5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Депрессия

    Четвертая стадия эмоционального реагирования на изменения – депрессия. В этой статье мы расскажем вам о нашем опыте прохождения самой затяжной и малоприятной стадии – об изменениях бизнес-процессов компании с целью достижения их соответствия стандарту ISO 27001.



    Ожидание


    Первый вопрос, которым мы задались после выбора сертифицирующего органа и консультанта – сколько времени нам реально понадобится на все необходимые изменения?

    Изначальный план работ был расписан так, что мы должны были уложиться за 3 месяца.



    Всё выглядело просто: необходимо было написать пару десятков политик и слегка поменять наши внутренние процессы; затем обучить изменениям коллег и подождать еще 3 месяца (чтобы появились «записи», то есть доказательства функционирования политик). Казалось, что на этом всё – и сертификат у нас в кармане.
    К тому же политики мы не собирались писать с нуля – ведь у нас был консультант, который должен был – как мы думали – скинуть нам все «правильные» шаблоны.
    В результате этих умозаключений мы заложили на подготовку каждой политики по 3 дня.

    Технические изменения также не выглядели устрашающими: необходимо было настроить сбор и хранение событий, проверить, соответствуют ли бэкапы политике, которую мы написали, дооснастить, где это необходимо, кабинеты СКУДом и еще немного разного по мелочи.
    Команда, готовящая все необходимое для сертификации, состояла из двух человек. Мы планировали, что они будут заниматься внедрением параллельно со своими основными обязанностями, и у каждого это будет отнимать максимум 1,5-2 часа в день.
    Резюмируя, можно сказать, что наш взгляд на предстоящий объем работ был довольно оптимистичным.

    Реальность


    На самом деле всё, естественно, было иначе: шаблоны политик, предоставленные консультантом, оказались преимущественно неприменимыми к нашей компании; в Интернете почти не было понятной информации по поводу того, что и как нужно делать. Как вы понимаете, план «писать одну политику за 3 дня» с треском провалился. Так мы перестали укладываться в сроки практически с самого начала проекта, а градус настроения начал медленно падать.



    Экспертизы команды было катастрофически мало – настолько, что её не хватало даже на то, чтобы задавать правильные вопросы консультанту (который, к слову, не проявлял большого количества инициативы). Дело стало продвигаться еще медленнее, так как через 3 месяца после старта внедрения (то есть в тот момент, когда всё уже должно было быть готово), команду покинул один из двух ключевых участников. На его место пришел новый руководитель IT-службы, которому предстояло в короткий срок завершить процесс внедрения и обеспечить систему менеджмента информационной безопасности всем самым необходимым с технической точки зрения. Задача выглядела сложной… Ответственные начали впадать в депрессию.

    К тому же техническая сторона вопроса также оказалась с «нюансами». Мы встали перед задачей глобальной модернизации ПО как на рабочих станциях, так и на серверном оборудовании. В ходе настройки системы для сбора событий (логов) выяснилось, что нам не хватает аппаратных ресурсов для нормального функционирования системы. Да и ПО для резервного копирования также нуждалось в модернизации.

    Спойлер: В итоге СМИБ была героически внедрена за 6 месяцев. И даже никто не умер!

    Что изменилось больше всего?


    Безусловно, в процессе внедрения стандарта в процессах компании произошло большое количество мелких изменений. Для вас мы выделили самые существенные изменения:

    • Формализация процесса оценки рисков

    Раньше в компании не было никакой формализованной процедуры оценки рисков – это делалось лишь мимоходом в рамках общего стратегического планирования. Одной из самых важных задач, решенных в рамках сертификации, стало внедрение Политики по оценке рисков компании, описывающей все стадии данного процесса и ответственных за каждый этап лиц.

    • Контроль над съемными носителями информации

    Одним из существенных рисков для бизнеса было использование незашифрованных USB-флеш-накопителей: по сути, любой сотрудник мог записать любую доступную ему информацию на флешку и в лучшем случае потерять ее. В рамках сертификации на всех рабочих станциях сотрудников была отключена возможность скачивания любой информации на флэшки – запись информации стала возможным только через заявку в ИТ-отдел.

    • Контроль за суперпользователями

    Одной из основных проблем был тот факт, что все сотрудники IT-отдела имели абсолютные права во всех системах компании – обладали доступом ко всей информации. При этом их при этом никто толком не контролировал.

    Мы внедрили систему Data Loss Prevention (DLP) – программа для контроля действий сотрудников, которая занимается анализом, блокировкой и оповещениями об опасной и непродуктивной деятельности. Сейчас оповещения о действиях сотрудников ИТ-отдела приходят на почту Операционному Директору компании.

    • Подход к организации информационной инфраструктуры

    Сертификация потребовала глобальных изменений и подходов. Да, нам пришлось модернизировать ряд серверного оборудования, в связи с увеличившейся нагрузкой. В частности, мы выделили отдельный сервер под системы сбора событий. Сервер был укомплектован объемными и быстрыми накопителями SSD. Мы отказались от ПО для бэкапов и сделали выбор в пользу систем хранения, которые «из коробки» имеют весь необходимый функционал. Сделали несколько больших шагов в сторону концепции «инфраструктура как код», что позволило сэкономить много дискового пространства, за счет отказа от резервного копирования ряда серверов. В кратчайшие сроки (1 неделя) было модернизировано все ПО на рабочих станциях до Win10. Один из вопросов, который решила модернизация – возможность включения шифрации (в версии Pro).

    • Контроль за бумажными документами

    У компании были существенные риски, связанные с использованием бумажных документов: их можно было потерять, оставить в неположенном месте или неправильно уничтожить. Для минимизации такого риска мы промаркировали все бумажные документы по степени конфиденциальности и разработали порядок уничтожения разных типов документов. Теперь, когда сотрудник открывает папку либо берет документ, он точно знает в какую категорию попадает эта информация и как с ней следует обращаться.

    • Аренда резервного дата-центра

    Раньше вся информация компании хранилась на серверах, расположенных в стороннем защищенном дата-центре. Однако, не было предусмотрено процедур на случай аварий в этом дата-центре. Решением стала аренда резервного облачного дата-центра и бэкапирование туда наиболее важной информации. Сейчас информация компании хранится в двух территориально удаленных дата-центрах, что позволяет минимизировать риск ее потери.

    • Тестирование непрерывности бизнеса

    В нашей компании уже несколько лет действовала Политика непрерывности бизнеса (BCP), описывающая порядок действий сотрудников при различных негативных сценариях (потеря доступа к офису, эпидемия, отключение электричества и так далее). Однако, мы никогда не проводили тестирование непрерывности – то есть, никогда не замеряли, какое количество времени займет восстановление бизнеса в каждой из этих ситуаций. В рамках подготовки к сертификационному аудиту мы не только сделали это, но и разработали план тестирования непрерывности бизнеса на ближайший год. Стоит отметить, что спустя год, когда мы столкнулись с необходимостью полного перехода на дистанционный режим работы, мы справились с этой задачей за три дня.



    Важно отметить, что у всех компаний, готовящихся к сертификации, разные стартовые условия – поэтому в вашем случае могут потребоваться совсем другие изменения.

    Реакция сотрудников на изменения


    Как ни странно – здесь мы ожидали худшего – получилось не так плохо. Нельзя сказать, что коллеги восприняли новость о сертификации с огромным энтузиазмом, но ясно было следующее:

    • Все ключевые сотрудники понимали важность и неизбежность этого мероприятия;
    • Все прочие сотрудники равнялись на ключевых сотрудников.

    Конечно, нам очень помогла специфика нашей отрасли – аутсорсинг учётных функций. Абсолютное большинство наших сотрудников отлично справляется с постоянными изменениями в законодательстве РФ. Соответственно, внедрение пары десятков новых правил, которые теперь нужно соблюдать, для них не стало чем-то из ряда вон выходящим.

    Мы подготовили новый обязательный тренинг по ISO 27001 и тестирование для всех наших сотрудников. Все послушно сняли со своих мониторов стикеры с паролями и разобрали заваленные документами столы. Никакого громкого недовольства замечено не было – в общем, с сотрудниками нам очень повезло.

    Таким образом, мы прошли самую болезненную стадию – «депрессии» – связанную с изменениями наших бизнес-процессов. Это было тяжело и сложно, но результат в итоге превзошел все самые смелые ожидания.

    Читайте предыдущие материалы из цикла:

    5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Отрицание: заблуждения о сертификации ISO 27001:2013, целесообразность получения сертификата.

    5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Гнев: С чего начать? Исходные данные. Затраты. Выбор провайдера.

    5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Торг: подготовка плана внедрения, оценка рисков, написание политик.

    5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Депрессия.

    5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Принятие.

    Комментарии 4

      –1
      Если бы бы меня спросили, хотел бы я работать в компании, где параноидально относятся к флэшкам и т.п. анахронизмам (еще пейджеры бы запретили), то мой ответ вполне очевиден.
      Занимайтесь дальше своей паранойей — а для хороших специалистов всегда найдутся теплые ламповые места с дружественной рабочей средой ориентированной на стимулирование креативности сотрудников, а не на бесконечные поиски «чего бы еще запретить».
        0
        Как вы отнесетесь к потере всех ваших данных (вашей работы) после конфликта с «токсичным» коллегой? Или прогулки «мяу».
        В нормальных компаниях, «ограничения на флэшки» обусловлено защитой информации, в том числи и создаваемой вами.
        Но вы, похоже, сталкивались только с «совковым» бизнесом, и «эффективными менеджерами».
          0
          1) Боюсь вы не совсем правильно поняли специфику работы этой компании. Можно провести аналогию: насколько вы будете доверять клинике, в регистратуре которой есть ВСЕ данные вашей семьи и ВСЕХ ваших анализов? Все сомнения вашего невролога или уролога? А если по столу регистратора разбросаны флэшки? А если при своей зарплате в 22 тыр она (регистратор) готова ответить на вопросы HR-агенств? Банков? Страховых?
          2) И как наличие флэшек стимулирует креативность тоже не совсем понятно. С точки зрения руководителя, полагаю, работник, которому для работы нужна флэшка, скорей насторожит. А почему не CD-привод?
            0
            vlsinitsyn, мы не стараемся в рамках компании сделать какой-то «цифровой лагерь». Любые изменения в ИТ предварительно анализируются: что дадут, к чему приведут, что усложнят. Если, в качестве примера, брать работу со съемными носителями, то мы предварительно создали для пользователей все условия, чтобы можно было комфортно работать без использования флеш-накопителей: мы подготовили удобные файлообменный сервис для сотрудников компании, активно начали внедрять ЭДО с клиентами.
            В целом, какие-либо технические ограничения — никак не коррелируют с рабочей атмосферой.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое