Ожидание
Первый вопрос, которым мы задались после выбора сертифицирующего органа и консультанта сколько времени нам реально понадобится на все необходимые изменения?
Изначальный план работ был расписан так, что мы должны были уложиться за 3 месяца.
Всё выглядело просто: необходимо было написать пару десятков политик и слегка поменять наши внутренние процессы; затем обучить изменениям коллег и подождать еще 3 месяца (чтобы появились записи, то есть доказательства функционирования политик). Казалось, что на этом всё и сертификат у нас в кармане.
К тому же политики мы не собирались писать с нуля ведь у нас был консультант, который должен был как мы думали скинуть нам все правильные шаблоны.В результате этих умозаключений мы заложили на подготовку каждой политики по 3 дня.
Технические изменения также не выглядели устрашающими: необходимо было настроить сбор и хранение событий, проверить, соответствуют ли бэкапы политике, которую мы написали, дооснастить, где это необходимо, кабинеты СКУДом и еще немного разного по мелочи.
Команда, готовящая все необходимое для сертификации, состояла из двух человек. Мы планировали, что они будут заниматься внедрением параллельно со своими основными обязанностями, и у каждого это будет отнимать максимум 1,5-2 часа в день.
Резюмируя, можно сказать, что наш взгляд на предстоящий объем работ был довольно оптимистичным.
Реальность
На самом деле всё, естественно, было иначе: шаблоны политик, предоставленные консультантом, оказались преимущественно неприменимыми к нашей компании; в Интернете почти не было понятной информации по поводу того, что и как нужно делать. Как вы понимаете, план писать одну политику за 3 дня с треском провалился. Так мы перестали укладываться в сроки практически с самого начала проекта, а градус настроения начал медленно падать.
Экспертизы команды было катастрофически мало настолько, что её не хватало даже на то, чтобы задавать правильные вопросы консультанту (который, к слову, не проявлял большого количества инициативы). Дело стало продвигаться еще медленнее, так как через 3 месяца после старта внедрения (то есть в тот момент, когда всё уже должно было быть готово), команду покинул один из двух ключевых участников. На его место пришел новый руководитель IT-службы, которому предстояло в короткий срок завершить процесс внедрения и обеспечить систему менеджмента информационной безопасности всем самым необходимым с технической точки зрения. Задача выглядела сложной Ответственные начали впадать в депрессию.
К тому же техническая сторона вопроса также оказалась с нюансами. Мы встали перед задачей глобальной модернизации ПО как на рабочих станциях, так и на серверном оборудовании. В ходе настройки системы для сбора событий (логов) выяснилось, что нам не хватает аппаратных ресурсов для нормального функционирования системы. Да и ПО для резервного копирования также нуждалось в модернизации.
Спойлер: В итоге СМИБ была героически внедрена за 6 месяцев. И даже никто не умер!
Что изменилось больше всего?
Безусловно, в процессе внедрения стандарта в процессах компании произошло большое количество мелких изменений. Для вас мы выделили самые существенные изменения:
- Формализация процесса оценки рисков
Раньше в компании не было никакой формализованной процедуры оценки рисков это делалось лишь мимоходом в рамках общего стратегического планирования. Одной из самых важных задач, решенных в рамках сертификации, стало внедрение Политики по оценки рисков компании, описывающий все стадии данного процесса и ответственных за каждый этап лиц.
- Контроль над съемными носителями информации
Одним из существенных рисков для бизнеса было использование незашифрованных USB-флеш-накопителей: по сути, любой сотрудник мог записать любую доступную ему информацию на флешку и в лучшем случае потерять ее. В рамках сертификации на всех рабочих станциях сотрудников была отключена возможность скачивания любой информации на флэшки запись информации стала возможным только через заявку в ИТ-отдел.
- Контроль за суперпользователями
Одной из основных проблем был тот факт, что все сотрудники IT-отдела имели абсолютные права во всех системах компании обладали доступом ко всей информации. При этом их при этом никто толком не контролировал.
Мы внедрили систему Data Loss Prevention (DLP) программа для контроля действий сотрудников, которая занимается анализом, блокировкой и оповещениями об опасной и непродуктивной деятельности. Сейчас оповещения о действиях сотрудников ИТ-отдела приходят на почту Операционному Директору компании.
- Подход к организации информационной инфраструктуры
Сертификация потребовала глобальных изменений и подходов. Да, нам пришлось модернизировать ряд серверного оборудования, в связи с увеличившейся нагрузкой. В частности, мы выделили отдельный сервер под системы сбора событий. Сервер был укомплектован объемными и быстрыми накопителями SSD. Мы отказались от ПО для бэкапов и сделали выбор в пользу систем хранения, которые из коробки имеют весь необходимый функционал. Сделали несколько больших шагов в сторону концепции инфраструктура как код, что позволило сэкономить много дискового пространства, за счет отказа от резервного копирования ряда серверов. В кратчайшие сроки (1 неделя) было модернизировано все ПО на рабочих станциях до Win10. Один из вопросов, который решила модернизация возможность включения шифрации (в версии Pro).
- Контроль за бумажными документами
У компании были существенные риски, связанные с использованием бумажных документов: их можно было потерять, оставить в неположенном месте или неправильно уничтожить. Для минимизации такого риска мы промаркировали все бумажные документы по степени конфиденциальности и разработали порядок уничтожения разных типов документов. Теперь, когда сотрудник открывает папку либо берет документ, он точно знает в какую категорию попадает эта информация и как с ней следует обращаться.
- Аренда резервного дата-центра
Раньше вся информация компании хранилась на серверах, расположенных в стороннем защищенном дата-центре. Однако, не было предусмотрено процедур на случай аварий в этом дата-центре. Решением стала аренда резервного облачного дата-центра и бэкапирование туда наиболее важной информации. Сейчас информация компании хранится в двух территориально удаленных дата-центрах, что позволяет минимизировать риск ее потери.
- Тестирование непрерывности бизнеса
В нашей компании уже несколько лет действовала Политика непрерывности бизнеса (BCP), описывающая порядок действий сотрудников при различных негативных сценариях (потеря доступа к офису, эпидемия, отключение электричества и так далее). Однако, мы никогда не проводили тестирование непрерывности то есть, никогда не замеряли, какое количество времени займет восстановление бизнеса в каждой из этих ситуаций. В рамках подготовки к сертификационному аудиту мы не только сделали это, но и разработали план тестирования непрерывности бизнеса на ближайший год. Стоит отметить, что спустя год, когда мы столкнулись с необходимостью полного перехода на дистанционный режим работы, мы справились с этой задачей за три дня.
Важно отметить, что у всех компаний, готовящихся к сертификации, разные стартовые условия поэтому в вашем случае могут потребоваться совсем другие изменения.
Реакция сотрудников на изменения
Как ни странно здесь мы ожидали худшего получилось не так плохо. Нельзя сказать, что коллеги восприняли новость о сертификации с огромным энтузиазмом, но ясно было следующее:
- Все ключевые сотрудники понимали важность и неизбежность этого мероприятия;
- Все прочие сотрудники равнялись на ключевых сотрудников.
Конечно, нам очень помогла специфика нашей отрасли аутсорсинг учётных функций. Абсолютное большинство наших сотрудников отлично справляется с постоянными изменениями в законодательстве РФ. Соответственно, внедрение пары десятков новых правил, которые теперь нужно соблюдать, для них не стало чем-то из ряда вон выходящим.
Мы подготовили новый обязательный тренинг по ISO 27001 и тестирование для всех наших сотрудников. Все послушно сняли со своих мониторов стикеры с паролями и разобрали заваленные документами столы. Никакого громкого недовольства замечено не было в общем, с сотрудниками нам очень повезло.
Таким образом, мы прошли самую болезненную стадию депрессии связанную с изменениями наших бизнес-процессов. Это было тяжело и сложно, но результат в итоге превзошел все самые смелые ожидания.
Читайте предыдущие материалы из цикла:
5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Отрицание: заблуждения о сертификации ISO 27001:2013, целесообразность получения сертификата.
5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Гнев: С чего начать? Исходные данные. Затраты. Выбор провайдера.
5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Торг: подготовка плана внедрения, оценка рисков, написание политик.
5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Депрессия.
5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Принятие.
