Чацвёртая стадыя эмацыйнага рэагавання на змены - дэпрэсія. У гэтым артыкуле мы раскажам вам аб нашым вопыце праходжання самай зацяжной і малапрыемнай стадыі – аб зменах бізнес-працэсаў кампаніі з мэтай дасягнення іх адпаведнасці стандарту ISO 27001.
Чаканне
Першае пытанне, якім мы задаліся пасля выбару сертыфікавальнага органа і кансультанта - колькі часу нам рэальна спатрэбіцца на ўсе неабходныя змены?
Першапачатковы план работ быў распісаны так, што мы павінны былі ўкласціся за 3 месяцы.
Усё выглядала проста: неабходна было напісаць пару дзясяткаў палітык і злёгку памяняць нашы ўнутраныя працэсы; затым навучыць зменам калег і пачакаць яшчэ 3 месяцы (каб з'явіліся "запісы", гэта значыць доказы функцыянавання палітык). Здавалася, што на гэтым усё - і сертыфікат у нас у кішэні.
Да таго ж палітыкі мы не збіраліся пісаць з нуля - бо ў нас быў кансультант, які павінен быў - як мы думалі - скінуць нам усе "правільныя" шаблоны.
У выніку гэтых высноваў мы заклалі на падрыхтоўку кожнай палітыкі па 3 дні.
Тэхнічныя змены таксама не выглядалі жахлівымі: неабходна было наладзіць збор і захоўванне падзей, праверыць, ці адпавядаюць бэкапы палітыцы, якую мы напісалі, дааснасціць, дзе гэта неабходна, кабінеты СКУДам і яшчэ крыху рознага па дробязі.
Каманда, якая рыхтуе ўсё неабходнае для сертыфікацыі, складалася з дзвюх чалавек. Мы планавалі, што яны будуць займацца ўкараненнем паралельна са сваімі асноўнымі абавязкамі, і ў кожнага гэта будзе адымаць максімум 1,5-2 гадзіны за дзень.
Рэзюмуючы, можна сказаць, што наш погляд на маючы адбыцца аб'ём работ быў даволі аптымістычным.
Рэальнасць
Насамрэч усё, натуральна, было інакш: шаблоны палітык, прадстаўленыя кансультантам, апынуліся пераважна непрыдатнымі да нашай кампаніі; у Інтэрнэце амаль не было зразумелай інфармацыі наконт таго, што і як трэба рабіць. Як вы разумееце, план "пісаць адну палітыку за 3 дні" з трэскам праваліўся. Так мы перасталі ўкладвацца ў тэрміны практычна з самага пачатку праекту, а градус настрою пачаў павольна падаць.
Экспертызы каманды было катастрафічна мала - настолькі, што яе не хапала нават на тое, каб задаваць правільныя пытанні кансультанту (які, дарэчы, не выяўляў вялікай колькасці ініцыятывы). Справа стала прасоўвацца яшчэ павольней, бо праз 3 месяцы пасля старту ўкаранення (гэта значыць у той момант, калі ўсё ўжо павінна было быць гатова), каманду пакінуў адзін з двух ключавых удзельнікаў. На яго месца прыйшоў новы кіраўнік IT-службы, які павінен быў у кароткі тэрмін завяршыць працэс укаранення і забяспечыць сістэму менеджменту інфармацыйнай бяспекі ўсім самым неабходным з тэхнічнага пункту гледжання. Задача выглядала складанай… Адказныя пачалі ўпадаць у дэпрэсію.
Да таго ж тэхнічны бок пытання таксама аказаўся з «нюансамі». Мы паўсталі перад задачай глабальнай мадэрнізацыі ПЗ як на працоўных станцыях, так і на серверным абсталяванні. У ходзе наладкі сістэмы для збору падзей (логаў) высветлілася, што нам не хапае апаратных рэсурсаў для нармальнага функцыянавання сістэмы. Ды і ПА для рэзервовага капіявання таксама мела патрэбу ў мадэрнізацыі.
Спойлер: У выніку СМІ была гераічна ўкаранёная за 6 месяцаў. І нават ніхто не памёр!
Што змянілася больш за ўсё?
Безумоўна, у працэсе ўкаранення стандарту ў працэсах кампаніі адбылося вялікая колькасць дробных змен. Для вас мы вылучылі самыя істотныя змены:
- Фармалізацыя працэсу ацэнкі рызык
Раней у кампаніі не было ніякай фармалізаванай працэдуры ацэнкі рызык - гэта рабілася толькі мімаходзь у рамках агульнага стратэгічнага планавання. Адной з найважнейшых задач, вырашаных у рамках сертыфікацыі, стала ўкараненне Палітыкі па адзнакі рызык кампаніі, які апісвае ўсе стадыі дадзенага працэсу і адказных за кожны этап асоб.
- Кантроль над здымнымі носьбітамі інфармацыі
Адным з істотных рызык для бізнэсу было выкарыстанне незашыфраваных USB-флэш-назапашвальнікаў: у сутнасці, любы супрацоўнік мог запісаць любую даступную яму інфармацыю на флэшку і ў лепшым выпадку страціць яе. У рамках сертыфікацыі на ўсіх працоўных станцыях супрацоўнікаў была адключаная магчымасць запампоўкі любой інфармацыі на флэшкі - запіс інфармацыі стала магчымым толькі праз заяўку ў ІТ-аддзел.
- Кантроль за суперкарыстальнікамі
Адной з асноўных праблем быў той факт, што ўсе супрацоўнікі IT-аддзела мелі абсалютныя правы ва ўсіх сістэмах кампаніі - валодалі доступам да ўсёй інфармацыі. Пры гэтым іх пры гэтым ніхто толкам не кантраляваў.
Мы ўкаранілі сістэму Data Loss Prevention (DLP) - праграма для кантролю дзеянняў супрацоўнікаў, якая займаецца аналізам, блакіроўкай і абвесткамі аб небяспечнай і непрадуктыўнай дзейнасці. Цяпер абвесткі аб дзеяннях супрацоўнікаў ІТ-аддзела прыходзяць на пошту Аперацыйнаму Дырэктару кампаніі.
- Падыход да арганізацыі інфармацыйнай інфраструктуры
Сертыфікацыя запатрабавала глабальных змен і падыходаў. Так, нам прыйшлося мадэрнізаваць шэраг сервернага абсталявання, у сувязі з якая павялічылася нагрузкай. У прыватнасці, мы вылучылі асобны сервер пад сістэмы збору падзей. Сервер быў укамплектаваны аб'ёмнымі і хуткімі назапашвальнікамі SSD. Мы адмовіліся ад ПА для бэкапаў і зрабілі выбар у карысць сістэм захоўвання, якія "са скрынкі" маюць увесь неабходны функцыянал. Зрабілі некалькі вялікіх крокаў у бок канцэпцыі "інфраструктура як код", што дазволіла зэканоміць шмат дыскавай прасторы, за кошт адмовы ад рэзервовага капіявання шэрагу сервераў. У найкароткія тэрміны (1 тыдзень) было мадэрнізавана ўсё ПА на працоўных станцыях да Win10. Адно з пытанняў, якое вырашыла мадэрнізацыя - магчымасць уключэння шыфрацыі (у версіі Pro).
- Кантроль за папяровымі дакументамі
У кампаніі былі істотныя рызыкі, звязаныя з выкарыстаннем папяровых дакументаў: іх можна было страціць, пакінуць у неналежным месцы ці няправільна знішчыць. Для мінімізацыі такой рызыкі мы прамаркіравалі ўсе папяровыя дакументы па ступені канфідэнцыйнасці і распрацавалі парадак знішчэння розных тыпаў дакументаў. Цяпер, калі супрацоўнік адчыняе тэчку або бярэ дакумент, ён сапраўды ведае ў якую катэгорыю пападае гэтая інфармацыя і як з ёй варта звяртацца.
- Арэнда рэзервовага дата-цэнтра
Раней уся інфармацыя кампаніі захоўвалася на серверах, размешчаных у іншым абароненым дата-цэнтры. Аднак не было прадугледжана працэдур на выпадак аварый у гэтым дата-цэнтры. Рашэннем стала арэнда рэзервовага хмарнага дата-цэнтра і бэкапіраванне туды найбольш важнай інфармацыі. Цяпер інфармацыя кампаніі захоўваецца ў двух тэрытарыяльна выдаленых дата-цэнтрах, што дазваляе мінімізаваць рызыку яе страты.
- Тэставанне бесперапыннасці бізнэсу
У нашай кампаніі ўжо некалькі гадоў дзейнічала Палітыка бесперапыннасці бізнэсу (BCP), якая апісвае парадак дзеянняў супрацоўнікаў пры розных негатыўных сцэнарах (страта доступу да офіса, эпідэмія, адключэнне электрычнасці і гэтак далей). Аднак, мы ніколі не праводзілі тэставанне бесперапыннасці - гэта значыць, ніколі не замяралі, якую колькасць часу зойме аднаўленне бізнесу ў кожнай з гэтых сітуацый. У рамках падрыхтоўкі да сертыфікацыйнага аўдыту мы не толькі зрабілі гэта, але і распрацавалі план тэсціравання бесперапыннасці бізнесу на бліжэйшы год. Трэба адзначыць, што праз год, калі мы сутыкнуліся з неабходнасцю поўнага пераходу на дыстанцыйны рэжым працы, мы справіліся з гэтай задачай за тры дні.
важна адзначыць, Што ва ўсіх кампаній, якія рыхтуюцца да сертыфікацыі, розныя стартавыя ўмовы - таму ў вашым выпадку могуць спатрэбіцца зусім іншыя змены.
Рэакцыя супрацоўнікаў на змены
Як ні дзіўна - тут мы чакалі горшага - атрымалася не так дрэнна. Нельга сказаць, што калегі ўспрынялі навіну аб сертыфікацыі з велізарным энтузіязмам, але ясна было наступнае:
- Усе ключавыя супрацоўнікі разумелі важнасць і непазбежнасць гэтага мерапрыемства;
- Усе іншыя супрацоўнікі былі роўныя на ключавых супрацоўнікаў.
Вядома, нам вельмі дапамагла спецыфіка нашай галіны - аўтсорсінг уліковых функцый. Абсалютная большасць нашых супрацоўнікаў выдатна спраўляецца са сталымі зменамі ў заканадаўстве РФ. Адпаведна, укараненне пары дзясяткаў новых правіл, якія зараз трэба выконваць, для іх не стала чымсьці незвычайным.
Мы падрыхтавалі новы абавязковы трэнінг па ISO 27001 і тэсціраванне для ўсіх нашых супрацоўнікаў. Усе паслухмяна знялі са сваіх манітораў стыкеры з паролямі і разабралі заваленыя дакументамі сталы. Ніякай гучнай незадаволенасці заўважана не было - увогуле, з супрацоўнікамі нам вельмі павезла.
Такім чынам, мы прайшлі самую балючую стадыю - "дэпрэсіі" - звязаную са зменамі нашых бізнес-працэсаў. Гэта было цяжка і складана, але вынік у выніку перасягнуў усе самыя смелыя чаканні.
Чытайце папярэднія матэрыялы з цыклу:
5 стадый непазбежнасці прыняцця ISO/IEC 27001 сертыфікацыі. Дэпрэсія.
5 стадый непазбежнасці прыняцця ISO/IEC 27001 сертыфікацыі. Прыняцце.
Крыніца: habr.com