Өөрчлөлтөд үзүүлэх сэтгэл хөдлөлийн дөрөв дэх үе шат бол сэтгэлийн хямрал юм. Энэ нийтлэлд бид хамгийн удаан үргэлжилсэн, тааламжгүй үе шатыг даван туулсан туршлагаасаа - ISO 27001 стандартад нийцүүлэхийн тулд компанийн бизнесийн үйл явцад гарсан өөрчлөлтүүдийн талаар танд хэлэх болно.
Хүлээж байна
Баталгаажуулагч байгууллага, зөвлөхийг сонгосны дараа бид өөрөөсөө асуусан хамгийн эхний асуулт бол шаардлагатай бүх өөрчлөлтийг хийхэд хэр их хугацаа шаардагдах вэ?
Анхны ажлын төлөвлөгөөг 3 сарын дотор хийж дуусгахаар төлөвлөсөн байсан.
Бүх зүйл энгийн харагдаж байв: хэдэн арван бодлого бичиж, дотоод үйл явцыг бага зэрэг өөрчлөх шаардлагатай байв; дараа нь хамт ажиллагсдаа өөрчлөлтийн талаар сургаж, дахин 3 сар хүлээх хэрэгтэй (ингэснээр "бичлэгүүд" гарч ирнэ, өөрөөр хэлбэл бодлогын үйл ажиллагааны нотолгоо). Энэ нь бүгд байсан юм шиг санагдаж, гэрчилгээ нь бидний халаасанд байсан.
Нэмж дурдахад, бид эхнээс нь бодлого бичихгүй байсан - эцэст нь бидний бодож байсанчлан бидэнд бүх "зөв" загваруудыг өгөх ёстой зөвлөх байсан.
Эдгээр дүгнэлтийн үр дүнд бид бодлого бүрийг бэлтгэхэд 3 хоног хуваарилсан.
Техникийн өөрчлөлтүүд нь тийм ч хэцүү санагдсангүй: үйл явдлыг цуглуулах, хадгалах ажлыг зохион байгуулах, нөөцлөлт нь бидний бичсэн бодлогод нийцэж байгаа эсэхийг шалгах, шаардлагатай бол оффисын хандалтын хяналтын системээр шинэчлэх, бусад цөөн хэдэн жижиг зүйлийг хийх шаардлагатай байв. .
Баталгаажуулалтад шаардлагатай бүх зүйлийг бэлтгэх баг хоёр хүний бүрэлдэхүүнтэй байв. Тэднийг үндсэн үүрэг хариуцлагатайгаа зэрэгцүүлэн хэрэгжүүлэхэд татан оролцуулж, өдөрт хамгийн ихдээ 1,5-2 цаг зарцуулна гэж бид төлөвлөсөн.
Дүгнэж хэлэхэд, удахгүй хийх ажлын цар хүрээний талаарх бидний үзэл бодол нэлээд өөдрөг байсан гэж хэлж болно.
Бодит байдал
Бодит байдал дээр бүх зүйл өөр байсан: зөвлөхийн өгсөн бодлогын загварууд нь манай компанид ихэвчлэн тохиромжгүй болсон; Юу хийх, яаж хийх тухай тодорхой мэдээлэл интернэтэд бараг байгаагүй. Таны төсөөлж байгаагаар “3 хоногийн дотор нэг бодлого бичнэ” гэсэн төлөвлөгөө үнэхээр бүтэлгүйтсэн. Тиймээс бид төслийн эхэн үеэс л эцсийн хугацааг биелүүлэхээ больж, бидний сэтгэл санаа аажмаар буурч эхлэв.
Багийн туршлага маш бага байсан тул зөвлөхөөс зөв асуулт асуухад хангалттай байсангүй (дашрамд хэлэхэд тэр нэг их санаачлага гаргаагүй). Хэрэгжиж эхэлснээс хойш 3 сарын дараа (өөрөөр хэлбэл бүх зүйл бэлэн байх ёстой тэр мөчид) хоёр гол оролцогчийн нэг нь багаа орхисон тул бүх зүйл илүү удаан хөдөлж эхлэв. Түүний оронд Мэдээллийн технологийн албаны шинэ даргаар томилогдон, хэрэгжүүлэх үйл явцыг хурдан дуусгаж, мэдээллийн аюулгүй байдлын удирдлагын системийг техникийн үүднээс хамгийн шаардлагатай бүх зүйлээр хангах ёстой байв. Даалгавар хэцүү санагдсан... Хариуцсан хүмүүс сэтгэлээр унаж эхлэв.
Нэмж дурдахад асуудлын техникийн тал нь "нюанс"-тай болсон. Бид ажлын станцууд болон серверийн тоног төхөөрөмж дээрх программ хангамжийг дэлхийн хэмжээнд шинэчлэх зорилттой тулгарч байна. Үйл явдал (логууд) цуглуулах системийг тохируулах явцад системийн хэвийн үйл ажиллагаанд хангалттай техник хангамжийн нөөц байхгүй байсан. Мөн нөөцлөх програм хангамжийг шинэчлэх шаардлагатай байсан.
Спойлер: Үүний үр дүнд ISMS 6 сарын дотор баатарлаг хэрэгжсэн. Тэгээд хэн ч үхээгүй!
Юу хамгийн их өөрчлөгдсөн бэ?
Мэдээжийн хэрэг, стандартыг хэрэгжүүлэх явцад компанийн үйл явцад олон тооны жижиг өөрчлөлтүүд гарсан. Бид танд хамгийн чухал өөрчлөлтүүдийг онцолсон болно:
- Эрсдэлийн үнэлгээний үйл явцыг албажуулах
Өмнө нь тус компани эрсдэлийн үнэлгээний албан ёсны үйл явцгүй байсан - энэ нь зөвхөн ерөнхий стратегийн төлөвлөлтийн нэг хэсэг болгон дамждаг байсан. Баталгаажуулалтын хүрээнд шийдсэн хамгийн чухал ажлуудын нэг нь энэхүү үйл явцын бүх үе шат, үе шат бүрийг хариуцах хүмүүсийг тодорхойлсон компанийн Эрсдэлийн үнэлгээний бодлогыг хэрэгжүүлэх явдал байв.
- Зөөврийн хадгалах хэрэгслийг хянах
Бизнесийн томоохон эрсдэлүүдийн нэг бол шифрлэгдээгүй USB флаш диск ашиглах явдал байв: үнэн хэрэгтээ ямар ч ажилтан өөрт байгаа мэдээллийг флаш диск дээрээ бичиж, хамгийн сайндаа алдаж болно. Баталгаажуулалтын нэг хэсэг болгон аливаа мэдээллийг флаш диск рүү татаж авах боломжийг ажилчдын бүх ажлын станцад хаасан - мэдээллийг зөвхөн мэдээллийн технологийн хэлтэст өргөдөл гаргах замаар бүртгэх боломжтой болсон.
- Супер хэрэглэгчийн хяналт
Гол бэрхшээлүүдийн нэг бол мэдээллийн технологийн хэлтсийн бүх ажилтнууд компанийн бүх системд үнэмлэхүй эрхтэй байсан - тэд бүх мэдээлэлд нэвтрэх боломжтой байсан. Үүний зэрэгцээ хэн ч тэднийг үнэхээр хянаж чадаагүй.
Бид Аюултай, үр ашиггүй үйл ажиллагааны талаар дүн шинжилгээ хийх, блоклох, сэрэмжлүүлэх ажилтны үйл ажиллагаанд хяналт тавих программ болох Data Loss Prevention (DLP) системийг хэрэгжүүлсэн. Одоо мэдээллийн технологийн хэлтсийн ажилтнуудын үйлдлийн талаарх сэрэмжлүүлэгийг компанийн Үйл ажиллагааны захирлын имэйл хаяг руу илгээдэг.
- Мэдээллийн дэд бүтцийг зохион байгуулах хандлага
Баталгаажуулалт нь дэлхийн өөрчлөлт, арга барилыг шаарддаг. Тийм ээ, ачаалал ихэссэн тул бид хэд хэдэн серверийн тоног төхөөрөмжийг шинэчлэх шаардлагатай болсон. Ялангуяа бид үйл явдлыг цуглуулах системд зориулж тусдаа серверийг зориулав. Сервер нь том, хурдан SSD хөтчүүдээр тоноглогдсон байв. Бид нөөцлөх программ хангамжаас татгалзаж, шаардлагатай бүх функцийг агуулсан хадгалах системийг сонгосон. Бид хэд хэдэн серверийн нөөцлөлтийг устгаснаар дискний зайг их хэмжээгээр хэмнэх боломжийг олгосон "дэд бүтэц нь код" гэсэн үзэл баримтлалд чиглэсэн хэд хэдэн томоохон алхмуудыг хийсэн. Хамгийн богино хугацаанд (1 долоо хоног) ажлын станцууд дээрх бүх програм хангамжийг Win10 болгон шинэчилсэн. Шинэчлэлийн шийдэгдсэн асуудлын нэг бол шифрлэлтийг идэвхжүүлэх чадвар юм (Pro хувилбарт).
- Цаасан баримт бичигт хяналт тавих
Компани нь цаасан баримт бичгийг ашиглахтай холбоотой томоохон эрсдэлтэй байсан: тэдгээр нь алдагдсан, буруу газар орхигдсон, эсвэл зохисгүй устгагдсан байж болно. Энэ эрсдэлийг бууруулахын тулд бид бүх цаасан баримтыг нууцлалын түвшинд тохируулан тэмдэглэж, төрөл бүрийн баримт бичгийг устгах журмыг боловсруулсан. Одоо ажилтан хавтас нээх юм уу бичиг баримт авахдаа энэ мэдээлэл ямар ангилалд багтаж, хэрхэн зохицуулахаа мэддэг болсон.
- Нөөц дата төв түрээслүүлнэ
Өмнө нь компанийн бүх мэдээллийг гуравдагч этгээдийн аюулгүй мэдээллийн төвд байрлах серверүүд дээр хадгалдаг байсан. Гэсэн хэдий ч энэ дата төвд яаралтай тусламжийн журам байхгүй байсан. Үүний шийдэл нь нөөц үүлэн мэдээллийн төвийг түрээслэх, тэнд байгаа хамгийн чухал мэдээллийг нөөцлөх явдал байв. Одоогийн байдлаар компанийн мэдээлэл газарзүйн хувьд алслагдсан хоёр мэдээллийн төвд хадгалагдаж байгаа бөгөөд энэ нь түүнийг алдах эрсдэлийг бууруулдаг.
- Бизнесийн тасралтгүй байдлын туршилт
Манай компани хэд хэдэн жилийн турш Бизнесийн тасралтгүй байдлын бодлогыг (BCP) мөрдөж ирсэн бөгөөд энэ нь янз бүрийн сөрөг нөхцөл байдалд (оффис руу нэвтрэх эрхээ алдах, халдварт өвчин, цахилгаан тасрах гэх мэт) ажилтнууд юу хийх ёстойг тодорхойлсон. Гэсэн хэдий ч, бид тасралтгүй байдлын туршилтыг хэзээ ч хийж байгаагүй, өөрөөр хэлбэл, эдгээр нөхцөл байдал бүрт бизнесийг сэргээхэд хэр хугацаа шаардагдахыг хэзээ ч хэмжиж байгаагүй. Баталгаажуулалтын аудитын бэлтгэл ажлын хүрээнд бид зөвхөн үүнийг хийгээд зогсохгүй ирэх оны бизнесийн тасралтгүй байдлын туршилтын төлөвлөгөөг боловсруулсан. Жилийн дараа алсын зайн ажилд бүрэн шилжих шаардлага тулгарахад бид энэ ажлыг гурав хоногийн дотор хийж гүйцэтгэсэн гэдгийг тэмдэглэх нь зүйтэй.
Үүнийг тэмдэглэх нь чухал юм, баталгаажуулалтад бэлтгэж буй бүх компаниуд өөр өөр эхлэх нөхцөлтэй байдаг тул таны хувьд огт өөр өөрчлөлт шаардлагатай байж магадгүй юм.
Өөрчлөлтөд ажилчдын хариу үйлдэл
Хачирхалтай нь - энд бид хамгийн муу зүйлийг хүлээж байсан - энэ нь тийм ч муу биш болсон. Хамтран ажиллагсад гэрчилгээ олгох мэдээг маш их урам зоригтой хүлээж авсан гэж хэлж болохгүй, гэхдээ дараахь зүйл тодорхой байв.
- Бүх гол ажилтнууд энэ үйл явдлын ач холбогдол, зайлшгүй гэдгийг ойлгосон;
- Бусад бүх ажилчид гол ажилчдаа харж байсан.
Мэдээжийн хэрэг, манай салбарын онцлог нь бидэнд маш их тусалсан - нягтлан бодох бүртгэлийн чиг үүргийг аутсорсинг. Манай ажилчдын дийлэнх нь Оросын хууль тогтоомжийн байнгын өөрчлөлтийг сайн даван туулдаг. Үүний дагуу одоо дагаж мөрдөх ёстой хэдэн арван шинэ дүрмийг нэвтрүүлэх нь тэдний хувьд ердийн зүйл биш байв.
Бид бүх ажилтнууддаа ISO 27001 стандартын шинэ сургалт, шалгалтыг бэлдсэн. Бүгд дуулгавартайгаар монитороосоо нууц үг бүхий наалдамхай цаасыг арилгаж, бичиг баримтаар дүүрсэн ширээгээ цэвэрлэв. Сэтгэл ханамжгүй байдал ажиглагдаагүй - ерөнхийдөө бид ажилчиддаа маш азтай байсан.
Ийнхүү бид бизнесийн үйл явц дахь өөрчлөлттэй холбоотой хамгийн зовлонтой үе болох "сэтгэлийн хямрал"-ыг давлаа. Энэ нь хэцүү бөгөөд хэцүү байсан ч эцэст нь үр дүн нь бидний хамгийн зэрлэг хүлээлтээс давсан.
Цувралын өмнөх материалыг уншина уу:
ISO/IEC 5 баталгаажуулалтын зайлшгүй 27001 үе шат. Сэтгэлийн хямрал.
ISO/IEC 5 баталгаажуулалтын зайлшгүй 27001 үе шат. Үрчлэлт.
Эх сурвалж: www.habr.com