ProHoster > בלוג > מינהל > 5 שלבים של ההסמכה הבלתי נמנעת של ISO/IEC 27001. דִכָּאוֹן

5 שלבים של ההסמכה הבלתי נמנעת של ISO/IEC 27001. דִכָּאוֹן

השלב הרביעי של תגובה רגשית לשינוי הוא דיכאון. במאמר זה נספר לכם על הניסיון שלנו לעבור את השלב הממושך והלא נעים ביותר - על שינויים בתהליכים העסקיים של החברה על מנת להשיג את עמידתם בתקן ISO 27001.

5 שלבים של ההסמכה הבלתי נמנעת של ISO/IEC 27001. דִכָּאוֹן

הציפייה

השאלה הראשונה ששאלנו את עצמנו לאחר בחירת הגוף המאשר והיועץ הייתה כמה זמן באמת נצטרך לבצע את כל השינויים הנדרשים?

תכנית העבודה הראשונית נקבעה בצורה כזו שנאלצנו לסיים אותה תוך 3 חודשים.

5 שלבים של ההסמכה הבלתי נמנעת של ISO/IEC 27001. דִכָּאוֹן

הכל נראה פשוט: היה צורך לכתוב כמה עשרות מדיניות ולשנות מעט את התהליכים הפנימיים שלנו; לאחר מכן תאמנו את הקולגות על השינויים והמתינו עוד 3 חודשים (כדי שיופיעו "רשומות", כלומר עדויות לתפקוד הפוליסות). נראה היה שזה הכל - והתעודה הייתה בכיס שלנו.

בנוסף, לא התכוונו לכתוב פוליסות מאפס - אחרי הכל, היה לנו יועץ שכפי שחשבנו היה אמור לתת לנו את כל התבניות ה"נכונות".

כתוצאה ממסקנות אלו, הקצבנו 3 ימים להכנת כל פוליסה.

גם השינויים הטכניים לא נראו מרתיע: היה צורך להגדיר איסוף ואחסון אירועים, לבדוק האם הגיבויים תואמים את המדיניות שכתבנו, להתאים למשרדים מערכות בקרת כניסה במידת הצורך ועוד כמה דברים קטנים. .
הצוות שהכין את כל הדרוש להסמכה כלל שני אנשים. תכננו שהם יהיו מעורבים ביישום במקביל לאחריותם העיקרית, וזה ייקח לכל אחד מהם מקסימום 1,5-2 שעות ביום.
לסיכום, אנו יכולים לומר שהשקפתנו על היקף העבודה הקרובה הייתה אופטימית למדי.

המציאות

במציאות, הכל היה שונה באופן טבעי: תבניות המדיניות שסיפק היועץ התבררו כבלתי ישימות ברובן על החברה שלנו; כמעט ולא היה מידע ברור באינטרנט על מה ואיך לעשות. כפי שאתה יכול לדמיין, התוכנית "לכתוב פוליסה אחת תוך 3 ימים" נכשלה כישלון חרוץ. אז הפסקנו לעמוד בזמנים כמעט מתחילת הפרויקט, ומצב הרוח שלנו התחיל לרדת אט אט.

5 שלבים של ההסמכה הבלתי נמנעת של ISO/IEC 27001. דִכָּאוֹן

המומחיות של הצוות הייתה קטנה בצורה קטסטרופלית - עד כדי כך שלא הספיק אפילו לשאול את השאלות הנכונות ליועץ (שאגב, לא הפגין יוזמה רבה). הדברים החלו לזוז לאט עוד יותר, שכן 3 חודשים לאחר תחילת היישום (כלומר, ברגע בו הכל היה צריך להיות מוכן), אחד משני המשתתפים המרכזיים עזב את הצוות. הוא הוחלף על ידי ראש שירות IT חדש, שהיה צריך להשלים במהירות את תהליך ההטמעה ולספק למערכת ניהול אבטחת המידע את כל הדרוש מבחינה טכנית. המשימה נראתה קשה... האחראים החלו להיכנס לדיכאון.

בנוסף, גם בצד הטכני של הנושא התברר שיש "ניואנסים". אנו עומדים בפני המשימה של מודרניזציה עולמית של תוכנה הן בתחנות עבודה והן בציוד שרתים. בעת הקמת המערכת לאיסוף אירועים (לוגים), התברר שאין לנו מספיק משאבי חומרה לתפקוד תקין של המערכת. וגם תוכנת הגיבוי נזקקה למודרניזציה.

ספוילר: כתוצאה מכך, ה-ISMS יושם בגבורה תוך 6 חודשים. ואף אחד אפילו לא מת!

מה הכי השתנה?

כמובן שבמהלך יישום התקן חלו מספר רב של שינויים קטנים בתהליכי החברה. הדגשנו עבורכם את השינויים המשמעותיים ביותר:

  • פורמליזציה של תהליך הערכת הסיכונים

בעבר לא היה לחברה תהליך הערכת סיכונים פורמלי - זה נעשה רק בדרך אגב כחלק מתכנון אסטרטגי כולל. אחת המשימות החשובות ביותר שנפתרו במסגרת ההסמכה הייתה יישום מדיניות הערכת הסיכונים של החברה, המתארת ​​את כל שלבי תהליך זה ואת האחראים לכל שלב.

  • שליטה על אמצעי אחסון נשלפים

אחד הסיכונים המשמעותיים לעסק היה השימוש בכונני הבזק מסוג USB לא מוצפנים: למעשה, כל עובד יכול לכתוב כל מידע שזמין לו בכונן הבזק, ובמקרה הטוב, לאבד אותו. במסגרת ההסמכה הושבתה היכולת להוריד כל מידע לכונני הבזק בכל עמדות העבודה של העובדים - רישום מידע התאפשר רק באמצעות פנייה למחלקת ה-IT.

  • בקרת סופר משתמש

אחת הבעיות העיקריות הייתה העובדה שלכל עובדי מחלקת ה-IT היו זכויות מוחלטות בכל מערכות החברה – הייתה להם גישה לכל המידע. יחד עם זאת, אף אחד לא באמת שלט בהם.

הטמענו מערכת למניעת אובדן נתונים (DLP) - תוכנית לניטור פעולות עובדים המנתחת, חוסמת ומתריעה על פעילויות מסוכנות ולא פרודוקטיביות. כעת נשלחות התראות על פעולות עובדי מחלקת ה-IT לכתובת המייל של מנהל התפעול של החברה.

  • גישה לארגון תשתית מידע

הסמכה דרשה שינויים וגישות גלובליות. כן, נאלצנו לשדרג מספר ציוד שרתים עקב העומס המוגבר. במיוחד, הקדשנו שרת נפרד למערכות איסוף אירועים. השרת היה מצויד בכונני SSD גדולים ומהירים. נטשנו את תוכנת הגיבוי ובחרנו במערכות אחסון בעלות כל הפונקציונליות הנדרשת מחוץ לקופסה. עשינו כמה צעדים גדולים לקראת תפיסת "תשתית כקוד", שאפשרה לנו לחסוך הרבה מקום בדיסק על ידי ביטול הגיבוי של מספר שרתים. בזמן הקצר ביותר האפשרי (שבוע), כל התוכנות בתחנות העבודה שודרגו ל-Win1. אחת הבעיות שהמודרניזציה פתרה הייתה היכולת לאפשר הצפנה (בגרסת ה-Pro).

  • שליטה על מסמכי נייר

לחברה היו סיכונים משמעותיים הקשורים לשימוש במסמכי נייר: הם עלולים ללכת לאיבוד, להשאירם במקום הלא נכון או להרוס אותם בצורה לא נכונה. כדי למזער סיכון זה, סימנו את כל מסמכי הנייר לפי רמת החיסיון ופיתחנו נוהל להשמדת מסמכים מסוגים שונים. כעת, כאשר עובד פותח תיקיה או לוקח מסמך, הוא יודע בדיוק לאיזו קטגוריה המידע הזה נכנס וכיצד לטפל בו.

  • השכרת מרכז נתונים לגיבוי

בעבר, כל מידע החברה נשמר בשרתים הממוקמים במרכז נתונים מאובטח של צד שלישי. עם זאת, לא היו נהלי חירום במרכז הנתונים הזה. הפתרון היה לשכור מרכז נתונים בענן גיבוי ולגבות שם את המידע החשוב ביותר. נכון לעכשיו, המידע של החברה מאוחסן בשני מרכזי נתונים מרוחקים גיאוגרפית, מה שממזער את הסיכון לאובדן.

  • בדיקת המשכיות עסקית

לחברה שלנו יש מדיניות המשכיות עסקית (BCP) כבר כמה שנים, המתארת ​​מה העובדים צריכים לעשות בתרחישים שליליים שונים (אובדן גישה למשרד, מגיפה, הפסקת חשמל וכו'). עם זאת, מעולם לא ביצענו בדיקות המשכיות - כלומר, מעולם לא מדדנו כמה זמן ייקח לשחזר את העסק בכל אחד מהמצבים הללו. לקראת ביקורת ההסמכה, לא רק עשינו זאת, אלא גם פיתחנו תוכנית לבדיקת המשכיות עסקית לשנה הקרובה. ראוי לציין ששנה לאחר מכן, כאשר עמדנו בפני הצורך לעבור לחלוטין לעבודה מרחוק, סיימנו את המשימה הזו תוך שלושה ימים.

5 שלבים של ההסמכה הבלתי נמנעת של ISO/IEC 27001. דִכָּאוֹן

חשוב לציין, שלכל החברות שמתכוננות להסמכה יש תנאי התחלה שונים - לכן, במקרה שלך, ייתכן שיידרשו שינויים אחרים לגמרי.

תגובות העובדים לשינויים

למרבה הפלא - כאן ציפינו לגרוע מכל - זה יצא לא כל כך רע. אי אפשר לומר שקולגות קיבלו את בשורת ההסמכה בהתלהבות רבה, אבל הדברים הבאים היו ברורים:

  • כל עובדי המפתח הבינו את החשיבות והבלתי נמנעת של אירוע זה;
  • כל שאר העובדים הסתכלו על עובדי מפתח.

כמובן, הפרטים של התעשייה שלנו עזרו לנו מאוד - מיקור חוץ של פונקציות חשבונאיות. הרוב המכריע של העובדים שלנו מתמודד היטב עם שינויים מתמידים בחקיקה הרוסית. לפיכך, הכנסתם של כמה עשרות כללים חדשים שכעת יש להקפיד עליהם לא הייתה משהו יוצא דופן עבורם.

הכנו הכשרה ובדיקות חדשות מחייבות ISO 27001 עבור כל העובדים שלנו. כולם הסירו בצייתנות את הפתקים הדביקים עם הסיסמאות מהמוניטורים שלהם ופינו את השולחנות המלאים במסמכים. לא הבחינו באי שביעות רצון קולנית - באופן כללי, היה לנו מזל גדול עם העובדים שלנו.

כך, עברנו את השלב הכואב ביותר - "דיכאון" - הקשור לשינויים בתהליכים העסקיים שלנו. זה היה קשה וקשה, אבל התוצאה בסופו של דבר עלתה על כל הציפיות הפרועות ביותר שלנו.

קראו חומרים קודמים מהסדרה:

5 שלבים של ההסמכה הבלתי נמנעת של ISO/IEC 27001. הכחשה: תפיסות שגויות לגבי הסמכת ISO 27001:2013, כדאיות קבלת תעודה.

5 שלבים של ההסמכה הבלתי נמנעת של ISO/IEC 27001. כעס: מאיפה להתחיל? נתונים ראשוניים. הוצאות. בחירת ספק.

5 שלבים של ההסמכה הבלתי נמנעת של ISO/IEC 27001. מיקוח: הכנת תכנית יישום, הערכת סיכונים, כתיבת מדיניות.

5 שלבים של ההסמכה הבלתי נמנעת של ISO/IEC 27001. דִכָּאוֹן.

5 שלבים של ההסמכה הבלתי נמנעת של ISO/IEC 27001. אימוץ.

מקור: www.habr.com

הוספת תגובה