Fjórða stig tilfinningalegra viðbragða við breytingum er þunglyndi. Í þessari grein munum við segja þér frá reynslu okkar af því að fara í gegnum langdregnasta og óþægilegasta stigið - um breytingar á viðskiptaferlum fyrirtækisins til að ná samræmi þeirra við ISO 27001 staðalinn.
Eftirvænting
Fyrsta spurningin sem við spurðum okkur eftir að hafa valið vottunaraðilann og ráðgjafann var hversu mikinn tíma við þurfum í raun og veru til að gera allar nauðsynlegar breytingar?
Upphafleg verkáætlun var tímasett þannig að við þurftum að klára hana innan 3ja mánaða.
Allt leit einfalt út: það var nauðsynlegt að skrifa nokkra tugi stefnu og breyta aðeins innri ferlum okkar; þjálfaðu síðan samstarfsmenn um breytingarnar og bíddu í 3 mánuði í viðbót (svo að „skrár“ birtist, það er vísbendingar um virkni stefnunnar). Það virtist vera allt og sumt - og skírteinið var í vasa okkar.
Að auki ætluðum við ekki að skrifa stefnur frá grunni - eftir allt saman vorum við með ráðgjafa sem, eins og við héldum, átti að gefa okkur öll „rétt“ sniðmát.
Vegna þessara ályktana gáfum við 3 dögum til að undirbúa hverja stefnu.
Tæknibreytingarnar virtust heldur ekki ógnvekjandi: það var nauðsynlegt að setja upp söfnun og geymslu viðburða, athuga hvort öryggisafritin samræmast stefnunni sem við skrifuðum, endurnýja skrifstofurnar með aðgangsstýringarkerfum þar sem þörf krefur og ýmislegt annað smálegt. .
Liðið sem undirbjó allt sem þarf fyrir vottun samanstóð af tveimur mönnum. Við ætluðum að taka þátt í framkvæmd samhliða meginskyldum sínum og það tæki hvern þeirra að hámarki 1,5-2 tíma á dag.
Til að draga saman má segja að sýn okkar á komandi verksviði hafi verið nokkuð bjartsýn.
Reality
Í raun og veru var náttúrulega allt öðruvísi: stefnusniðmátið sem ráðgjafinn lagði fram reyndust að mestu óviðeigandi fyrir fyrirtæki okkar; Það voru nánast engar skýrar upplýsingar á netinu um hvað og hvernig ætti að gera. Eins og þú getur ímyndað þér mistókst áætlunin um að „skrifa eina stefnu á 3 dögum“ hrapallega. Við hættum því að standa við tímamörk nánast strax í upphafi verkefnisins og skapið fór hægt og rólega að falla.
Sérfræðiþekking teymisins var hörmulega lítil - svo mjög að það var ekki einu sinni nóg að spyrja réttu spurninganna til ráðgjafans (sem, við the vegur, sýndi ekki mikið frumkvæði). Hlutirnir fóru að ganga enn hægar, þar sem 3 mánuðum eftir að innleiðingin hófst (þ.e. í augnablikinu þegar allt hefði átt að vera tilbúið), fór annar af tveimur lykilþátttakendum úr liðinu. Í hans stað kom nýr yfirmaður upplýsingatækniþjónustu sem þurfti að klára innleiðingarferlið fljótt og útvega stjórnkerfi upplýsingaöryggis allt sem nauðsynlegast var út frá tæknilegu sjónarmiði. Verkefnið leit út fyrir að vera erfitt... Þeir sem stjórnuðu fóru að verða þunglyndir.
Að auki reyndist tæknilega hlið málsins einnig hafa „blæbrigði“. Við stöndum frammi fyrir því verkefni að nútímavæða hugbúnað á heimsvísu, bæði á vinnustöðvum og netþjónabúnaði. Þegar kerfið var sett upp til að safna atburðum (loggum), kom í ljós að við höfðum ekki nægjanlegt vélbúnaðarúrræði fyrir eðlilega virkni kerfisins. Og öryggisafritunarhugbúnaðurinn þurfti líka að nútímavæða.
Spoiler: Þess vegna var ISMS hetjulega innleitt á 6 mánuðum. Og enginn dó einu sinni!
Hvað hefur breyst mest?
Auðvitað, við innleiðingu staðalsins, urðu margar smábreytingar á ferlum fyrirtækisins. Við höfum bent á mikilvægustu breytingarnar fyrir þig:
- Formfesting áhættumatsferlisins
Áður hafði fyrirtækið ekkert formlegt áhættumatsferli - það var aðeins gert í framhjáhlaupi sem hluti af heildar stefnumótun. Eitt mikilvægasta verkefnið sem leyst var í tengslum við vottunina var innleiðing á áhættumatsstefnu fyrirtækisins sem lýsir öllum stigum þessa ferlis og ábyrgðarmönnum hvers áfanga.
- Stjórn yfir færanlegum geymslumiðlum
Ein af mikilvægustu áhættunni fyrir fyrirtæki var notkun ódulkóðaðra USB-drifa: í raun gæti hvaða starfsmaður sem er skrifað allar upplýsingar sem hann hafði tiltækar á glampi drif og í besta falli týnt þeim. Sem hluti af vottuninni var hæfileikinn til að hlaða niður öllum upplýsingum á glampi drif óvirkur á öllum vinnustöðvum starfsmanna - skráning upplýsinga varð aðeins möguleg með forriti til upplýsingatæknideildarinnar.
- Ofur notendastýring
Eitt helsta vandamálið var sú staðreynd að allir starfsmenn upplýsingatæknideildarinnar höfðu alger réttindi í öllum fyrirtækjakerfum - þeir höfðu aðgang að öllum upplýsingum. Á sama tíma stjórnaði þeim í raun enginn.
Við höfum innleitt Data Loss Prevention (DLP) kerfi - forrit til að fylgjast með aðgerðum starfsmanna sem greinir, lokar og varar við hættulegum og óframleiðandi athöfnum. Nú eru tilkynningar um aðgerðir starfsmanna upplýsingatæknideildar sendar á netfang rekstrarstjóra fyrirtækisins.
- Nálgun við að skipuleggja upplýsingainnviði
Vottun krafðist alþjóðlegra breytinga og nálgunar. Já, við þurftum að uppfæra fjölda netþjónabúnaðar vegna aukins álags. Sérstaklega höfum við tileinkað sérstakan netþjón fyrir viðburðasöfnunarkerfi. Miðlarinn var búinn stórum og hröðum SSD drifum. Við hættum afritunarhugbúnaði og völdum geymslukerfi sem hafa alla nauðsynlega virkni úr kassanum. Við tókum nokkur stór skref í átt að hugmyndinni um „innviði sem kóða“, sem gerði okkur kleift að spara mikið pláss með því að útrýma öryggisafriti á fjölda netþjóna. Á sem skemmstum tíma (1 viku) var allur hugbúnaður á vinnustöðvum uppfærður í Win10. Eitt af vandamálunum sem nútímavæðingin leysti var hæfileikinn til að virkja dulkóðun (í Pro útgáfunni).
- Eftirlit með pappírsskjölum
Fyrirtækið hafði umtalsverða áhættu í tengslum við notkun pappírsskjala: þau gætu glatast, skilin eftir á röngum stað eða eytt á óviðeigandi hátt. Til að lágmarka þessa áhættu höfum við merkt öll pappírsskjöl í samræmi við trúnaðarstig og þróað verklag til að eyða mismunandi gerðum skjala. Nú, þegar starfsmaður opnar möppu eða tekur skjal, veit hann nákvæmlega í hvaða flokk þessar upplýsingar falla og hvernig á að meðhöndla þær.
- Leiga á varagagnaveri
Áður voru allar upplýsingar um fyrirtæki geymdar á netþjónum sem staðsettir voru í öruggu gagnaveri þriðja aðila. Hins vegar voru engar neyðaraðgerðir til staðar í þessari gagnaver. Lausnin var að leigja varaskýjagagnaver og taka afrit af mikilvægustu upplýsingum þar. Eins og er eru upplýsingar fyrirtækisins geymdar í tveimur landfræðilega afskekktum gagnaverum, sem lágmarkar hættuna á tapi þeirra.
- Samfelluprófun fyrirtækja
Fyrirtækið okkar hefur haft viðskiptasamfellustefnu (BCP) í gildi í nokkur ár, sem lýsir því hvað starfsmenn ættu að gera í ýmsum neikvæðum aðstæðum (missir aðgang að skrifstofunni, faraldur, rafmagnsleysi osfrv.). Hins vegar höfum við aldrei framkvæmt samfelluprófun - það er að segja, við höfum aldrei mælt hversu langan tíma það myndi taka að endurheimta viðskiptin við hverja af þessum aðstæðum. Í undirbúningi fyrir vottunarúttektina gerðum við ekki aðeins þetta heldur þróuðum við einnig áætlun um samfelluprófun fyrir komandi ár. Þess má geta að ári síðar, þegar við stóðum frammi fyrir því að skipta algjörlega yfir í fjarvinnu, kláruðum við þetta verkefni á þremur dögum.
Það er mikilvægt að hafa í huga, að öll fyrirtæki sem undirbúa vottun hafa mismunandi upphafsskilyrði - því gæti þurft allt aðrar breytingar í þínu tilviki.
Viðbrögð starfsmanna við breytingum
Merkilegt nokk - hér bjuggumst við því versta - það reyndist ekki svo slæmt. Ekki er hægt að segja að samstarfsmenn hafi tekið við fréttum um vottun með miklum ákafa en eftirfarandi var ljóst:
- Allir lykilstarfsmenn skildu mikilvægi og óumflýjanleika þessa atburðar;
- Allir aðrir starfsmenn litu upp til lykilstarfsmanna.
Auðvitað hjálpuðu sérgreinar iðnaðarins okkar mikið - útvistun bókhaldsaðgerða. Mikill meirihluti starfsmanna okkar tekst vel við stöðugar breytingar á rússneskri löggjöf. Samkvæmt því var innleiðing á nokkrum tugum nýrra reglna sem nú ber að virða ekki eitthvað óvenjulegt fyrir þá.
Við höfum útbúið nýja lögboðna ISO 27001 þjálfun og prófun fyrir alla starfsmenn okkar. Allir fjarlægðu límmiða með lykilorðum af skjánum sínum og hreinsuðu burt skrifborðin sem voru full af skjölum. Engin hávær óánægja varð vart - almennt vorum við mjög heppin með starfsmenn okkar.
Þannig höfum við staðist sársaukafullasta stigið - „þunglyndi“ - sem tengist breytingum á viðskiptaferlum okkar. Þetta var erfitt og erfitt en niðurstaðan fór á endanum framar öllum björtustu vonum.
Lestu fyrri efni úr seríunni:
5 stig óumflýjanleika ISO/IEC 27001 vottunar. Þunglyndi.
5 stig óumflýjanleika ISO/IEC 27001 vottunar. Ættleiðing.
Heimild: www.habr.com