрение системы на уровне Совета директоров в рамках общей концепции безопасности компании и мотивация персонала по итогам своевременного и успешного завершения работ;
• конфликт с имеющейся инфраструктурой и программным обеспечением. Еще до покупки продукта, необходимо найти такое решение, которое будет совместимо со всем имеющимся в компании ПО. Если во время аудита будет выявлена вероятность конфликта, стоит рассмотреть вариант установки DLP-системы в виртуальном пространстве.

Этапы разработки ТЗ

Традиционно задача по подготовке технического задания возлагается на разработчика, который обладает большими компетенциями, чем представители заказчика. Готовый документ согласовывается сторонами и становится неотъемлемой частью договора на разработку и внедрение DLP-системы. Если в штате компании есть специалисты, имеющие соответствующий опыт, проект ТЗ могут подготовить они, опираясь на согласованную политику конфиденциальности. Если нет, оптимальным решением станет приглашение эксперта, который будет принимать участие и в разработке документации, и в приемке ТЗ.

Разработка технического задания на внедрение DLP-системы проходит следующие этапы:

• проведение аудита;
• согласование политик безопасности;
• согласование технических параметров;
• разработка ТЗ;
• согласование временных и финансовых параметров;
• утверждение и подписание ТЗ.

В задании отражены все последующие действия разработчика в процессе внедрения DLP-системы. Оно должно быть разработано таким образом, чтобы исключить внесение изменений в него после начала работы. Изменения могут быть инициированы заказчиком DLP-системы или исполнителем, который в ходе работы обнаруживает, что параметры ТЗ невыполнимы или могут быть выполнены с меньшими финансовыми или временными затратами. Договор должен быть подготовлен таким образом, чтобы исключить изменение ТЗ и перерывы во внедрении DLP-системы, связанные с дополнительными этапами согласования. Подготовка ТЗ должна вовлечь все заинтересованные подразделения, чтобы избежать конфликтов или недопонимания на этапе внедрения системы.

Техническое задание может готовиться несколько недель, но это время не будет потеряно. При правильном учете всех факторов оно поможет избежать затягивания или непредсказуемого увеличения бюджета проекта на этапе выполнения работ.