Өзгерістерге эмоционалды жауап берудің төртінші кезеңі - депрессия. Бұл мақалада біз сізге ең ұзақ және жағымсыз кезеңнен өту тәжірибеміз туралы - компанияның бизнес-процестерінің ISO 27001 стандартына сәйкестігіне қол жеткізу үшін өзгерістер туралы айтып береміз.
Күте тұру
Сертификаттаушы орган мен кеңесшіні таңдағаннан кейін біз өзімізге қойған бірінші сұрақ барлық қажетті өзгерістерді жасауға қанша уақыт керек еді?
Бастапқы жұмыс жоспары 3 айдың ішінде орындауымыз керек болатын.
Барлығы қарапайым болып көрінді: бірнеше ондаған саясат жазып, ішкі процестерімізді сәл өзгерту керек болды; содан кейін әріптестерді өзгерістерге үйретіп, тағы 3 ай күтіңіз («жазбалар» пайда болуы үшін, яғни саясаттың жұмыс істеуінің дәлелі). Бар болғаны – куәлік қалтамызда болған сияқты.
Сонымен қатар, біз саясатты нөлден жазбақ едік - біз ойлағандай, бізге барлық «дұрыс» шаблондарды беруі керек болатын кеңесшіміз болды.
Осы қорытындылардың нәтижесінде біз әрбір саясатты дайындауға 3 күн уақыт бөлдік.
Техникалық өзгерістер де қорқынышты көрінбеді: оқиғаларды жинау мен сақтауды орнату, сақтық көшірмелердің біз жазған саясатқа сәйкестігін тексеру, қажет болған жағдайда кеңселерді кіруді басқару жүйелерімен жаңарту және басқа да бірнеше ұсақ-түйектер қажет болды. .
Аттестацияға қажеттінің барлығын дайындаған топ екі адамнан тұрды. Біз оларды негізгі міндеттерімен қатар жүзеге асыруға қатыстырамыз деп жоспарладық және бұл олардың әрқайсысына күніне ең көбі 1,5-2 сағат кетеді.
Қорытындылай келе, алдағы жұмыс көлеміне деген көзқарасымыз оптимистік болды деп айта аламыз.
Шындық
Шындығында, бәрі табиғи түрде басқаша болды: кеңесші ұсынған саясат үлгілері біздің компанияға негізінен жарамсыз болып шықты; Интернетте не және қалай істеу керектігі туралы нақты ақпарат жоқтың қасы. Өзіңіз ойлағандай, «бір саясатты 3 күнде жазу» жоспары сәтсіз аяқталды. Осылайша, біз жобаның басынан дерлік мерзімдерді орындауды тоқтаттық және көңіл-күйіміз баяу төмендей бастады.
Команданың тәжірибесі апатты түрде аз болды - сондықтан кеңесшіге дұрыс сұрақтар қою жеткіліксіз болды (айтпақшы, ол көп бастамашылық танытпады). Істер одан да баяу қозғала бастады, өйткені іске асыру басталғаннан кейін 3 айдан кейін (яғни, бәрі дайын болуы керек кезде) екі негізгі қатысушының бірі командадан кетті. Оның орнына ІТ-қызметінің жаңа басшысы келді, ол енгізу үдерісін жылдам аяқтап, ақпараттық қауіпсіздікті басқару жүйесін техникалық тұрғыдан ең қажеттінің барлығымен қамтамасыз ету керек болды. Тапсырма қиын көрінді... Жауаптылар күйзеліп кете бастады.
Сонымен қатар, мәселенің техникалық жағы да «нюанстарға» ие болды. Біздің алдымызда жұмыс станцияларында да, серверлік жабдықта да бағдарламалық қамтамасыз етуді жаһандық жаңғырту міндеті тұр. Оқиғаларды (журналдарды) жинау үшін жүйені орнату кезінде жүйенің қалыпты жұмыс істеуі үшін бізде аппараттық ресурстар жеткіліксіз екендігі анықталды. Сондай-ақ сақтық көшірме бағдарламалық құралын жаңарту қажет болды.
Спойлер: Нәтижесінде БАЖ 6 айда ерлікпен жүзеге асырылды. Тіпті ешкім өлген жоқ!
Не көп өзгерді?
Әрине, стандартты енгізу кезінде компанияның процестерінде көптеген шағын өзгерістер болды. Біз сіз үшін ең маңызды өзгерістерді атап өттік:
- Тәуекелді бағалау процесін формализациялау
Бұрын компанияда тәуекелді бағалаудың ресми процесі болған жоқ - ол жалпы стратегиялық жоспарлаудың бір бөлігі ретінде өту арқылы ғана жасалды. Сертификаттау шеңберінде шешілген маңызды міндеттердің бірі осы процестің барлық кезеңдерін және әрбір кезеңге жауапты тұлғаларды сипаттайтын компанияның Тәуекелдерді бағалау саясатын іске асыру болды.
- Алынбалы сақтау құралдарын басқару
Бизнес үшін маңызды тәуекелдердің бірі шифрланбаған USB флэш-дискілерін пайдалану болды: шын мәнінде, кез келген қызметкер оған қол жетімді кез келген ақпаратты флэш-дискке жазып, ең жақсы жағдайда оны жоғалтуы мүмкін. Сертификаттау аясында кез келген ақпаратты флэш-дискілерге жүктеу мүмкіндігі барлық қызметкерлердің жұмыс станцияларында өшірілді - ақпаратты жазу тек АТ бөліміне өтініш арқылы мүмкін болды.
- Супер пайдаланушы бақылауы
Негізгі проблемалардың бірі АТ бөлімінің барлық қызметкерлері компанияның барлық жүйелерінде абсолютті құқықтарға ие болды - олар барлық ақпаратқа қол жеткізе алды. Сонымен қатар, оларды ешкім бақылаған жоқ.
Біз деректерді жоғалтудың алдын алу (DLP) жүйесін енгіздік - қауіпті және өнімсіз әрекеттерді талдайтын, блоктайтын және ескертетін қызметкерлердің әрекеттерін бақылауға арналған бағдарлама. Енді IT департаменті қызметкерлерінің әрекеттері туралы ескертулер компанияның операциялық директорының электрондық мекенжайына жіберіледі.
- Ақпараттық инфрақұрылымды ұйымдастыру тәсілі
Сертификаттау жаһандық өзгерістер мен тәсілдерді талап етті. Иә, жүктеменің артуына байланысты бірқатар серверлік жабдықты жаңартуға тура келді. Атап айтқанда, біз оқиғаларды жинау жүйелері үшін бөлек серверді арнадық. Сервер үлкен және жылдам SSD дискілерімен жабдықталған. Біз сақтық көшірме бағдарламалық құралын тастап, қораптан тыс барлық қажетті функционалдығы бар сақтау жүйелерін таңдадық. Біз «инфрақұрылым код ретінде» тұжырымдамасына қарай бірнеше үлкен қадам жасадық, бұл бізге көптеген серверлердің сақтық көшірмесін жасау қажеттілігін жою арқылы дискілік кеңістікті үнемдеуге мүмкіндік берді. Ең қысқа уақыт ішінде (1 апта) жұмыс станцияларындағы барлық бағдарламалық құрал Win10 нұсқасына жаңартылды. Модернизациямен шешілген мәселелердің бірі - шифрлауды қосу мүмкіндігі (Pro нұсқасында).
- Қағаз құжаттарын бақылау
Қағаз құжаттарын пайдаланумен байланысты компанияда елеулі тәуекелдер болды: олар жоғалуы, дұрыс емес жерде қалуы немесе дұрыс жойылмауы мүмкін. Бұл тәуекелді барынша азайту үшін біз барлық қағаз құжаттарға құпиялылық деңгейіне сәйкес белгі қойдық және әртүрлі құжаттарды жою тәртібін әзірледік. Енді қызметкер қалтаны ашқанда немесе құжат алған кезде бұл ақпараттың қай санатқа жататынын және оны қалай өңдеу керектігін нақты біледі.
- Сақтық көшірме деректер орталығын жалға алу
Бұрын компания туралы барлық ақпарат үшінші тараптың қауіпсіз деректер орталығында орналасқан серверлерде сақталған. Дегенмен, бұл деректер орталығында төтенше жағдай процедуралары болған жоқ. Шешім сақтық көшірме бұлттық деректер орталығын жалға алу және сол жерде ең маңызды ақпараттың сақтық көшірмесін жасау болды. Қазіргі уақытта компанияның ақпараты екі географиялық қашықтағы деректер орталығында сақталады, бұл оның жоғалу қаупін азайтады.
- Бизнестің үздіксіздігін тексеру
Біздің компаниямызда бірнеше жыл бойы жұмыс істейтін Іскерлік үздіксіздік саясаты (BCP) бар, онда қызметкерлер әртүрлі жағымсыз сценарийлерде (кеңсеге кіру мүмкіндігін жоғалту, эпидемия, электр қуатын өшіру және т.б.) не істеу керектігін сипаттайды. Дегенмен, біз ешқашан үздіксіздік тестісін өткізген емеспіз, яғни біз осы жағдайлардың әрқайсысында бизнесті қалпына келтіруге қанша уақыт кететінін ешқашан өлшеген емеспіз. Сертификаттау аудитіне дайындық барысында біз мұнымен шектеліп қалмай, алдағы жылға бизнестің үздіксіздігін тексеру жоспарын жасадық. Бір айта кетерлігі, араға бір жыл салып, қашықтан жұмыс істеуге толықтай көшу қажеттілігі туындағанда, біз бұл тапсырманы үш күнде орындадық.
Назар аударыңыз, сертификаттауға дайындалып жатқан барлық компанияларда әртүрлі бастау шарттары бар - сондықтан сіздің жағдайыңызда мүлде басқа өзгерістер қажет болуы мүмкін.
Қызметкерлердің өзгерістерге реакциясы
Бір таңқаларлығы, біз бұл жерде ең жаманды күттік - бұл соншалықты жаман емес. Әріптестер сертификаттау туралы жаңалықты үлкен ынтамен қабылдады деп айта алмаймыз, бірақ мыналар анық болды:
- Барлық негізгі қызметкерлер бұл оқиғаның маңыздылығы мен болмай қоймайтынын түсінді;
- Барлық басқа қызметкерлер негізгі қызметкерлерге қарады.
Әрине, біздің саланың ерекшеліктері бізге көп көмектесті – бухгалтерлік есеп функцияларын аутсорсинг. Біздің қызметкерлердің басым көпшілігі Ресей заңнамасындағы тұрақты өзгерістерді жақсы жеңеді. Тиісінше, қазір сақталуы тиіс бірнеше ондаған жаңа ережелерді енгізу олар үшін әдеттегіден тыс нәрсе емес еді.
Біз барлық қызметкерлер үшін жаңа міндетті ISO 27001 оқыту мен тестілеуді дайындадық. Барлығы мойынсұнушылықпен мониторларынан құпия сөздері бар жабысқақ жазбаларды алып тастады және құжаттарға толы үстелдерді тазартты. Ешқандай қатты наразылық байқалмады - жалпы алғанда, біз өз қызметкерлерімізбен өте бақытты болдық.
Осылайша, біз бизнес-процестеріміздің өзгеруіне байланысты ең ауыр кезең – «депрессиядан» өттік. Бұл қиын және қиын болды, бірақ нәтиже біздің барлық күткенімізден асып түсті.
Топтаманың алдыңғы материалдарын оқыңыз:
ISO/IEC 5 сертификаттауының сөзсіздігінің 27001 кезеңі. Депрессия.
ISO/IEC 5 сертификаттауының сөзсіздігінің 27001 кезеңі. Бала асырап алу.
Ақпарат көзі: www.habr.com