La kvara etapo de emocia respondo al ŝanĝo estas depresio. En ĉi tiu artikolo ni rakontos al vi pri nia sperto trairi la plej longedaŭran kaj malagrablan etapon - pri ŝanĝoj en la komercaj procezoj de la kompanio por atingi ilian konformecon al la normo ISO 27001.
Atendante
La unua demando, kiun ni faris al ni mem post elekto de la atestanta korpo kaj konsultisto, estis kiom da tempo ni vere bezonus por fari ĉiujn necesajn ŝanĝojn?
La komenca laborplano estis planita tiel, ke ni devis plenumi ĝin ene de 3 monatoj.
Ĉio aspektis simpla: necesis verki kelkajn dekojn da politikoj kaj iomete ŝanĝi niajn internajn procezojn; poste trejnu kolegojn pri la ŝanĝoj kaj atendu ankoraŭ 3 monatojn (por ke aperu "rekordoj", tio estas pruvoj pri funkciado de la politikoj). Ŝajnis, ke tio estas ĉio — kaj la atestilo estis en nia poŝo.
Krome, ni ne intencis verki politikojn de nulo - finfine ni havis konsiliston, kiu, kiel ni pensis, devis doni al ni ĉiujn "ĝustajn" ŝablonojn.
Rezulte de ĉi tiuj konkludoj, ni asignis 3 tagojn por prepari ĉiun politikon.
La teknikaj ŝanĝoj ankaŭ ne aspektis timiga: necesis starigi la kolekton kaj konservadon de eventoj, kontroli ĉu la sekurkopioj konformas al la politiko, kiun ni skribis, renovigi la oficejojn per alirkontrolaj sistemoj kie necese, kaj kelkajn aliajn malgrandajn aferojn. .
La teamo preparanta ĉion necesan por atestado konsistis el du homoj. Ni planis, ke ili partoprenos en efektivigo paralele kun siaj ĉefaj respondecoj, kaj ĉi tio bezonus ĉiun el ili maksimume 1,5-2 horojn tage.
Por resumi, ni povas diri, ke nia opinio pri la venonta laborkampo estis sufiĉe optimisma.
Realaĵo
En realeco, ĉio estis nature malsama: la politikaj ŝablonoj provizitaj de la konsultisto montriĝis plejparte neaplikeblaj al nia firmao; Preskaŭ ne estis klaraj informoj en la Interreto pri kio kaj kiel fari. Kiel vi povas imagi, la plano "skribi unu politikon en 3 tagoj" malsukcesis mizere. Do ni ĉesis renkonti limdatojn preskaŭ ekde la komenco mem de la projekto, kaj nia humoro komencis malrapide malkreski.
La kompetenteco de la teamo estis katastrofe malgranda - tiom ke eĉ ne sufiĉis demandi la ĝustajn demandojn al la konsultisto (kiu, cetere, ne montris multe da iniciato). Aferoj komencis moviĝi eĉ pli malrapide, ĉar 3 monatojn post la komenco de efektivigo (tio estas, en la momento, kiam ĉio devus esti preta), unu el la du ĉefaj partoprenantoj forlasis la teamon. Li estis anstataŭigita per nova estro de la IT-servo, kiu devis rapide plenumi la efektivigprocezon kaj provizi la informan sekurecan administran sistemon per ĉio plej necesa el teknika vidpunkto. La tasko aspektis malfacila... La respondeculoj komencis deprimiĝi.
Krome, la teknika flanko de la afero ankaŭ montriĝis havi "nuancojn". Ni alfrontas la taskon de tutmonda programaro modernigo kaj sur laborstacioj kaj sur servilaj ekipaĵoj. Dum la agordo de la sistemo por kolekti eventojn (protokolojn), montriĝis, ke ni ne havas sufiĉe da aparataj rimedoj por la normala funkciado de la sistemo. Kaj la rezerva programaro ankaŭ bezonis modernigon.
Spoiler: Kiel rezulto, la ISMS estis heroe efektivigita en 6 monatoj. Kaj neniu eĉ mortis!
Kio plej ŝanĝiĝis?
Kompreneble, dum la efektivigo de la normo, granda nombro da malgrandaj ŝanĝoj okazis en la procezoj de la kompanio. Ni emfazis la plej gravajn ŝanĝojn por vi:
- Formaligo de la riska taksa procezo
Antaŭe, la firmao havis neniun formalan riskan taksadprocezon - ĝi estis farita nur preterpase kiel parto de ĝenerala strategia planado. Unu el la plej gravaj taskoj solvitaj kiel parto de la atestado estis la efektivigo de la Risktakso-Politiko de la kompanio, kiu priskribas ĉiujn stadiojn de ĉi tiu procezo kaj la respondecajn respondecajn por ĉiu etapo.
- Kontrolo super forpreneblaj stokadmedioj
Unu el la signifaj riskoj por komerco estis la uzo de neĉifritaj USB-memordiskoj: fakte, ĉiu dungito povis skribi ajnan informon disponeblan al li sur flash drive kaj, en la plej bona kazo, perdi ĝin. Kadre de la atesto, la kapablo elŝuti ajnajn informojn sur poŝmemoriloj estis malŝaltita en ĉiuj dungitaj laborstacioj - registri informojn fariĝis ebla nur per aplikaĵo al la IT-sekcio.
- Super Uzanto-Kontrolo
Unu el la ĉefaj problemoj estis la fakto, ke ĉiuj dungitoj de IT-fako havis absolutajn rajtojn en ĉiuj kompanioj - ili havis aliron al ĉiuj informoj. Samtempe neniu vere kontrolis ilin.
Ni efektivigis sistemon de Preventado de Perdo de Datumoj (DLP) - programo por monitori agojn de dungitoj, kiu analizas, blokas kaj atentigas pri danĝeraj kaj neproduktemaj agadoj. Nun atentigoj pri la agoj de IT-sekciaj dungitoj estas senditaj al la retadreso de la Operacia Direktoro de la kompanio.
- Aliro al organizado de informa infrastrukturo
Atestado postulis tutmondajn ŝanĝojn kaj alirojn. Jes, ni devis ĝisdatigi kelkajn servilojn pro la pliigita ŝarĝo. Precipe ni dediĉis apartan servilon por evento-kolektaj sistemoj. La servilo estis ekipita per grandaj kaj rapidaj SSD-diskoj. Ni forlasis rezervan programaron kaj elektis stokajn sistemojn, kiuj havas ĉiujn necesajn funkciojn el la skatolo. Ni faris plurajn grandajn paŝojn al la koncepto "infrastrukturo kiel kodo", kiu permesis al ni ŝpari multe da diskospaco forigante la bezonon sekurigi kelkajn servilojn. En la plej mallonga ebla tempo (1 semajno), ĉiuj programoj sur laborstacioj estis ĝisdatigitaj al Win10. Unu el la problemoj solvitaj de la modernigo estas la kapablo ebligi ĉifradon (en la Pro versio).
- Kontrolo de paperaj dokumentoj
La firmao havis signifajn riskojn asociitajn kun la uzo de paperaj dokumentoj: ili povus esti perditaj, lasitaj en la malĝusta loko, aŭ nedece detruitaj. Por minimumigi ĉi tiun riskon, ni markis ĉiujn paperajn dokumentojn laŭ la nivelo de konfidenco kaj evoluigis proceduron por detrui malsamajn specojn de dokumentoj. Nun, kiam dungito malfermas dosierujon aŭ prenas dokumenton, li scias precize en kiu kategorio apartenas ĉi tiu informo kaj kiel trakti ĝin.
- Luado de rezerva datumcentro
Antaŭe, ĉiuj kompanioj informoj estis stokitaj sur serviloj situantaj en triaparta sekura datumcentro. Tamen, ne ekzistis krizaj proceduroj en ĉi tiu datumcentro. La solvo estis lui rezervan nuban datumcentron kaj konservi la plej gravajn informojn tie. Nuntempe, la informoj de la kompanio estas stokitaj en du geografie malproksimaj datumcentroj, kio minimumigas la riskon de ĝia perdo.
- Testado pri komerca kontinueco
Nia firmao havas Komercan Kontinuan Politikon (BCP) en loko dum pluraj jaroj, kiu priskribas kion dungitoj devas fari en diversaj negativaj scenaroj (perdo de aliro al la oficejo, epidemio, elektropaneo, ktp.). Tamen, ni neniam faris kontinuecajn provojn - tio estas, ni neniam mezuris kiom longe necesus restarigi la komercon en ĉiu el ĉi tiuj situacioj. Prepare por la atesta revizio, ni ne nur faris tion, sed ankaŭ evoluigis komercan kontinuec-testplanon por la venonta jaro. Indas noti, ke unu jaron poste, kiam ni alfrontis la bezonon tute ŝanĝi al fora laboro, ni plenumis ĉi tiun taskon en tri tagoj.
Gravas noti, ke ĉiuj kompanioj prepariĝantaj por atestado havas malsamajn komencajn kondiĉojn - tial, en via kazo, povas esti postulataj tute malsamaj ŝanĝoj.
Reagoj de dungitoj al ŝanĝoj
Sufiĉe strange - ĉi tie ni atendis la plej malbonan - ĝi rezultis ne tiom malbona. Oni ne povas diri, ke kolegoj ricevis la novaĵon pri atestado kun granda entuziasmo, sed la jena estis klara:
- Ĉiuj ŝlosilaj dungitoj komprenis la gravecon kaj neeviteblon de ĉi tiu evento;
- Ĉiuj aliaj dungitoj rigardis supren al ŝlosilaj dungitoj.
Kompreneble, la specifaĵoj de nia industrio multe helpis nin - subkontraktado de kontadaj funkcioj. La granda plimulto de niaj dungitoj bone traktas konstantajn ŝanĝojn en rusa leĝaro. Sekve, la enkonduko de kelkaj dekduoj da novaj reguloj, kiujn nun devas esti observitaj, ne estis io eksterordinara por ili.
Ni preparis novajn devigajn ISO 27001 trejnadon kaj testadon por ĉiuj niaj dungitoj. Ĉiuj obeeme forigis la gluigajn notojn kun pasvortoj de siaj ekranoj kaj malbaris la skribotablojn plenigitajn de dokumentoj. Neniu laŭta malkontento estis rimarkita - ĝenerale, ni estis tre bonŝancaj kun niaj dungitoj.
Tiel, ni pasis la plej doloran etapon - "depresion" - asociitan kun ŝanĝoj en niaj komercaj procezoj. Estis malfacile kaj malfacile, sed la rezulto finfine superis ĉiujn niajn plej sovaĝajn atendojn.
Legu antaŭajn materialojn de la serio:
5 stadioj de la neeviteblo de ISO/IEC 27001-atestado. Depresio.
5 stadioj de la neeviteblo de ISO/IEC 27001-atestado. Adopcio.
fonto: www.habr.com