Dəyişikliyə emosional reaksiyanın dördüncü mərhələsi depressiyadır. Bu yazıda sizə ən uzun sürən və xoşagəlməz mərhələdən keçmək təcrübəmizdən - onların ISO 27001 standartına uyğunluğuna nail olmaq üçün şirkətin iş proseslərindəki dəyişikliklərdən bəhs edəcəyik.
Gözləyirik
Sertifikatlaşdıran orqanı və məsləhətçini seçdikdən sonra özümüzə verdiyimiz ilk sual bu oldu ki, bütün lazımi dəyişiklikləri etmək üçün həqiqətən nə qədər vaxt lazımdır?
İlkin iş planı elə qurulmuşdu ki, biz onu 3 ay ərzində tamamlamalıydıq.
Hər şey sadə görünürdü: bir-iki onlarla siyasət yazmaq və daxili proseslərimizi bir az dəyişmək lazım idi; sonra həmkarlarınızı dəyişikliklərlə bağlı öyrədin və daha 3 ay gözləyin (belə ki, “qeydlər” görünsün, yəni siyasətlərin işləməsinin sübutu). Deyəsən, hamısı bu idi - və sertifikat cibimizdə idi.
Bundan əlavə, biz siyasətləri sıfırdan yazmaq fikrində deyildik - axırda, düşündüyümüz kimi, bizə bütün "düzgün" şablonları verməli olan bir məsləhətçimiz var idi.
Bu qənaətlər nəticəsində hər bir siyasəti hazırlamaq üçün 3 gün vaxt ayırdıq.
Texniki dəyişikliklər də qorxulu görünmədi: hadisələrin toplanması və saxlanmasını qurmaq, ehtiyat nüsxələrin yazdığımız siyasətə uyğun olub-olmadığını yoxlamaq, lazım olduqda ofisləri girişə nəzarət sistemləri ilə təchiz etmək və bir sıra digər kiçik şeylər lazım idi. .
Sertifikatlaşdırma üçün lazım olan hər şeyi hazırlayan komanda iki nəfərdən ibarət idi. Biz planlamışdıq ki, onlar öz əsas vəzifələri ilə paralel olaraq icraya cəlb olunacaqlar və bu, onların hər birinə gündə maksimum 1,5-2 saat vaxt aparacaq.
Ümumiləşdirsək, deyə bilərik ki, qarşıdan gələn iş miqyasına baxışımız kifayət qədər optimist idi.
Həqiqət
Reallıqda hər şey təbii olaraq fərqli idi: məsləhətçinin təqdim etdiyi siyasət şablonları şirkətimiz üçün əsasən uyğunsuz oldu; Nə və necə etmək barədə internetdə demək olar ki, aydın məlumat yox idi. Təsəvvür etdiyiniz kimi, “3 günə bir siyasət yazmaq” planı uğursuzluqla nəticələndi. Beləliklə, demək olar ki, layihənin əvvəlindən son tarixləri yerinə yetirməyi dayandırdıq və əhvalımız yavaş-yavaş düşməyə başladı.
Komandanın təcrübəsi fəlakətli dərəcədə kiçik idi - o qədər ki, məsləhətçiyə düzgün suallar vermək belə kifayət etmədi (yeri gəlmişkən, çox təşəbbüs göstərmədi). Həyata keçirilməyə başlayandan 3 ay sonra (yəni hər şey hazır olmalı olduğu anda) iki əsas iştirakçıdan biri komandanı tərk etdikdən sonra işlər daha da yavaş getməyə başladı. Onu İT xidmətinin yeni rəhbəri əvəz etdi, o, icra prosesini tez başa çatdırmalı və informasiya təhlükəsizliyinin idarə edilməsi sistemini texniki baxımdan ən zəruri olan hər şeylə təmin etməli idi. Tapşırıq çətin görünürdü... Məsul olanlar depressiyaya düşməyə başladılar.
Bundan əlavə, məsələnin texniki tərəfinin də “nüansları” olduğu ortaya çıxdı. Biz həm iş stansiyalarında, həm də server avadanlıqlarında proqram təminatının qlobal modernləşdirilməsi vəzifəsi ilə üzləşmişik. Hadisələri (logları) toplamaq üçün sistemi qurarkən məlum oldu ki, sistemin normal işləməsi üçün kifayət qədər aparat resurslarımız yoxdur. Və ehtiyat proqram təminatının da modernləşdirilməsinə ehtiyac var.
Spoiler: Nəticədə 6 ay ərzində BSMS qəhrəmancasına həyata keçirildi. Və heç kim ölmədi!
Ən çox nə dəyişdi?
Əlbəttə ki, standartın tətbiqi zamanı şirkətin proseslərində çoxlu sayda kiçik dəyişikliklər baş verdi. Biz sizin üçün ən əhəmiyyətli dəyişiklikləri vurğuladıq:
- Riskin qiymətləndirilməsi prosesinin rəsmiləşdirilməsi
Əvvəllər şirkətdə formal risklərin qiymətləndirilməsi prosesi yox idi - bu, yalnız ümumi strateji planlaşdırmanın bir hissəsi kimi keçməklə həyata keçirilirdi. Sertifikatlaşdırma çərçivəsində həll edilən ən mühüm vəzifələrdən biri bu prosesin bütün mərhələlərini və hər bir mərhələ üçün məsul şəxsləri təsvir edən şirkətin Riskin Qiymətləndirilməsi Siyasətinin həyata keçirilməsi idi.
- Çıxarılan yaddaş mediasına nəzarət
Biznes üçün əhəmiyyətli risklərdən biri şifrələnməmiş USB fleş disklərdən istifadə idi: əslində, hər hansı bir işçi ona mövcud olan istənilən məlumatı fləş diskə yaza bilər və ən yaxşı halda onu itirə bilərdi. Sertifikatlaşdırma çərçivəsində bütün işçilərin iş stansiyalarında istənilən məlumatı fləş disklərə yükləmək imkanı dayandırıldı - məlumatların qeyd edilməsi yalnız İT departamentinə müraciət vasitəsilə mümkün oldu.
- Super İstifadəçi Nəzarəti
Əsas problemlərdən biri bütün İT departamentinin işçilərinin bütün şirkət sistemlərində mütləq hüquqlara malik olması idi - onların bütün məlumatlara çıxışı var idi. Eyni zamanda, heç kim onlara həqiqətən nəzarət etmirdi.
Biz Data Loss Prevention (DLP) sistemini tətbiq etmişik - təhlükəli və məhsuldar olmayan fəaliyyətlər haqqında təhlil edən, bloklayan və xəbərdarlıq edən işçilərin hərəkətlərinin monitorinqi proqramı. İndi İT departamentinin əməkdaşlarının hərəkətləri barədə xəbərdarlıqlar şirkətin Əməliyyatlar Direktorunun elektron ünvanına göndərilir.
- İnformasiya infrastrukturunun təşkilinə yanaşma
Sertifikatlaşdırma qlobal dəyişikliklər və yanaşmalar tələb edirdi. Bəli, artan yüklə əlaqədar bir sıra server avadanlıqlarını təkmilləşdirməli olduq. Xüsusilə, hadisələrin toplanması sistemləri üçün ayrıca bir server ayırdıq. Server böyük və sürətli SSD diskləri ilə təchiz edilmişdir. Biz ehtiyat proqram təminatından imtina etdik və qutudan kənar bütün lazımi funksiyalara malik yaddaş sistemlərini seçdik. Biz bir sıra serverlərin ehtiyat nüsxəsini ləğv etməklə çoxlu disk sahəsinə qənaət etməyə imkan verən “kod kimi infrastruktur” konsepsiyasına doğru bir neçə böyük addım atdıq. Ən qısa müddətdə (1 həftə) iş stansiyalarında olan bütün proqram təminatı Win10-a yeniləndi. Modernləşdirmənin həll etdiyi məsələlərdən biri şifrələməni aktivləşdirmək imkanı idi (Pro versiyada).
- Kağız sənədlərə nəzarət
Şirkətin kağız sənədlərin istifadəsi ilə bağlı əhəmiyyətli riskləri var idi: onlar itirilə, yanlış yerdə qala və ya düzgün şəkildə məhv edilə bilər. Bu riski minimuma endirmək üçün biz bütün kağız sənədləri məxfilik səviyyəsinə uyğun olaraq qeyd etdik və müxtəlif növ sənədlərin məhv edilməsi prosedurunu hazırladıq. İndi işçi qovluğu açanda və ya sənəd götürəndə bu məlumatın hansı kateqoriyaya aid olduğunu və onunla necə davranacağını dəqiq bilir.
- Ehtiyat məlumat mərkəzinin icarəsi
Əvvəllər bütün şirkət məlumatları üçüncü tərəfin təhlükəsiz məlumat mərkəzində yerləşən serverlərdə saxlanılırdı. Bununla belə, bu məlumat mərkəzində fövqəladə prosedurlar mövcud deyildi. Həll yolu ehtiyat bulud məlumat mərkəzini icarəyə götürmək və oradakı ən vacib məlumatların ehtiyat nüsxəsini çıxarmaq idi. Hazırda şirkətin məlumatları coğrafi baxımdan uzaq olan iki məlumat mərkəzində saxlanılır ki, bu da onun itirilməsi riskini minimuma endirir.
- Biznesin davamlılığı testi
Şirkətimizdə bir neçə ildir ki, İş Davamlılığı Siyasəti (BCP) mövcuddur ki, bu siyasətdə işçilərin müxtəlif mənfi ssenarilərdə (ofisə girişin itirilməsi, epidemiya, elektrik kəsilməsi və s.) nə etməli olduqlarını təsvir edir. Bununla belə, biz heç vaxt davamlılıq testi keçirməmişik - yəni bu vəziyyətlərin hər birində biznesin bərpasının nə qədər vaxt aparacağını heç vaxt ölçməmişik. Sertifikatlaşdırma auditinə hazırlıq zamanı biz nəinki bunu etdik, həm də gələn il üçün biznesin davamlılığının sınaq planını hazırladıq. Qeyd edək ki, bir il sonra tamamilə uzaqdan işə keçmək zərurəti ilə üzləşəndə biz bu tapşırığı üç günə tamamladıq.
Qeyd etmək vacibdir, sertifikatlaşdırmaya hazırlaşan bütün şirkətlərin fərqli başlanğıc şərtləri var - buna görə də sizin vəziyyətinizdə tamamilə fərqli dəyişikliklər tələb oluna bilər.
İşçilərin dəyişikliklərə reaksiyası
Qəribədir - burada ən pisini gözləyirdik - o qədər də pis olmadı. Demək olmaz ki, həmkarlar sertifikat xəbərini böyük həvəslə aldılar, lakin bunlar aydın oldu:
- Bütün əsas işçilər bu tədbirin vacibliyini və qaçılmazlığını başa düşdülər;
- Bütün digər işçilər əsas işçilərə baxırdılar.
Əlbəttə ki, sənayemizin xüsusiyyətləri bizə çox kömək etdi - mühasibat funksiyalarının autsorsingi. Əməkdaşlarımızın böyük əksəriyyəti Rusiya qanunvericiliyində daimi dəyişikliklərin öhdəsindən yaxşı gəlir. Müvafiq olaraq, indi riayət edilməli olan bir neçə onlarla yeni qaydaların tətbiqi onlar üçün qeyri-adi bir şey deyildi.
Biz bütün əməkdaşlarımız üçün yeni məcburi ISO 27001 təlimi və sınaqları hazırlamışıq. Hamı itaətkarlıqla monitorlarından parolları olan yapışqan qeydləri çıxartdı və sənədlərlə dolu masaları yığışdırdı. Heç bir yüksək narazılıq hiss olunmadı - ümumiyyətlə, işçilərimizlə çox şanslı idik.
Beləliklə, biz biznes proseslərimizdəki dəyişikliklərlə bağlı ən ağrılı mərhələni - “depressiyanı” keçdik. Çətin və çətin idi, amma nəticədə nəticə bütün gözləntilərimizi üstələdi.
Seriyadan əvvəlki materialları oxuyun:
ISO/IEC 5 sertifikatının qaçılmazlığının 27001 mərhələsi. Depressiya.
ISO/IEC 5 sertifikatının qaçılmazlığının 27001 mərhələsi. Övladlığa götürmə.
Mənbə: www.habr.com