Qonaxa çaremîn a bersiva hestyarî ya ji bo guhertinê depresyon e. Di vê gotarê de em ê ji we re behsa serpêhatiya xwe ya derbasbûna qonaxa herî dirêj û ne xweş - li ser guhertinên di pêvajoyên karsaziya pargîdaniyê de ji bo ku bigihîjin lihevhatina wan bi standarda ISO 27001 re vebêjin.
Li bendê ne
Pirsa yekem ku me piştî hilbijartina saziya pejirandî û şêwirmendê ji xwe pirsî ev bû ku em ê bi rastî çend dem hewce bikin ku em hemî guhertinên pêwîst bikin?
Plana xebatê ya destpêkê bi vî rengî hatibû plankirin ku di nava 3 mehan de em temam bikin.
Her tişt hêsan xuya dikir: hewce bû ku çend deh polîtîkayan binivîsin û pêvajoyên me yên navxweyî hinekî biguherînin; dûv re hevkaran li ser guhertinan perwerde bikin û 3 mehên din li bendê bin (da ku "qeyd" xuya bibin, ango delîlên xebata polîtîkayan). Xuya bû ku ew hemî bû - û sertîfîka di berîka me de bû.
Wekî din, em ê nekarin polîtîkayên ji sifirê binivîsin - her wusa, me şêwirmendek hebû ku, wekî ku me difikirî, diviyabû ku hemî şablonên "rast" bide me.
Di encama van encaman de me 3 roj ji bo amadekirina her siyasetê veqetand.
Guhertinên teknîkî di heman demê de tirsnak xuya nedikir: pêdivî bû ku berhevkirin û hilanîna bûyeran were saz kirin, kontrol bikin ka paşverû bi siyaseta ku me nivîsî re tevdigerin, li cîhê ku hewce be, nivîsgehan bi pergalên kontrolkirina gihîştinê re nûve bikin, û çend tiştên piçûk ên din. .
Tîma ku ji bo sertîfîkayê her tiştê pêwîst amade dike ji du kesan pêk dihat. Me plan kiribû ku ew ê bi erkên xwe yên sereke re paralel tevlî tetbîqatê bibin û ji bo her yekî rojê herî zêde 1,5-2 saetan bigire.
Bi kurtasî, em dikarin bibêjin ku nêrîna me ya li ser çarçoweya xebatê ya pêşerojê pir geşbîn bû.
Reality
Di rastiyê de, her tişt bi xwezayî cûda bû: şablonên polîtîkayê yên ku ji hêla şêwirmend ve hatî peyda kirin bi piranî ji bo pargîdaniya me neguncan bûn; Li ser Înternetê hema bêje ti agahiyek zelal tunebû ku çi û çawa bikin. Wekî ku hûn dikarin bifikirin, plana "di 3 rojan de yek siyasetek binivîsin" bi ser neket. Ji ber vê yekê me hema ji destpêka projeyê ve me dev ji hevdîtinên muhlet berda, û haya me hêdî hêdî dest pê kir.
Pisporiya tîmê bi felaketek piçûk bû - ew qas ku ne bes bû ku pirsên rast ji şêwirmend bipirsin (ku, bi awayê, pir însiyatîf nîşan neda). Tişt hê hêdî hêdî dest pê kir, ji ber ku 3 meh piştî destpêkirina pêkanînê (ango, di dema ku divê her tişt amade bûya), yek ji du beşdarên sereke ji tîmê derket. Ew bi serokek nû ya karûbarê IT-ê hate guheztin, yê ku neçar bû ku zû pêvajoya bicîhkirinê biqedîne û pergala rêveberiya ewlehiya agahdarî ji hêla teknîkî ve her tiştê herî pêwîst peyda bike. Wezîfe dijwar xuya dikir... Yên berpirsiyar dest bi depresyonê kirin.
Wekî din, aliyê teknîkî yê pirsgirêkê jî derket holê ku "nuans" heye. Em bi peywira nûjenkirina nermalava gerdûnî re hem li ser stasyonên xebatê hem jî li ser alavên serverê re rû bi rû ne. Dema ku pergalê ji bo berhevkirina bûyeran (têketin) saz kir, derket holê ku ji bo xebata normal a pergalê têra me çavkaniyên hardware tune ne. Û nermalava hilanînê jî hewceyê nûjenkirinê bû.
Spoiler: Di encamê de ISMS di 6 mehan de bi qehremanî hate pêkanîn. Û kes nemir jî!
Çi herî zêde hatiye guhertin?
Bê guman, di dema pêkanîna standard de, hejmareke mezin ji guhertinên piçûk di pêvajoyên pargîdaniyê de çêbûn. Me guhertinên herî girîng ji bo we ronî kiriye:
- Fermîkirina pêvajoya nirxandina rîskê
Berê, pargîdanî pêvajoyek fermî ya nirxandina xetereyê tune bû - ew tenê di derbasbûnê de wekî beşek ji plansaziya stratejîk a giştî hate kirin. Yek ji karên herî girîng ên ku wekî beşek pejirandinê hate çareser kirin, pêkanîna Siyaseta Nirxandina Rîsk a pargîdaniyê bû, ku hemî qonaxên vê pêvajoyê û berpirsiyarên her qonaxê diyar dike.
- Kontrola li ser medya hilanînê ya jêbirin
Yek ji xetereyên girîng ên ji bo karsaziyê karanîna ajokarên flash USB yên neşîfrekirî bû: Bi rastî, her karmendek dikaribû agahdariya ku ji wî re heye li ser ajokerek flash binivîsîne û, ya herî baş, wê winda bike. Wekî beşek ji pejirandinê, şiyana dakêşana agahdariya li ser ajokarên flash li ser hemî stasyonên karmendan hate asteng kirin - tomarkirina agahdariya tenê bi serîlêdanek ji beşa IT-ê re gengaz bû.
- Kontrola Bikarhêner Super
Yek ji pirsgirêkên sereke ev bû ku hemî karmendên beşa IT-ê di hemî pergalên pargîdaniyê de xwediyê mafên bêkêmasî bûn - wan gihîştina hemî agahdariyan. Di heman demê de, kesek bi rastî wan kontrol nekir.
Me pergalek Pêşîlêgirtina Wendabûna Daneyên (DLP) bicîh kiriye - bernameyek ji bo şopandina kiryarên karmendan ku analîz dike, asteng dike û li ser çalakiyên xeternak û nehilberî hişyar dike. Naha hişyariyên li ser kiryarên karmendên beşa IT-ê ji navnîşana e-nameyê ya Rêvebirê Karûbarên pargîdanî re têne şandin.
- Nêzîkatiya birêxistinkirina binesaziya agahdariyê
Sertîfîkayê guherîn û nêzîkatiyên gerdûnî hewce dike. Erê, me neçar ma ku ji ber barkirina zêde hejmarek alavên serverê nûve bikin. Bi taybetî, me serverek cihêreng ji bo pergalên berhevkirina bûyeran veqetandiye. Pêşkêşkar bi ajokarên SSD-ê yên mezin û bilez ve hate saz kirin. Me dev ji nermalava hilanînê berda û pergalên hilanînê ku xwedan hemî fonksiyonên pêwîst ên derveyî ne hilbijart. Me çend gavên mezin ber bi konsepta "binesaziyê wekî kod" avêtin, ku hişt ku em bi rakirina paşvekêşana hejmarek pêşkêşkeran gelek cîhê dîskê xilas bikin. Di demek herî kin de (1 hefte), hemî nermalava li ser stasyonên xebatê ji Win10-ê hate nûve kirin. Yek ji pirsgirêkên ku nûjenkirinê çareser kir şiyana çalakkirina şîfrekirinê bû (di guhertoya Pro de).
- Kontrola li ser belgeyên kaxezê
Pargîdanî bi karanîna belgeyên kaxezê re xetereyên girîng hebûn: ew dikarin winda bibin, li cîhek xelet bihêlin, an bi rengek nerast werin hilweşandin. Ji bo kêmkirina vê metirsiyê, me hemî belgeyên kaxezî li gorî asta nepenîtiyê nîşankirine û prosedurek ji bo hilweşandina celebên belgeyan pêşxistiye. Naha, gava ku karmendek peldankek vedike an belgeyek digire, ew bi rastî dizane ku ev agahdarî di kîjan kategoriyê de ye û meriv wê çawa bi dest dixe.
- Kirêkirina navendek daneya hilanînê
Berê, hemî agahdariya pargîdanî li ser serverên ku li navendek daneya ewledar a partiya sêyemîn têne hilanîn. Lêbelê, li vê navenda daneyê prosedurên acîl tune bûn. Çareserî kirêkirina navendek daneya ewr a paşvekişandinê bû û li wir agahdariya herî girîng paşvekişandin. Heya nuha, agahdariya pargîdanî li du navendên daneya dûr ên erdnîgarî têne hilanîn, ku xetera windabûna wê kêm dike.
- Testkirina berdewamiya karsaziyê
Pargîdaniya me ji çend salan ve xwedan Siyaseta Berdewamiya Karsaziyê (BCP) ye, ku diyar dike ka karmend divê di senaryoyên cihêreng ên neyînî de çi bikin (wendabûna gihîştina nivîsgehê, serhildan, qutbûna elektrîkê, hwd.). Lêbelê, me çu carî ceribandina domdariyê nekiriye - ango, me çu carî pîv nekiriye ka dê di her yek ji van rewşan de çi qas dem bigire ku karsazî ji nû ve were vegerandin. Di amadekirina ji bo kontrolkirina pejirandinê de, me ne tenê ev kir, lê di heman demê de ji bo sala pêş planek ceribandina domdariya karsaziyê jî pêşxist. Hêjayî gotinê ye ku salek şûnda, dema ku em bi hewcedariya ku em bi tevahî derbasî karê ji dûr ve bibin re rû bi rû man, me ev kar di sê rojan de qedand.
Girîng e ku meriv not bike, ku hemî pargîdaniyên ku ji bo pejirandinê amade dikin şertên destpêkê yên cihêreng hene - ji ber vê yekê, di doza we de, dibe ku guhertinên bi tevahî cûda hewce bibin.
Reaksiyonên karmendan li ser guhertinan
Bi ecêb - li vir me li hêviya ya herî xirab bû - ew ne ew qas xirab derket. Nayê gotin ku hevalan bi coşeke mezin nûçeya sertîfîkayê wergirtin, lê ev eşkere bû:
- Hemû xebatkarên sereke girîngî û neçariya vê bûyerê fêm kirin;
- Hemî karmendên din li karmendên sereke nihêrîn.
Bê guman, taybetmendiyên pîşesaziya me pir alîkariya me kir - derxistina fonksiyonên hesabê. Piraniya xebatkarên me bi guhertinên domdar ên di qanûnên rûsî de baş derbas dibin. Li gorî vê yekê, danasîna çend deh qaîdeyên nû yên ku nuha divê bêne şopandin ji bo wan ne tiştek ji rêzê bû.
Me ji bo hemî xebatkarên xwe perwerdehî û ceribandina nû ya mecbûrî ya ISO 27001 amade kiriye. Her kesî bi îtaetî notên asê yên bi şîfre ji çavdêrên xwe derxistin û maseyên bi belgeyên tijî paqij kirin. Nerazîbûnek bilind nehat dîtin - bi gelemperî, em bi xebatkarên xwe re pir bextewar bûn.
Bi vî rengî, me qonaxa herî bi êş derbas kir - "depresyon" - ku bi guhertinên di pêvajoyên karsaziya me de ve girêdayî ye. Zehmet û dijwar bû, lê encam di dawiyê de ji hemû hêviyên me yên hov derbas bû.
Materyalên berê ji rêzê bixwînin:
5 qonaxên neçarbûna pejirandina ISO/IEC 27001. Hişleqî.
5 qonaxên neçarbûna pejirandina ISO/IEC 27001. Zarokgirtinî.
Source: www.habr.com