Четверта стадія емоційного реагування зміни – депресія. У цій статті ми розповімо вам про наш досвід проходження найзатяжнішої та найнеприємнішої стадії – про зміни бізнес-процесів компанії з метою досягнення їх відповідності стандарту ISO 27001.
Очікування
Перше питання, яким ми поставили після вибору сертифікуючого органу та консультанта – скільки часу нам реально знадобиться на всі необхідні зміни?
Початковий план робіт був розписаний так, що ми мали вкластися за 3 місяці.
Все виглядало просто: потрібно було написати кілька десятків політик і трохи змінити наші внутрішні процеси; потім навчити змін колег та почекати ще 3 місяці (щоб з'явилися «записи», тобто докази функціонування політик). Здавалося, що на цьому все – і сертифікат у кишені.
До того ж, політики ми не збиралися писати з нуля – адже у нас був консультант, який мав – як ми думали – скинути нам усі «правильні» шаблони.
Внаслідок цих висновків ми заклали на підготовку кожної політики по 3 дні.
Технічні зміни також не виглядали жахливими: необхідно було налаштувати збір та зберігання подій, перевірити, чи відповідають бекапи політиці, яку ми написали, дооснастити, де це необхідно, кабінети СКУДом та ще трохи по дрібниці.
Команда, що готує все необхідне сертифікації, складалася з двох осіб. Ми планували, що вони займатимуться впровадженням паралельно зі своїми основними обов'язками, і у кожного це забиратиме максимум 1,5-2 години на день.
Резюмуючи, можна сказати, що наш погляд на майбутній обсяг робіт був досить оптимістичним.
Реальність
Насправді, все, природно, було інакше: шаблони політик, надані консультантом, виявилися переважно незастосовними до нашої компанії; в Інтернеті майже не було зрозумілої інформації щодо того, що і як треба робити. Як ви розумієте, план "писати одну політику за 3 дні" з тріском провалився. Так ми перестали укладатися в термін практично з самого початку проекту, а градус настрою почав повільно падати.
Експертизи команди було катастрофічно мало - настільки, що її не вистачало навіть на те, щоб ставити правильні питання консультанту (який, до речі, не виявляв великої кількості ініціативи). Справа стала просуватися ще повільніше, тому що через 3 місяці після старту впровадження (тобто в той момент, коли все вже мало бути готовим), команду залишив один із двох ключових учасників. На його місце прийшов новий керівник IT-служби, який мав у короткий термін завершити процес впровадження та забезпечити систему менеджменту інформаційної безпеки всім найнеобхіднішим з технічної точки зору. Завдання виглядало складним… Відповідальні почали впадати в депресію.
До того ж, технічна сторона питання також опинилася з «нюансами». Ми постали перед завданням глобальної модернізації програмного забезпечення як на робочих станціях, так і на серверному обладнанні. Під час налаштування системи для збору подій (логів) з'ясувалося, що нам не вистачає апаратних ресурсів для нормального функціонування системи. Та й ПЗ для резервного копіювання також потребувало модернізації.
Спойлер: У результаті ЗМІБ було героїчно впроваджено за 6 місяців. І навіть ніхто не помер!
Що змінилося найбільше?
Безумовно, у процесі впровадження стандарту у процесах компанії відбулася велика кількість дрібних змін. Для вас ми виділили найістотніші зміни:
- Формалізація процесу оцінки ризиків
Раніше у компанії не було жодної формалізованої процедури оцінки ризиків – це робилося лише мимохідь у рамках загального стратегічного планування. Однією з найважливіших завдань, вирішених у межах сертифікації, стало впровадження Політики з оцінки ризиків компанії, що описує всі стадії цього процесу відповідальних за кожний етап осіб.
- Контроль над знімними носіями інформації
Одним із суттєвих ризиків для бізнесу було використання незашифрованих USB-флеш-накопичувачів: по суті будь-який співробітник міг записати будь-яку доступну йому інформацію на флешку і в кращому разі втратити її. У рамках сертифікації на всіх робочих станціях співробітників було відключено можливість скачування будь-якої інформації на флешки – запис інформації став можливим лише через заявку до ІТ-відділу.
- Контроль за суперкористувачами
Однією з основних проблем був той факт, що всі співробітники IT-відділу мали абсолютні права у всіх системах компанії – мали доступ до всієї інформації. При цьому їх при цьому ніхто до ладу не контролював.
Ми впровадили систему Data Loss Prevention (DLP) – програму для контролю дій співробітників, яка займається аналізом, блокуванням та оповіщеннями про небезпечну та непродуктивну діяльність. Наразі сповіщення про дії співробітників ІТ-відділу надходять на пошту Операційному Директору компанії.
- Підхід до організації інформаційної інфраструктури
Сертифікація зажадала глобальних змін та підходів. Так, нам довелося модернізувати ряд серверного обладнання, у зв'язку з навантаженням, що збільшилося. Зокрема ми виділили окремий сервер під системи збору подій. Сервер був укомплектований об'ємними та швидкими накопичувачами SSD. Ми відмовилися від програмного забезпечення для бекапів і зробили вибір на користь систем зберігання, які «з коробки» мають весь необхідний функціонал. Зробили кілька великих кроків у бік концепції «інфраструктура як код», що дозволило заощадити багато дискового простору за рахунок відмови від резервного копіювання низки серверів. У найкоротший термін (1 тиждень) було модернізовано все програмне забезпечення на робочих станціях до Win10. Одне із питань, яке вирішила модернізація – можливість включення шифрації (у версії Pro).
- Контроль за паперовими документами
Компанія мала суттєві ризики, пов'язані з використанням паперових документів: їх можна було втратити, залишити в недозволеному місці або неправильно знищити. Для мінімізації такого ризику ми промаркували всі паперові документи за рівнем конфіденційності та розробили порядок знищення різних типів документів. Тепер, коли співробітник відкриває папку або бере документ, він точно знає, в яку категорію потрапляє ця інформація і як з нею слід звертатися.
- Оренда резервного дата-центру
Раніше вся інформація компанії зберігалася на серверах, розташованих у захищеному сторонньому дата-центрі. Однак, не було передбачено процедури на випадок аварій у цьому дата-центрі. Рішенням стала оренда резервного хмарного дата-центру та бекапірування туди найважливішої інформації. Наразі інформація компанії зберігається у двох територіально віддалених дата-центрах, що дозволяє мінімізувати ризик її втрати.
- Тестування безперервності бізнесу
У нашій компанії вже кілька років діяла Політика безперервності бізнесу (BCP), яка описує порядок дій співробітників за різних негативних сценаріїв (втрата доступу до офісу, епідемія, відключення електрики тощо). Проте, ми ніколи не проводили тестування безперервності – тобто ніколи не заміряли, скільки часу займе відновлення бізнесу в кожній із цих ситуацій. У рамках підготовки до сертифікаційного аудиту ми не лише зробили це, а й розробили план тестування безперервності бізнесу на найближчий рік. Варто зазначити, що через рік, коли ми зіткнулися з необхідністю повного переходу на дистанційний режим роботи, ми впоралися із цим завданням за три дні.
Важливо відмітити, що у всіх компаній, які готуються до сертифікації, різні стартові умови - тому у вашому випадку можуть знадобитися зовсім інші зміни.
Реакція працівників на зміни
Як не дивно – тут ми очікували найгіршого – вийшло не так погано. Не можна сказати, що колеги сприйняли новину про сертифікацію з величезним ентузіазмом, але було таке:
- Усі ключові співробітники розуміли важливість та неминучість цього заходу;
- Усі інші співробітники дорівнювали ключових співробітників.
Звичайно нам дуже допомогла специфіка нашої галузі – аутсорсинг облікових функцій. Абсолютна більшість наших співробітників чудово справляється з постійними змінами у законодавстві РФ. Відповідно, впровадження пари десятків нових правил, яких тепер потрібно дотримуватися, для них не стало чимось надзвичайним.
Ми підготували новий обов'язковий тренінг з ISO 27001 та тестування для всіх наших співробітників. Усі слухняно зняли зі своїх моніторів стікери з паролями та розібрали завалені документами столи. Жодного гучного невдоволення помічено не було - загалом, зі співробітниками нам дуже пощастило.
Таким чином, ми пройшли найболючішу стадію – «депресії» – пов'язану із змінами наших бізнес-процесів. Це було важко і складно, але результат у результаті перевершив усі найсміливіші очікування.
Читайте попередні матеріали з циклу:
5 стадій неминучості прийняття ISO/IEC 27001 сертифікації. Депресія.
5 стадій неминучості прийняття ISO/IEC 27001 сертифікації. Прийняття.
Джерело: habr.com