Проведение первичного аудита бизнес процессов компании. Аудит проводится для более полного понимания бизнес процессов в компании. Мы не затрагиваем финансовую часть или бухгалтерию. После проведения первичного аудита формируется отчет «Как есть сейчас». На основании собранных исходных данных формируется общая концепция внедрения проектного управления в вашей компании
Жизненный цикл проекта
На тестирование также влияют риски. Раздел «Тестирование безопасности» для обсуждения планирования тестирования безопасности. Анализ рисков должен быть потоком процесса разработки и, следовательно, обеспечивает косвенную оценку того, насколько хорошо потенциальные ошибки были проанализированы, а затем рассмотрены. Должна быть тесная связь между результатами анализа рисков и требованиями, поскольку анализ рисков помогает определить сферу безопасности с точки зрения угроз, которые необходимо учитывать, желаемого ответа и уровня уверенности, необходимого для этого ответа.
Прорабатываем концепцию создания проектного управления
Мы сформируем концепцию внедрения проектного управления для организации исходя из текущих и будущих потребностей. Концепция готовится в виде презентации и согласовывается с Заказчиком, чтобы все стороны понимали какие работы будут выполнены и какие преобразования произойдут в компании.
Угрозы являются потенциальными злоумышленниками и описываются в терминах актера с целью и с набором ресурсов. Оценка риска исследует, как компонент может быть использован с помощью выявленных угроз и анализирует возможные ответы на такие атаки. Варианты ответа на риск - это смягчать, переносить, игнорировать или избегать, что может потребовать изменения требований. Факторы, связанные с оценкой риска, которая делается на раннем этапе процесса разработки, являются преимущественно деловыми, а не техническими.
Управление проектами должно обеспечить участие заинтересованных сторон в такой деятельности. Шаблоны атаки будут довольно абстрактными для предварительной оценки системного риска и станут более подробными по мере создания архитектуры программного обеспечения и детального проектирования.
Подбираем инструментарий управления проектами
Мы подберем оптимальный инструментарий (софт) для управления проектами вашей компании. Мы не являемся дилерами ни одной из существующих систем управления проектами. Мы независимая консалтинговая компания и не навязываем дорогой продукт, которым никто не будет пользоваться. Мы будем рекомендовать Заказчику только тот софт, который необходим для решения текущих и будущих задач.
Анализ архитектурного риска является примером важного контрольно-пропускного пункта. Архитектура программного обеспечения описывает структуру системы с точки зрения компонентов и определенных взаимодействий. Повышенная системная специфика, обеспечиваемая архитектурой программного обеспечения, также повышает специфичность угроз и желаемую реакцию системы.
В таблице 1 перечислены некоторые контрольные точки обеспечения программного обеспечения, которые должны быть включены в план проекта. Реализация этих контрольных точек зависит от характеристик программного обеспечения. Анализ рисков для интегрированной системы имеет разные требования к оценке риска коммерческого продукта или компонента инфраструктуры.
Разрабатываем методологию
Мы разработаем для Вас методологию управления проектами, детально описывающую бизнес процессы при управлении проектами. Систему классификации проектов, их приоритеты. Принципы формирования проектных команд, требования к проектным менеджерам. Разработаем типовую дорожную карту реализации проектов. В состав методологии входят стандарты, регламенты и положения, формы документов и отчетов и пр.
Действия, необходимые для выполнения конечных результатов
Примеры мероприятий по обеспечению безопасности и контрольных точек. Нормативное или контрактное соблюдение может потребовать демонстрации того, что программное обеспечение предоставляет необходимые средства для доступа к информации. Управление безопасностью обычно увеличивает сложность для удовлетворения требований безопасности. Например, для соответствия бизнес-процессам может потребоваться показать, что состав и взаимодействие нескольких приложений поддерживают требуемые элементы управления и обратную связь.
Внедрение управления проектами является также проектом и должно быть осуществлено по всем правилам, потому что в противном случае весь негатив от дополнительных затрат и увеличившейся длительности проектов также ляжет и на предлагаемый подход. Решение должно быть принято на высшем уровне, проанализированы все основные риски и главные риски сопротивления персонала. Внедрение не стоит начинать при обнаружении следующих обстоятельств.
Поставка «безопасного» программного обеспечения требует демонстрации того, что желаемый уровень уверенности был достигнут. Показывая, что система обеспечивает требуемые функциональные возможности, является важным аспектом обеспечения программного обеспечения, обеспечение безопасности программного обеспечения в большей степени зависит от демонстрации того, что система не делает. Неправильный ввод приводит к сбою системы или позволяет злоумышленнику обойти проверку подлинности или авторизацию?
Производство такого страхового случая должно планироваться и управляться. В случае с уверенностью приводится аргумент о том, как программное обеспечение соответствует выявленной угрозе. Этот аргумент обычно основан на предположениях о том, как программное обеспечение ведет себя в определенных условиях эксплуатации. Следовательно, ранний шаг в построении уверенности состоит в том, чтобы предоставить доказательства того, что поведение программного обеспечения удовлетворяет предположениям аргумента уверенности.
11.1 Отсутствие должной поддержки руководства
Практически нереально начинать внедрение по инициативе лишь потенциальных руководителей проекта или менеджеров среднего звена, не получив согласия высшего руководства компании. Такое нежелание может быть вызвано, например, тем, что иногда верхний уровень просто не хочет видеть реальную картину, связанную с проектами. Необходимо его убеждение, нужно заручиться его лояльностью в письменном виде. Требуется также спрогнозировать долговременность этой лояльности и способы управления ситуацией внедрения, если руководитель или его лояльность поменяется. Одним из способов частичного закрепления лояльности может быть требование консультанта, ведущего внедрение, о проведении общего стартового совещания сотрудников компании, где руководитель объявит о начале внедрения. Многие руководители потом не очень охотно меняют свои заявления.
Производство страхового дела - это постепенная деятельность. В случае гарантии следует описать роль архитектуры для удовлетворения требований безопасности, а оценка и анализ архитектурного риска должны предоставить доказательства того, что архитектура удовлетворяет этим требованиям.
Действия, перечисленные в таблице 1, могут быть частью аргумента подтверждения. Синтаксический анализ исходного кода уменьшает вероятность ошибок кодирования, которые могут привести к уязвимости безопасности. Риск-тестирование может быть нацелено на компоненты и интерфейсы, которые, скорее всего, приведут к компрометации системы.
11.2 Отсутствие системы делегирования полномочий
Внедрение требует массы усилий по организации упомянутого проекта, использованию ресурсов, и поэтому очевидно предоставление участникам этого процесса соответствующих полномочий. Еще раз упомянем, что это тоже проект, а как мы уже знаем, проектной команде должны быть делегированы соответствующие полномочия. Лучше всего получить их в письменном виде. Такими полномочиями могут выступать: возможность общения с любым сотрудниками компании, выделение необходимого времени, разрешение на получение любой необходимой информации, предоставление финансовой поддержки и властных полномочий в рабочей группе по внедрению.
Свидетельство об уверенности может быть частью требований к контрактной разработке. Как будет продемонстрирована гарантия поставляемого программного обеспечения? Случаи гарантии для поставляемого программного обеспечения поддерживают аргумент уверенности в отношении интегрированных систем?
Для среды разработки требуется уровень безопасности, соизмеримый с планируемым уровнем безопасности выпускаемого продукта. Необходимы надлежащий контроль и управление конфигурациями артефактов разработки. Могут потребоваться специальные инструменты, например, для анализа статического кода, для содействия производству или тестированию защищенного программного обеспечения.
Из практики
Руководитель проекта внедрения управления проектами в одной из компаний не имел никакого влияния на линейных сотрудников. В то время, когда им необходимо было работать над соответствующими документами корпоративного стандарта, они участвовали в собраниях, проводимых их функциональными руководителями, решали текущие рутинные дела, хотя внедрение признавалось наиболее приоритетным направлением.
По мере повышения уровней уверенности процесс развития должен обеспечивать необходимые механизмы контроля и защиты информации. Управление изменениями должно быть хорошо контролируемым. Управление конфигурацией с высокой степенью уверенности должно поддерживать требования к аудиту, отслеживанию и принудительному исполнению. Для очень чувствительных сегментов кода управление безопасностью может требовать, чтобы изменения всегда делались двумя разработчиками, чтобы ограничить возможность вставки вредоносного кода.
Экспертиза по безопасности большинства проектов ограничена и может быть внутренней или контрактной услугой. Распределение этого ресурса часто затруднено даже тогда, когда активность безопасности ограничена сетями, аутентификацией и контролем доступа, но когда безопасность должна быть включена в разработку приложений, эта экспертиза распространяется гораздо тоньше. Повышение уровня уверенности может существенно повлиять на требуемые знания в области безопасности и программного обеспечения.
11.3 Отсутствие системы стимулирования персонала
Если сотрудник начинает использовать программный продукт по управлению проектами в своей деятельности, значит, ему это интересно или он понимает свою будущую выгоду от этого использования. И в том и в другом случае нужно говорить о правильном стимулировании внедрения. Ранее уже приводились наиболее часто употребляемые способы стимулирования участников проектной деятельности. Практически все это может быть применено и при внедрении. Дадим лишь несколько примеров. При внедрении системы по проектному управлению в одной из компаний в качестве стимула неплохо сработало формирование духа соревнования среди руководителей проектов. Когда директор компании по проектам сказал двум проектным руководителям, что их коллега уже сделал календарно-сетевой график с использованием программного продукта, на следующий день они также подготовили свой вариант. В другой ситуации руководителю проекта была обещана управленческая позиция в руководстве создаваемой типографии, и при описании будущей специфики работы было обращено особое внимание на использование проектного инструментария, матрицы ответственности, плана управления рисками. Через пару дней этот руководитель самостоятельно приобрел литературу и через неделю уже свободно использовал соответствующие термины. Группе участников внедрения в еще одном случае пообещали более высокий оклад и более привлекательную систему премирования. Желающих оказалось больше, чем надо.
Для этого обсуждения мы делимся опытом безопасности на две категории. Одна категория состоит из знания функциональных возможностей безопасности, таких как спецификация и реализация функций контроля доступа, аутентификации и шифрования. Такие функциональные возможности безопасности могут быть инкапсулированы в инфраструктуру системы. Вторая категория экспертных знаний состоит из навыков выявления уязвимых систем и их уязвимости. Исторически сложилось так, что значительное количество уязвимостей, которые приводят к сбою безопасности, были созданы при ошибках приложений, а не сбоями в инфраструктуре безопасности.
11.4 Высокие риски внедрения
Как и любой другой проект, внедрение имеет свои риски, и в случае значимости их влияния на компанию и процесс внедрения возможны проблемы. Среди основных источников рисков внедрения можно назвать: сопротивление персонала компании (внедрение может доказать отсутствие навыков планирования и организации у среднего звена или нарушить устойчивое равновесие); смена лояльности руководства; неудачи при запуске пилотных проектов; отсутствие терпения при ожидании ощутимых результатов; внешние колебания позиции компании на рынке; технические трудности, связанные с изменениями в планировании рабочего времени специалистов, неизбежными перераспределениями финансовых ресурсов и расслоением по величине и значимости проектов и т. д. Как говорит сотрудникам один из руководителей компании, внедряющей управление проектами: «Я не обещаю вам эффект завтра или послезавтра, я обещаю вам эффект через год, зато надолго». При анализе готовности компании к внедрению вы должны детально проанализировать подобные риски и, исходя из такой информации, подстроить программу внедрения.
Уязвимости могут быть в наименее задействованных частях системы и зависят от патологических аспектов интерфейса. Такие уязвимости могут быть упущены командами разработчиков приложений, которые обычно концентрируются на основных функциях. Функции безопасности для аутентификации, авторизации и шифрования обычно состоят из компонентов, поставляемых в коммерческих целях, которые могут быть адаптированы для конкретной операционной среды. Эти компоненты должны иметь необходимый уровень уверенности. Не удивительно, если бы знания о безопасности, связанные с первой категорией, были сосредоточены в нескольких командах.
11.5 Отсутствие подготовленных специалистов, информации
Внедрение требует соответствующего количества подготовленных специалистов. Один из руководителей большой компании говорил, что ему нужна критическая масса таких сотрудников для начала процесса внедрения. Существуют простые способы передачи таких знаний: обучение перед внедрением, обучение в процессе работы, наем новых квалифицированных специалистов (при наличии соответствующих вакансий).
Специалисты по безопасности, связанные с этой инфраструктурой, должны знать о проблемах безопасности, связанных с разработкой и управлением проектами. К сожалению, команды разработчиков приложений редко имеют необходимые знания в области безопасности. Ресурсы во второй категории знаний безопасности должны распространяться в рамках нескольких усилий в области развития.
Например, во время фазы требований группа продуктов запрашивает назначение советника по безопасности из центральной группы, который выполняет функции контактного лица, ресурса и руководства по мере продолжения планирования. Советник по безопасности помогает команде разработчиков, просматривая планы, давая рекомендации и обеспечивая, чтобы центральная группа безопасности планировала использовать соответствующие ресурсы для поддержки расписания команды продукта. Советник по безопасности дает рекомендации группе продуктов о контрольных вехах безопасности и критериях выхода, которые будет требоваться на основе размера проекта, сложности и риска.
11.6 Высокая стоимость внедрения
Стоимость внедрения включает в себя следующие компоненты:
стоимость предварительного обучения, обычно заказываемого специализированной учебной организации или независимому тренеру;
стоимость консультационной поддержки всего этапа внедрения;
стоимость приобретения информационной системы по управлению проектами и программы обучения ее использованию;
Задачи, такие как оценка рисков, обзоры кода и моделирование угроз, требуют экспертизы безопасности. С другой стороны, существуют методы улучшения безопасности, которые могут быть реализованы без большого опыта в области безопасности. Например, хотя знание безопасности может потребоваться для настройки инструмента для статического анализа исходного кода, использование такого инструмента не требует наличия фона безопасности. Тестирование дает второй пример. Тестирование на проникновение часто является частью процесса приемочного испытания или сертификации.
упущенная выгода от неэффективных или нереализованных проектов во время внедрения;
стоимость работы участников проекта внедрения и т. д.
Итоговая стоимость может быть достаточно высокой, и руководитель должен сравнивать ее с потенциальной выгодой после внедрения. Чем больше компания, тем выше эта стоимость.
В заключение можно отметить следующую особенность. Многие руководители считают, что внедрение проектной системы оптимизирует и упорядочит бизнес-процессы; снизится неформальное общение, компания начнет работать, как некий механизм. Необходимо учитывать, что управление проектами - это вид менеджмента, использующий человеческие ресурсы, и неформальное общение должно по-прежнему существовать.
Тестирование на проникновение может быть реализовано так называемой красной командой: экспертами по безопасности, которые пытаются нарушить системную защиту. Увеличение требуемого уровня уверенности может оказать значительное влияние на затраты и графики, поскольку такое изменение влияет на необходимые навыки развития, поддержку инструмента, методы развития и процедуры, необходимые для демонстрации этой гарантии. Стратегии экономии затрат, такие как повторное использование существующих компонентов или коммерческих компонентов общего назначения, могут быть неприменимы для систем с высокой и высокой степенью достоверности.
