Geekly articles weekly

كيف تصنع معيارًا في 10 أيام

تحياتي للجميع! أعمل في قسم أمن المعلومات في LANIT ، وأترأس قسم التصميم والتنفيذ. في هذه المقالة ، أريد مشاركة الخبرات ، كيف قمت في بداية مهنة في شركة مختلفة تمامًا بإعداد معيار لتنظيم حماية البيانات الشخصية في المؤسسات الطبية. هذه قصة عن كتابة 500 صفحة من الصفر في 10 أيام ، والأخطاء والصعوبات التي لم يتم التغلب عليها. آمل أن تساعد تجربتي كل شخص لديه مهمة كتابة مستند توجيه أو معيار أو قانون.

المصدر

من شهر إلى يوم X


كان عام 2009 في مجال أمن البيانات الشخصية عامًا متوقعًا. انتشرت شائعات مستمرة بأن 152-FZ "على البيانات الشخصية" ، التي تم اعتمادها في عام 2006 ، على وشك أن تصبح ملزمة. تم منح السوق والمشغلين الوقت للتحضير للتنفيذ الإلزامي للقانون ، وانتهت صلاحيته. لا أحد يعرف أن القانون لن يدخل حيز التنفيذ إلا في عام 2011 ، وافترضت وكالات الأعمال والوكالات الحكومية أنه سيتعين عليها العمل في المستقبل القريب بصعوبة وصعوبة.

كان أول من بدأ التحضير هو القسم الذي أشرف على طبقة ضخمة من مشغلي البيانات الشخصية ذات الاهتمام المتزايد - المؤسسات الطبية التي تعمل على البيانات المتعلقة بصحة المرضى ، وبالتالي ، يتم زيادة الاهتمام بمثل هذه المعلومات الهامة. للإيجاز ، سأطلق عليهم المرافق الطبية.

نظرًا لأن مرافق تكنولوجيا المعلومات ضعيفة التطور ، ناهيك عن أمن المعلومات ، فقد قرروا إنشاء معيار لجميع المؤسسات الطبية لحماية البيانات الشخصية التي يمكن استخدامها من قبل الأشخاص البعيدين عن الأمان وتكنولوجيا المعلومات.

لم يكن من الممكن الوصول إلى معظم الوثائق التوجيهية حول حماية البيانات الشخصية لدائرة واسعة من الأشخاص (ما يسمى "الكتب الأربعة" التي تحمل ختم التوقيع "للاستخدام الرسمي" ، والتي يمكن للمرخصين فقط طلبها) ، وبالتالي ، كان خيار إنشاء إرشادات مفصلة هو الأمثل.

في عام 2009 ، كنت منخرطًا في أمن المعلومات لمدة ثلاث سنوات فقط وكنت على مستوى مبتدئ من ذوي الخبرة. كان بإمكانه أن يتباهى بمشروعين يعتمدان على البيانات الشخصية (التي كانت في ذلك الوقت خبرة كبيرة ، لأنه كان من الصعب جدًا إقناع العميل بالوفاء بالمتطلبات الاختيارية) وكان في معركة صعبة مع معهد أبحاث كبير. بالطبع ، ذهب لي عمل إنشاء المعيار.

المصدر

من الأسبوع إلى اليوم العاشر


قبل أسبوع من بدء العمل ، ناقشت المهمة القادمة مع الإدارة وكان من المخطط أن يقوم بها أخصائي آخر ، ولكن في النهاية كان علي التعامل معها. عندما كنت صغيرا ، عملت على مبدأ "الخرف والشجاعة" ، وكان هذا المبدأ هو الذي لعب دورا رئيسيا في كل العمل. ومع ذلك ، هذه هي سمة جميع المتخصصين في مرحلة معينة من حياتهم المهنية.

كيف ظهرت شجاعتي في المشروع؟ اضطررت إلى حل هذه المهمة الضخمة بمفردي فقط - كان الأمر مثل هجوم "مع مسودات على الدبابات".

بعد ذلك بكثير ، شاركت في خمسة مشاريع مماثلة ، وقادت مجموعات من 2 إلى 6 أشخاص. يمكنني الآن أن أقول بثقة: إن العدد الأمثل للأشخاص لمهمة مماثلة هو شخصان ، دون احتساب المتخصصين المعنيين ، مثل الكتاب التقنيين. يجب أن يعمل ما مجموعه خمسة أشخاص في فريق (2 محلل وكاتب تقني واستشاري ومدير مشروع). في ذاكرتي ، هناك حالة قام فيها فريق من خمسة أشخاص بعمل مماثل لمدة 9 أشهر.

من ناحية أخرى ، يتكون الخرف من فترات العمل التي أشرت إليها - 10 أيام ، والتي أصبحت بدلاً من العمال تقويمًا. أصبح التقليل من التعقيد مميتًا تقريبًا. هذه المرة ، انتصرت الشجاعة ، لكن الطريق كان صعبًا.

المصدر

1-3 يوم عمل


نظرًا لأنني لم أفعل شيئًا كهذا من قبل ، فقد قررت استخدام الأساليب الحالية لإنشاء المستندات. تذكر أكبر مستند كتبته في ذلك الوقت - شهادتي ، قررت أن أبدأ من البداية وانتهي في النهاية.

كانت الوثيقة الأولى " توصيات منهجية لتجميع نموذج خاص لتهديدات أمن البيانات الشخصية ". (بالمناسبة ، يمكن العثور على جميع الوثائق على الإنترنت ). عملت أكثر مع نماذج التهديد ، وكانت هذه المهمة مفهومة للغاية. كان هذا أول خطأ.

دون الخوض في التفاصيل ، كنت بحاجة إلى وصف ثلاث مراحل متتالية لحماية البيانات الشخصية:

  1. مسح
  2. نمذجة التهديد
  3. إنشاء مجموعة من الوثائق التنظيمية والتنظيمية.

بالطبع ، بدأت أصف في المنتصف ما تحول إلى مشاكل كبيرة لمدة 7-10 أيام.

الخطأ الثاني هو استخدام المبدأ الثابت لكتابة الوثائق. هذا عندما تكون صفحة العنوان أولاً ، ثم جدول المحتويات ، وقائمة الاختصارات ، والجزء التمهيدي ، إلخ. هذا لا يعمل ، في مرحلة ما ستقع بالتأكيد في "طريق مسدود إبداعي" ، غالبًا ما يتعلق الأمر بالقسم 3-5 ، عندما تفهم من أين أتيت وأين تريد أن تأتي ، ولكن ليس من الواضح كيف.

كان مضحكا مع التخفيضات التي تم إجراؤها على الفور. حتى يكون هناك بعض الاستمرارية على الأقل في الإطار التنظيمي الحالي ، قمت بنسخ الاختصارات من وثائق المنظم ، وبقي الاختصار "TKUI - القنوات التقنية لتسرب المعلومات" ، والذي لم يتم العثور عليه في أي مكان في النص.

الاختراق مدى الحياة: لتحديث قائمة الاختصارات ، استخدم ثلاث خطوات بسيطة أثناء الكتابة:

  1. بمجرد أن تحتاج إلى اختصار ، اكتب بالصيغة "(فيما يلي -)". على سبيل المثال ، اختصار إلزامي في النص (فيما يلي - OST).
  2. استمر في فتح ملف Excel منفصل ، حيث يمكنك إدخال جميع الاختصارات (بدون فك التشفير).
  3. عند كتابة النص ، قم بترتيب القائمة من الألف إلى الياء في إكسيل وانظر إلى الكمية ، وفي النص الذي تبحث فيه عن الإدخال "(فيما يلي -)". في حالة تطابق الأرقام ، تهانينا - لديك قائمة محدثة بالاختصارات.

عند العمل مع الاختصارات ، لا تستخدم أكثر من ثلاثة أحرف. أي شيء مختلف عن هذا يبدو فظيعًا وذو ذاكرة سيئة. على الأقل في أمان ، حيث ، كما في الجيش ، يحكم جميع TBS.

النتيجة: ملف واحد بحجم 20 صفحة والعديد من العلامات في Excel.

4-6 يوم عمل


بعد الأيام الأولى من نظام هادئ ، اضطررت إلى الغطس في مجموعة الكافيين والنيكوتين (الآن ، بالطبع ، أنا مع نمط حياة صحي). أولاً ، تم عمل سليم - تمت قراءة الاختصاصات. من حيث المبدأ ، كان من الواضح في السابق ما يجب القيام به ، ولكن التفاصيل كانت مهمة.

كانت الكلمات الرئيسية هي "المبادئ التوجيهية" ، أي سلسلة من الإجراءات للأشخاص الجدد على الموضوع. سيكون إما رئيس المرفق الصحي أو السكرتير. لذلك ، قررت أنه يجب وصف جميع الخيارات الممكنة بحيث لا يكون لدى المستخدم الحق في عدم اليقين: سواء أحمر أو أخضر أو ​​دافئ أو ناعم.

في تلك اللحظة كنت أعمل على نموذج تهديد وقمت بعمل جداول لجميع أنواع أنظمة المعلومات الممكنة (كان لدي 10 منها) ، وكتبت التهديدات وقمت بأشياء غامضة أخرى كانت مثيرة للاهتمام فقط في سياق حماية البيانات الشخصية.

بعد الإشارة إلى أسماء التهديدات في اللوحة ، أصبح من الواضح أنه في مكان ما يجب أن يكون هناك وصف عام للتهديدات نفسها ، ثم أن أنواع أنظمة المعلومات العشرة لدينا جيدة أيضًا لوصفها في مكان ما. لذا ، تتحرك خطوة بخطوة ، املأ المستند.

في هذه العملية ، توصل إلى مبدأ "الحركة العكسية" ، عندما يتم كتابة النتيجة في البداية ، وهو جوهر الوثيقة والغرض منها ، ثم تكرار كل شيء يجب أن يؤدي إليها.

في الحالة العامة:

  • نتيجة ؛
  • منهجية لتحقيق النتيجة ؛
  • الوصف.

تبين أن المبدأ عنيد تمامًا. باستخدامه ، يمكنك كتابة التقارير ، بدءًا من الاستنتاجات ، أو سياسات أمن المعلومات ، بدءًا من الأنشطة الرئيسية.

بعد ذلك بكثير ، قمت بتكملة هذه الطريقة بمفهوم "JPEG المحسن" ، والذي يقول أن العمل ، وفقًا للمصطلح ، يجب أن يكون جاهزًا دائمًا بنسبة 100 ٪ ، والفرق الوحيد هو درجة التفاصيل. إذا وجد شخص ما أوقات الإنترنت البطيء ، فعندئذٍ تم عرض JPG المعتاد أثناء تحميله (نفس الطريقة المتسقة لكتابة المستندات) من الأعلى إلى الأسفل ، وتم تحميل صورة JPEG بالكامل وتحسين وضوحها.

مشكلة واحدة - إن تطبيق مفهوم "JPEG المتقدم" لا يعمل مع المستندات المعقدة (على الأقل بالنسبة لي). باستخدام التطبيق المباشر ، يمكنك إنشاء أقسام في مستند جديد وكتابة ما يدور حوله ، وتوسيع الوصف أثناء العمل من خلاله. في المعايير والتقنيات الصعبة ، هذا لا يعمل ، والذي واجهته في الخطوة التالية.

والحقيقة هي أنه لا يمكنك توقع كل شيء مقدمًا. يمكن أن يتغير مفهوم العرض عدة مرات في العملية ، ويتغير بشكل كبير. لذلك ، إذا قمت بملء مستند يحتوي على شيء أكبر من العناوين (على سبيل المثال ، تقديم تفسيرات ، وما إلى ذلك) ، فسوف ينتهي بك الأمر إلى حقيقة أنك لا تحتاج فقط إلى إعادة ترتيب عدة جمل في الأماكن (نفس العناوين) ، ولكن لتحريرها ، لتقسيمها واستكمال تلك التفسيرات. صدقوني ، هذا كئيب للغاية.

بما أن التوصيات المنهجية التي تصف جميع النتائج المحتملة هي من نفس النوع ، فيجب أن تتطابق في بنية الهيكل والوصف. سيبدو غريباً إذا كان هناك نوع من النظام في النظام ، وفي الآخر - لا. بشكل عام ، إذا كان لدى المستخدم نوعان من أنظمة المعلومات ، فمن غير المحتمل أن يتم الخلط بينه وبين أوصاف نفس الهيكل.

لم يقل من فعله. لقد أخذت الوصف الأكثر تفصيلاً الذي كان لدي لنظام يتضمن كل شيء (في حالتي ، نظام معلومات موزع من النوع الثاني) ، وقمت بنسخه إلى أنواع أخرى. لقد فكرت في أن إزالة الفائض (وأنواع أخرى من الأنظمة كانت مجموعة فرعية من النوع II الموزع من IP) أسهل من الإضافة. بالطبع ، لم يكن الأمر كذلك. اضطررت ليس فقط لإزالة غير ضرورية ، ولكن أيضًا لإضافة ميزات من نوع معين. ونتيجة لذلك ، تم إنفاق الكثير من الوقت على التحقق من التناقضات وإعادة فحصها والتقاطها. في الأعمال اللاحقة ، بدأت أتصرف عكس ذلك تمامًا - لوصف الحد الأدنى الضروري ، مع إضافة الخصوصية.

استغرق إنشاء نموذج التهديد 5 أيام ، وانتقلت إلى الوثيقة الثانية.

تم تدريسه من خلال التجربة المريرة ، أولاً وقبل كل شيء تم إنشاء التطبيقات التي يجب على المستخدمين ملؤها لأنفسهم ، ثم شرعوا في وصف كيفية تنظيم هذا التعبئة.

والنتيجة هي تقنية جاهزة لنماذج التهديد بالإضافة إلى نصف التطبيقات.

7-9 يوم عمل


لقد كان وقت النشوة ، وهي خطة وضعت في رأسي ، بقي عمل ميكانيكي بحت - فقط قم بما تضيفه التطبيقات وتصفه بشكل صحيح. جاءت المشاكل من حيث لم ينتظروا ، حتى اثنين.

المصدر

من أجل تنفيذ وإعادة تنفيذ مجموعة من الوثائق ، قتلت جزءًا كبيرًا من الوقت. أردت أن أفعل كل شيء بشكل جميل ، لذلك قمت على الفور بوضع الروابط الداخلية للأقسام والملفات الخارجية. بالطبع ، بمجرد أن تكون هناك حاجة لإجراء تعديلات (إدراج تطبيق جديد ، وإعادة كتابة المستند ، وما إلى ذلك) ، كل هذا يستلزم تغيير التصميم بالكامل.

لا أتذكر ما كنت أفكر فيه آنذاك ، ولكن بدا لي أنه مهم جدًا لدرجة أنني بعد كل تغيير هيكلي انخرطت في تصميم الروابط وتبديلها. أعتقد أنه يبدو لي أن هذا التغيير بالذات سيكون الأخير بالتأكيد ، والآن سأعيده بسرعة وأذهب للعمل على الآخرين.

مع اكتساب الخبرة ، بدأت في صنع بذرة ملونة. رابط إلى القسم 4 ، الملحق 5 (رقم المسار) ، إلخ.

المشكلة الثانية كانت المصطلحات. استغرق تنسيق المصطلحات والتعاريف لجميع الوثائق الكثير من الوقت. اضطررت باستمرار إلى البحث في الصفحات لتوضيح صيغة معينة (فعلت كل شيء على شاشة واحدة ، وصدقوني ، لم يكن الأمر سهلاً). هذا شر لا مفر منه ، وستقوم مفرداتك تدريجياً بتجديد شدة الكتبة المقابلة ، وستكون معظم تعريفاتك متسقة.

في اليوم التاسع من العمل ، كان كل شيء جاهزًا - ملفان للتوصية مع تطبيقات. بقي لإنهاء الأشياء الصغيرة.

10 أيام عمل


بعد الانتهاء من الأشياء الصغيرة ، قررت إعادة قراءة كل شيء مرة أخرى - لتصحيح الأخطاء ، والقبض على عضادات صغيرة ، وما إلى ذلك. ثم أردت أن أقوم بعملي بشكل أفضل ، بحيث يكون مفهوما أكثر. قررت أن تعكس المعلومات من الجداول الموجزة في وصف التهديد (كل هذه "من غير المحتمل أن تتحقق"). لماذا؟ لماذا؟ هنا ، أردت ذلك.

بدأت في الإضافة ، وبدأ أحدهم يتمسك بآخر ، ومن ثم سيكون من الجيد إصلاح الجداول الناتجة ... يبدو أنها أكثر جمالًا ، لكن مهمة التدقيق اللغوي فشلت تمامًا. لذلك ، لا تجتهد للتميز ، يمكنك تحسين شيء ما لا نهاية له ، ولكن بالكاد سيقدره أي شخص.

وللوقت والجهد التدقيق يجب ترك. هذا هو السبب في أن العدد الأمثل للأشخاص في الفريق هو اثنان. لم يعد يستحق ذلك. عندما حل خمسة أشخاص المشكلة المماثلة للتعليم في ستة أشهر ، قضينا الكثير من الوقت للتنسيق ، وطحن الأجزاء التي كتبها أشخاص مختلفون ، والمصطلحات العامة ، والتدقيق اللغوي ، إلخ.

المصدر

إذا كنت عملاق الفكر ، يمكنك محاولة العمل بمفردك. ولكن ضع في اعتبارك أنه عندما تكتب 500000 حرف ، ستصبح عيناك مشوشة ويبدو أنك تقرأ واحدة ، ولكن في الواقع إنها مكتوبة بشكل مختلف تمامًا. مضحك وحزين.

مررت بالعمل في الوقت المحدد وذهبت إلى النوم. في وقت لاحق ، كان من الضروري تنسيق المستندات مع المنظم وتصحيح الأخطاء. ونتيجة لذلك ، انتشرت هذه التوصيات على نطاق واسع وأجزاء فردية موجودة في الغالبية العظمى من مجموعات الوثائق المتعلقة بالبيانات الشخصية. بعد أن قمت بعمل مماثل للتعليم والطاقة النووية. لكن هذه قصة مختلفة تمامًا.

مذكرة PS موجزة للشجعان


  1. اقرأ الاختصاصات.
  2. لا تكسر تسلسل مراحل العمل.
  3. داخل المرحلة ، انتقل من النتيجة إلى المنهجية ، ثم إلى التعريفات.
  4. تكملة الصغيرة أسهل من قطع الكبيرة.
  5. التصميم الأخير.
  6. ضع الروابط داخل المستند في الخطوة قبل الأخيرة.
  7. خذ وقتًا لإعادة الفحص.

المصدر

Source: https://habr.com/ru/post/ar421633/

More articles:


All Articles