5 вредных советов, как сформулировать ТЗ на систему защиты (или как точно не стоит делать)

Когда техническое задание на создание системы защиты информации изобилует неясными и расплывчатыми формулировками, это создает почву для недопониманий и конфликтов между заказчиком и исполнителем. Неопределенные требования дают слишком много свободы для интерпретаций, что может привести к совершенно различным представлениям о конечном результате. Более того, при таких условиях сложно контролировать процесс выполнения работы и достигнутый результат. Это приводит к затягиванию сроков и увеличению затрат на проект.

Правильно:
«Система должна обеспечивать шифрование данных с использованием алгоритма AES-256, а также аутентификацию пользователей с помощью двухфакторной аутентификации (2FA) и логирование всех действий в систему.»

ПРИМЕР

ПОЧЕМУ ЭТО ВАЖНО

Четкие и конкретные требования помогают избежать разночтений и гарантируют, что конечный продукт будет соответствовать ожиданиям. Это экономит время и ресурсы, которые иначе были бы потрачены на уточнения и исправления. Более того, конкретные формулировки позволяют легче оценивать результаты и достигать поставленных целей. Использование фреймворка SMART (Specific, Measurable, Achievable, Relevant, Time-bound) для постановки целей в ТЗ помогает обеспечить их реалистичность и достижимость.

Вредный совет №2: Игнорируйте анализ рисков и угроз

ПОЧЕМУ ЭТО ПЛОХО

Неправильно:
«Система должна быть защищена от всех возможных угроз и обеспечивать исключение всех рисков.»

Без анализа рисков и угроз невозможно определить, какие именно меры защиты необходимы, и сделать корректное техническое задание на разработку системы защиты информации. Это приводит к созданию системы, которая может быть неадекватно защищена от реальных угроз или, наоборот, чрезмерно защищена от маловероятных рисков. В результате ресурсы могут быть потрачены на защиту от малозначимых угроз, тогда как реальные риски останутся без должного внимания.

Правильно:
«Система должна быть защищена от от актуальных угроз,выявленных в ходе моделирования угроз и анализа рисков.»

ПРИМЕР

ПОЧЕМУ ЭТО ВАЖНО

Анализ рисков позволяет сфокусироваться на реальных угрозах и оптимизировать затраты на защиту. Это позволяет создать сбалансированную систему безопасности, которая защищает именно от тех угроз, которые наиболее вероятны и опасны. Кроме того, наличие анализа рисков помогает в обосновании затрат на проект и обеспечивает уверенность в том, что ресурсы используются эффективно.

Для помощи в проведении анализа рисков и разработке мер защиты можно воспользоваться услугами по защите данных

Вредный совет №3: Не включайте требования по соответствию нормативным актам

ПОЧЕМУ ЭТО ПЛОХО

Неправильно:
«Система должна соответствовать высоким стандартам безопасности.»

Игнорирование требований законодательства может привести к юридическим последствиям, включая штрафы и санкции. Более того, система, не соответствующая нормативным актам, может быть просто непригодной для использования в некоторых отраслях. Это может привести к необходимости полной переделки системы.

Правильно:
«Система должна соответствовать требованиям «Федерального закона №152-ФЗ «О персональных данных», требованиям ЦБ, к созданию систем безопасности значимых объектов КИИ, нормативным актам ФСТЭК и ФСБ России по защите информации.»

ПРИМЕР

ПОЧЕМУ ЭТО ВАЖНО

Соблюдение нормативных требований не только защищает от юридических рисков, но и обеспечивает стандартизацию и надежность системы. Кроме того, выполнение нормативных требований повышает доверие клиентов и партнеров к системе, что может положительно сказаться на деловой репутации компании. Для соблюдения всех нормативных требований рекомендуется воспользоваться услугами по защите персональных данных.

Вредный совет №4: Упускайте детали о масштабируемости и поддержке

ПОЧЕМУ ЭТО ПЛОХО

Неправильно:
«Система должна работать безотказно на протяжении всего жизненного цикла системы.»

Без учета вопросов масштабируемости и поддержки система может быстро стать неэффективной или неработоспособной при увеличении объема данных или количества пользователей. Это приводит к дополнительным затратам на доработку и модернизацию, а также к неудобствам для пользователей.

Правильно:
«Система должна поддерживать до 10,000 одновременных пользователей и быть масштабируемой для обработки до 1 терабайта данных в сутки с минимальным временем простоя.»

ПРИМЕР

ПОЧЕМУ ЭТО ВАЖНО

Учет масштабируемости и поддержки позволяет заранее планировать ресурсы и избегать непредвиденных затрат на расширение системы. Это делает систему гибкой и готовой к росту и изменениям в будущем. Планирование этих аспектов на этапе ТЗ помогает избежать проблем с производительностью и надежностью в дальнейшем, а также обеспечивает положительный опыт пользователей. Для обеспечения масштабируемости и поддержки системы можно воспользоваться услугами облачной безопасности.

Вредный совет №5: Полностью полагайтесь на общие фразы и шаблоны

ПОЧЕМУ ЭТО ПЛОХО

Неправильно:
«Система должна соответствовать требованиям безопасности.»

Техническое задание на систему защиты персональных данных, в котором использованы общие фразы и шаблоны, без адаптации к конкретным условиям и требованиям проекта, приводит к созданию системы, которая не соответствует реальным потребностям и условиям эксплуатации. Это делает систему уязвимой к специфическим угрозам и может значительно снизить её эффективность.

Правильно:
«Система должна обеспечивать доступ к данным только авторизованным пользователям, регистрировать все попытки доступа и изменения данных, а также поддерживать резервное копирование данных с интервалом не реже одного раза в сутки.»

ПРИМЕР

ПОЧЕМУ ЭТО ВАЖНО

Индивидуальный подход к формулировке ТЗ позволяет учитывать специфические потребности и условия конкретного проекта. Это обеспечивает создание системы, которая будет эффективной и надежной в конкретных условиях эксплуатации. Такой подход повышает вероятность успешного завершения проекта и удовлетворенности всех заинтересованных сторон. Для разработки и внедрения персонализированных решений по защите данных можно обратиться к услугам защиты данных.

Заключение

Формулировка технического задания на систему защиты информации — это не просто формальность. От того, насколько качественно составлено техническое задание на систему защиты персональных данных и информации, зависит, насколько эффективно и надежно будет защищена ваша информация. Избегайте вышеуказанных вредных советов, используйте четкие и конкретные формулировки, проводите тщательный анализ рисков и угроз, учитывайте нормативные требования, детально описывайте требования по масштабируемости и поддержке, а также адаптируйте ТЗ к конкретным условиям проекта. Это поможет вам создать эффективную и надежную систему защиты информации.

Оставить заявку на консультацию по разработке технического задания на создание системы защиты информации

ЗАПИСАТЬСЯ НА КОНСУЛЬТАЦИЮ

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

бизнес

юридические вопросы

маркетинг

Материалы по теме