Փոփոխություններին հուզական արձագանքի չորրորդ փուլը դեպրեսիան է: Այս հոդվածում մենք ձեզ կպատմենք ամենաերկարատև և տհաճ փուլն անցնելու մեր փորձի մասին՝ ընկերության բիզնես գործընթացներում փոփոխությունների մասին՝ ISO 27001 ստանդարտին դրանց համապատասխանությանը հասնելու համար:
Ակնկալություն
Առաջին հարցը, որ մենք ինքներս մեզ տվեցինք սերտիֆիկացնող մարմնին և խորհրդատուին ընտրելուց հետո, այն էր, թե իրականում որքա՞ն ժամանակ կպահանջվի մեզ անհրաժեշտ բոլոր փոփոխությունները կատարելու համար:
Նախնական աշխատանքային պլանն այնպես էր ծրագրված, որ 3 ամսվա ընթացքում պետք է ավարտեինք։
Ամեն ինչ պարզ էր թվում. անհրաժեշտ էր գրել մի քանի տասնյակ քաղաքականություն և մի փոքր փոխել մեր ներքին գործընթացները. այնուհետև վերապատրաստեք գործընկերներին փոփոխությունների վերաբերյալ և սպասեք ևս 3 ամիս (որպեսզի հայտնվեն «գրառումներ», այսինքն՝ քաղաքականության գործողության ապացույցներ): Թվում էր, թե այսքանն էր, և վկայականը մեր գրպանում էր։
Բացի այդ, մենք չէինք պատրաստվում զրոյից քաղաքականություն գրել. ի վերջո, մենք ունեինք խորհրդատու, որը, ինչպես կարծում էինք, պետք է մեզ տար բոլոր «ճիշտ» ձևանմուշները:
Այս եզրակացությունների արդյունքում մենք 3 օր հատկացրեցինք յուրաքանչյուր քաղաքականություն պատրաստելու համար։
Տեխնիկական փոփոխությունները նույնպես սարսափելի տեսք չունեին. անհրաժեշտ էր ստեղծել իրադարձությունների հավաքածու և պահեստավորում, ստուգել, թե արդյոք կրկնօրինակները համապատասխանում են մեր գրած քաղաքականությանը, անհրաժեշտության դեպքում գրասենյակները վերազինել մուտքի վերահսկման համակարգերով և մի քանի այլ մանրուքներ: .
Հավաստագրման համար անհրաժեշտ ամեն ինչ պատրաստող թիմը բաղկացած էր երկու հոգուց։ Մենք նախատեսել էինք, որ նրանք իրենց հիմնական պարտականություններին զուգահեռ կներգրավվեն իրականացման մեջ, և դրա համար յուրաքանչյուրից օրական առավելագույնը 1,5-2 ժամ կպահանջվի։
Ամփոփելով կարելի է ասել, որ առաջիկա աշխատանքների շրջանակի վերաբերյալ մեր տեսակետը բավականին լավատեսական էր։
Իրականություն
Իրականում ամեն ինչ բնականաբար այլ էր. խորհրդատուի կողմից ներկայացված քաղաքականության ձևանմուշները մեր ընկերության համար հիմնականում կիրառելի չէին. Համացանցում գրեթե չկար հստակ տեղեկատվություն, թե ինչ եւ ինչպես անել։ Ինչպես կարող եք պատկերացնել, «3 օրում մեկ քաղաքականություն գրելու» ծրագիրը չարաչար ձախողվեց։ Այսպիսով, մենք դադարեցրինք վերջնաժամկետների պահպանումը նախագծի հենց սկզբից, և մեր տրամադրությունը սկսեց կամաց-կամաց ընկնել:
Թիմի փորձաքննությունը աղետալիորեն փոքր էր, այնքան, որ նույնիսկ բավարար չէր խորհրդատուին ճիշտ հարցեր տալը (ով, ի դեպ, մեծ նախաձեռնություն չցուցաբերեց): Գործերը սկսեցին էլ ավելի դանդաղ շարժվել, քանի որ իրականացման մեկնարկից 3 ամիս անց (այսինքն այն պահին, երբ ամեն ինչ պետք է պատրաստ լիներ), երկու հիմնական մասնակիցներից մեկը հեռացավ թիմից։ Նրան փոխարինեց ՏՏ ծառայության նոր ղեկավարը, ով պետք է արագ ավարտեր ներդրման գործընթացը և տեղեկատվական անվտանգության կառավարման համակարգին ապահովեր տեխնիկական տեսակետից ամենաանհրաժեշտը։ Առաջադրանքը դժվար թվաց... Պատասխանատուները սկսեցին ընկճվել։
Բացի այդ, «նյուանսներ» ուներ նաեւ հարցի տեխնիկական կողմը։ Մեր առջեւ խնդիր է դրված ծրագրային ապահովման արդիականացման գլոբալ թե՛ աշխատատեղերի, թե՛ սերվերային սարքավորումների վրա: Իրադարձությունների (տեղեկամատյանների) հավաքագրման համակարգը ստեղծելիս պարզվեց, որ մենք չունենք բավարար ապարատային ռեսուրսներ համակարգի բնականոն գործունեության համար: Իսկ պահեստային ծրագրակազմը նույնպես արդիականացման կարիք ուներ:
Spoiler. Արդյունքում ISMS-ը հերոսաբար իրականացվեց 6 ամսում։ Եվ ոչ ոք նույնիսկ չի մահացել:
Ի՞նչն է ամենաշատը փոխվել։
Իհարկե, ստանդարտի ներդրման ընթացքում ընկերության գործընթացներում տեղի են ունեցել մեծ թվով փոքր փոփոխություններ: Մենք առանձնացրել ենք ձեզ համար ամենակարևոր փոփոխությունները.
- Ռիսկերի գնահատման գործընթացի պաշտոնականացում
Նախկինում ընկերությունը ռիսկերի գնահատման ֆորմալ գործընթաց չուներ, դա արվում էր միայն անցողիկ՝ որպես ընդհանուր ռազմավարական պլանավորման մաս: Հավաստագրման շրջանակներում լուծված ամենակարևոր խնդիրներից մեկը ընկերության ռիսկերի գնահատման քաղաքականության իրականացումն էր, որը նկարագրում է այս գործընթացի բոլոր փուլերը և յուրաքանչյուր փուլի համար պատասխանատու անձանց:
- Վերահսկում շարժական կրիչների վրա
Բիզնեսի համար էական ռիսկերից մեկը չգաղտնագրված USB ֆլեշ կրիչների օգտագործումն էր. իրականում ցանկացած աշխատակից կարող էր իրեն հասանելի ցանկացած տեղեկություն գրել ֆլեշ կրիչի վրա և լավագույն դեպքում կորցնել այն: Որպես սերտիֆիկացման մաս, ցանկացած տեղեկատվություն ֆլեշ կրիչներ ներբեռնելու հնարավորությունն անջատվել է աշխատողների բոլոր աշխատատեղերում. տեղեկատվության ձայնագրումը հնարավոր է դարձել միայն ՏՏ բաժնի դիմումի միջոցով:
- Super User Control
Հիմնական խնդիրներից մեկն այն էր, որ ՏՏ բաժնի բոլոր աշխատակիցներն ունեին բացարձակ իրավունքներ ընկերության բոլոր համակարգերում. նրանց հասանելի էր ողջ ինֆորմացիան: Ընդ որում, ոչ ոք իրականում չի վերահսկում նրանց։
Մենք ներդրել ենք տվյալների կորստի կանխարգելման (DLP) համակարգ՝ աշխատողների գործողությունների մոնիտորինգի ծրագիր, որը վերլուծում, արգելափակում և ահազանգում է վտանգավոր և անարդյունավետ գործողությունների մասին: Այժմ ՏՏ բաժնի աշխատակիցների գործողությունների մասին ահազանգերը ուղարկվում են ընկերության գործառնական տնօրենի էլեկտրոնային հասցեին:
- Տեղեկատվական ենթակառուցվածքի կազմակերպման մոտեցում
Հավաստագրումը պահանջում էր գլոբալ փոփոխություններ և մոտեցումներ: Այո, մենք ստիպված էինք արդիականացնել մի շարք սերվերային սարքավորումներ՝ ավելացած ծանրաբեռնվածության պատճառով։ Մասնավորապես, մենք առանձին սերվեր ենք հատկացրել իրադարձությունների հավաքման համակարգերի համար։ Սերվերը հագեցած էր մեծ և արագ SSD կրիչներով: Մենք հրաժարվեցինք պահուստավորման ծրագրաշարից և ընտրեցինք պահեստավորման համակարգեր, որոնք ունեն բոլոր անհրաժեշտ ֆունկցիոնալությունը առանց տուփի: Մենք մի քանի մեծ քայլ արեցինք դեպի «ենթակառուցվածքը որպես կոդ» հայեցակարգը, որը մեզ թույլ տվեց խնայել սկավառակի մեծ տարածություն՝ վերացնելով մի շարք սերվերների կրկնօրինակման անհրաժեշտությունը: Հնարավորինս ամենակարճ ժամկետում (1 շաբաթ) աշխատանքային կայանների բոլոր ծրագրակազմը թարմացվել է Win10-ի: Խնդիրներից մեկը, որը լուծեց արդիականացումը, գաղտնագրումը միացնելու հնարավորությունն էր (Pro տարբերակում):
- Թղթային փաստաթղթերի վերահսկում
Ընկերությունն ուներ զգալի ռիսկեր՝ կապված թղթային փաստաթղթերի օգտագործման հետ՝ դրանք կարող էին կորցնել, թողնել սխալ տեղում կամ ոչ պատշաճ կերպով ոչնչացվել: Այս ռիսկը նվազագույնի հասցնելու համար մենք բոլոր թղթային փաստաթղթերը նշել ենք ըստ գաղտնիության մակարդակի և մշակել ենք տարբեր տեսակի փաստաթղթերի ոչնչացման ընթացակարգ: Այժմ, երբ աշխատակիցը բացում է թղթապանակը կամ վերցնում է փաստաթուղթ, նա հստակ գիտի, թե որ կատեգորիային է պատկանում այս տեղեկատվությունը և ինչպես վարվել դրա հետ:
- Պահուստային տվյալների կենտրոնի վարձույթ
Նախկինում ընկերության ամբողջ տեղեկատվությունը պահվում էր երրորդ կողմի անվտանգ տվյալների կենտրոնում տեղակայված սերվերների վրա: Այնուամենայնիվ, այս տվյալների կենտրոնում արտակարգ իրավիճակների ընթացակարգեր չեն եղել: Լուծումը կայանում էր նրանում, որ պահեստային ամպային տվյալների կենտրոն վարձելն ու այնտեղ եղած ամենակարևոր տեղեկատվության կրկնօրինակումը: Ներկայումս ընկերության տեղեկատվությունը պահվում է երկու աշխարհագրորեն հեռավոր տվյալների կենտրոններում, ինչը նվազագույնի է հասցնում դրա կորստի ռիսկը:
- Բիզնեսի շարունակականության փորձարկում
Մեր ընկերությունն արդեն մի քանի տարի գործում է բիզնեսի շարունակականության քաղաքականություն (BCP), որը նկարագրում է, թե ինչ պետք է անեն աշխատակիցները տարբեր բացասական սցենարների դեպքում (գրասենյակ մուտքի կորուստ, համաճարակ, էլեկտրաէներգիայի անջատում և այլն): Այնուամենայնիվ, մենք երբեք չենք իրականացրել շարունակականության թեստավորում, այսինքն՝ մենք երբեք չենք չափել, թե որքան ժամանակ կպահանջվի այս իրավիճակներից յուրաքանչյուրում բիզնեսը վերականգնելու համար: Հավաստագրման աուդիտին նախապատրաստվելիս մենք ոչ միայն դա արեցինք, այլև մշակեցինք բիզնեսի շարունակականության թեստավորման պլան գալիք տարվա համար: Հարկ է նշել, որ մեկ տարի անց, երբ մենք կանգնած էինք հեռավար աշխատանքին ամբողջությամբ անցնելու անհրաժեշտության առաջ, այս առաջադրանքը կատարեցինք երեք օրում։
Կարեւոր է նշել, որ սերտիֆիկացման նախապատրաստվող բոլոր ընկերությունները մեկնարկային տարբեր պայմաններ ունեն, հետևաբար, ձեր դեպքում կարող են պահանջվել բոլորովին այլ փոփոխություններ:
Աշխատակիցների արձագանքը փոփոխություններին
Տարօրինակ կերպով, այստեղ մենք սպասում էինք ամենավատը, պարզվեց, որ ոչ այնքան վատ: Չի կարելի ասել, որ գործընկերները մեծ ոգևորությամբ ընդունեցին հավաստագրման լուրը, բայց պարզ էր հետևյալը.
- Բոլոր հիմնական աշխատակիցները հասկացան այս իրադարձության կարևորությունն ու անխուսափելիությունը.
- Մնացած բոլոր աշխատակիցները նայեցին հիմնական աշխատակիցներին:
Իհարկե, մեզ շատ օգնեց մեր ոլորտի առանձնահատկությունները՝ հաշվապահական գործառույթների աութսորսինգը։ Մեր աշխատակիցների ճնշող մեծամասնությունը լավ է հաղթահարում Ռուսաստանի օրենսդրության մշտական փոփոխությունները: Ըստ այդմ, մի քանի տասնյակ նոր կանոնների ներդրումը, որոնք այժմ պետք է պահպանվեն, նրանց համար արտառոց բան չէր։
Մենք պատրաստել ենք նոր պարտադիր ISO 27001 ուսուցում և թեստավորում մեր բոլոր աշխատակիցների համար: Բոլորը հնազանդորեն հեռացրել են գաղտնաբառերով կպչուն գրառումները իրենց մոնիտորներից և մաքրել փաստաթղթերով լի գրասեղանները: Բարձրագոչ դժգոհություն չնկատվեց՝ ընդհանուր առմամբ, մեր բախտը շատ բերեց մեր աշխատակիցների հետ։
Այսպիսով, մենք անցել ենք ամենացավոտ փուլը՝ «դեպրեսիան», որը կապված է մեր բիզնես գործընթացների փոփոխությունների հետ։ Ծանր ու դժվար էր, բայց արդյունքն ի վերջո գերազանցեց մեր բոլոր ամենախիստ սպասումները։
Կարդացեք շարքի նախորդ նյութերը.
ISO/IEC 5 հավաստագրման անխուսափելիության 27001 փուլ. Դեպրեսիա.
ISO/IEC 5 հավաստագրման անխուսափելիության 27001 փուլ. Որդեգրում.
Source: www.habr.com