Grüße an alle! Ich arbeite in der Abteilung für Informationssicherheit von LANIT und leite die Abteilung für Design und Implementierung. In diesem Artikel möchte ich Erfahrungen austauschen, wie ich zu Beginn einer Karriere in einem völlig anderen Unternehmen einen Standard für die Organisation des Schutzes personenbezogener Daten in medizinischen Einrichtungen erstellt habe. Dies ist eine Geschichte darüber, wie man in 10 Tagen 500 Seiten von Grund auf neu schreibt, Fehler gemacht und Schwierigkeiten nicht überwunden hat. Ich hoffe, meine Erfahrung wird jedem helfen, der die Aufgabe hat, ein Leitliniendokument, einen Standard oder ein Gesetz zu schreiben.

Quelle

Monat zu Tag X.

Das Jahr 2009 im Bereich der Sicherheit personenbezogener Daten war ein Jahr der Vorfreude. Es kursierten anhaltende Gerüchte, dass das 2006 verabschiedete 152-FZ „On Personal Data“ verbindlich werden würde. Der Markt und die Betreiber hatten Zeit, sich auf die obligatorische Umsetzung des Gesetzes vorzubereiten, und es lief aus. Niemand wusste, dass das Gesetz erst 2011 in Kraft treten würde, und sowohl Unternehmen als auch Regierungsbehörden gingen davon aus, dass sie in naher Zukunft lange und hart arbeiten müssten, um es zu schaffen.

Einer der ersten, der mit der Vorbereitung begann, war die Abteilung, die eine große Anzahl von Betreibern personenbezogener Daten mit erhöhter Aufmerksamkeit beaufsichtigte - medizinische Einrichtungen, die Daten über die Gesundheit von Patienten verarbeiten, daher wird die Aufmerksamkeit auf solche wichtigen Informationen erhöht. Der Kürze halber werde ich sie medizinische Einrichtungen nennen.

Da IT-Einrichtungen schlecht entwickelt sind, ganz zu schweigen von der Informationssicherheit, haben sie beschlossen, einen Standard für alle medizinischen Einrichtungen zu schaffen, um personenbezogene Daten zu schützen, die von Personen verwendet werden können, die weit entfernt von Sicherheit und IT sind.

Die meisten Leitdokumente zum Schutz personenbezogener Daten waren einem breiten Personenkreis nicht zugänglich (die sogenannten „vier Bücher“ mit dem Unterschriftenstempel „Für den offiziellen Gebrauch“, die nur Lizenznehmer anfordern konnten), daher war die Möglichkeit, detaillierte Richtlinien zu erstellen, optimal.

2009 war ich nur drei Jahre in der Informationssicherheit tätig und befand mich auf dem Niveau eines erfahrenen Nachwuchses. Er konnte sich einiger Projekte rühmen, die auf personenbezogenen Daten basierten (was zu dieser Zeit viel Erfahrung war, da es sehr schwierig war, den Kunden davon zu überzeugen, optionale Anforderungen zu erfüllen), und befand sich in einem harten Kampf mit einem großen Forschungsinstitut. Die Arbeit an der Erstellung des Standards ging natürlich an mich.

Quelle

Woche bis Tag X.

Eine Woche vor Arbeitsbeginn besprach ich die bevorstehende Aufgabe mit dem Management und es war geplant, dass ein anderer Spezialist dies tun würde, aber am Ende musste ich mich darum kümmern. Als ich jung war, handelte ich nach dem Prinzip "Demenz und Mut", und dieses Prinzip spielte bei allen Arbeiten eine Schlüsselrolle. Dies ist jedoch charakteristisch für alle Fachkräfte in einem bestimmten Stadium ihrer Karriere.

Wie hat sich mein Mut im Projekt manifestiert? Ich musste eine so große Aufgabe allein lösen - es war wie ein Angriff "mit Zugluft auf Panzer".

Viel später nahm ich an fünf ähnlichen Projekten teil und leitete Gruppen von 2 bis 6 Personen. Jetzt kann ich mit Zuversicht sagen: Die optimale Anzahl von Personen für eine ähnliche Aufgabe beträgt 2 Personen, ohne die beteiligten Spezialisten wie technische Redakteure. Insgesamt fünf Personen sollten in einem Team arbeiten (2 Analysten, technischer Redakteur, Berater und Projektmanager). In meiner Erinnerung gibt es einen Fall, in dem ein Team von fünf Personen 9 Monate lang einen ähnlichen Job gemacht hat.

Demenz bestand dagegen aus den von mir angegebenen Arbeitszeiten - 10 Tage, die anstelle von Arbeitern zum Kalender wurden. Die Unterschätzung der Komplexität wurde fast fatal. Diesmal triumphierte der Mut, aber der Weg war schwierig.

Quelle

1-3 Arbeitstag

Da ich so etwas vorher nicht gemacht habe, habe ich mich entschieden, die vorhandenen Methoden zum Erstellen von Dokumenten zu verwenden. Ich erinnerte mich an das größte Dokument, das ich damals geschrieben hatte - mein Diplom - und beschloss, von vorne zu beginnen und am Ende zu enden.

Das erste Dokument lautete „ Methodische Empfehlungen zur Erstellung eines privaten Modells für Bedrohungen der Sicherheit personenbezogener Daten “. (Alle Dokumente finden Sie übrigens im Internet ). Ich habe am meisten mit Bedrohungsmodellen gearbeitet, und diese Aufgabe war am verständlichsten. Dies war der erste Fehler.

Ohne auf Details einzugehen, musste ich drei aufeinanderfolgende Stufen des Schutzes personenbezogener Daten beschreiben:

1. Umfrage
2. Bedrohungsmodellierung
3. Erstellung einer Reihe von Organisations- und Regulierungsdokumenten.

Natürlich begann ich in der Mitte zu beschreiben, was 7-10 Tage lang zu großen Problemen wurde.

Der zweite Fehler bestand darin, das konsequente Prinzip des Schreibens von Dokumenten anzuwenden. Dies ist, wenn zuerst die Titelseite, dann das Inhaltsverzeichnis, die Abkürzungsliste, der einleitende Teil usw. Es funktioniert nicht, irgendwann werden Sie definitiv in eine „kreative Sackgasse“ geraten. Meistens geht es um Abschnitt 3-5, wenn Sie verstehen, woher Sie kommen und wo Sie herkommen möchten, aber es ist nicht klar, wie.

Es war lustig mit den Schnitten, die sofort gemacht wurden. Damit zumindest eine gewisse Kontinuität mit dem aktuellen Rechtsrahmen besteht, habe ich die Abkürzungen aus den Dokumenten der Regulierungsbehörde kopiert, und es blieb die Abkürzung „TKUI - Technical Channels of Information Leakage“, die nirgendwo im Text zu finden ist.

Life Hack: Um die Liste der Abkürzungen auf dem neuesten Stand zu halten, führen Sie beim Schreiben drei einfache Schritte aus:

1. Sobald Sie eine Abkürzung vornehmen müssen, schreiben Sie im Format "(im Folgenden -)". Zum Beispiel eine obligatorische Abkürzung im Text (im Folgenden - OST).
2. Öffnen Sie eine separate Excel-Datei, in die Sie alle Abkürzungen eingeben (ohne Entschlüsselung).
3. Wenn der Text geschrieben ist, ordnen Sie die Liste in Excel von A bis Z und sehen Sie sich die Menge an. Im Text suchen Sie nach dem Eintrag "(im Folgenden -)". Wenn die Zahlen übereinstimmen, herzlichen Glückwunsch - Sie haben eine aktuelle Liste der Abkürzungen.

Verwenden Sie beim Arbeiten mit Abkürzungen nicht mehr als drei Buchstaben. Alles andere sieht schrecklich aus und wird nur schlecht in Erinnerung behalten. Zumindest in Sicherheit, wo er wie in der Armee alle TBS regiert.

Ergebnis: 1 Datei mit einem Volumen von 20 Seiten und mehreren Tags in Excel.

4-6 Arbeitstag

Nach den ersten Tagen eines ruhigen Regimes musste ich mich in den Pool von Koffein und Nikotin stürzen (jetzt bin ich natürlich für einen gesunden Lebensstil). Zunächst wurde solide Arbeit geleistet - die Leistungsbeschreibung wurde gelesen. Grundsätzlich war bisher klar, was zu tun war, aber die Details waren wichtig.

Die Schlüsselwörter waren "Richtlinien", d.h. Eine Abfolge von Aktionen für Personen, die mit dem Thema noch nicht vertraut sind. Es wird entweder der Chefarzt der Gesundheitseinrichtung oder die Sekretärin sein. Daher habe ich beschlossen, alle möglichen Optionen zu beschreiben, damit der Benutzer kein Recht auf Unsicherheit hat: entweder rot oder grün oder warm oder weich.

In diesem Moment arbeitete ich an einem Bedrohungsmodell und erstellte sofort Tabellen für alle möglichen Arten von Informationssystemen (ich hatte 10 davon), schrieb Bedrohungen und tat andere obskure Dinge, die nur im Zusammenhang mit dem Schutz personenbezogener Daten interessant waren.

Nachdem wir die Namen der Bedrohungen auf dem Schild angegeben hatten, wurde klar, dass es irgendwo eine allgemeine Beschreibung der Bedrohungen selbst geben sollte, und dass unsere 10 Arten von Informationssystemen auch irgendwo gut zu beschreiben sind. Schritt für Schritt bewegte sich das Dokument.

Dabei kam er zum Prinzip der "umgekehrten Bewegung", als zu Beginn das Ergebnis geschrieben wurde, das die Essenz und den Zweck des Dokuments darstellt, und dann iterativ alles, was dazu führen sollte.

Im allgemeinen Fall:

• Ergebnis;
• Methodik zur Erzielung des Ergebnisses;
• Beschreibung.

Das Prinzip erwies sich als ziemlich hartnäckig. Mithilfe dieser Funktion können Sie Berichte schreiben, beginnend mit Schlussfolgerungen oder Richtlinien zur Informationssicherheit, beginnend mit den Hauptaktivitäten.

Viel später habe ich diese Methode durch das Konzept des „verbesserten JPEG“ ergänzt, das besagt, dass die Arbeit je nach Begriff immer zu 100% fertig sein sollte, der einzige Unterschied ist der Detaillierungsgrad. Wenn jemand die Zeiten des langsamen Internets gefunden hat, wurde das übliche JPG beim Laden (dieselbe konsistente Art, Dokumente zu schreiben) von oben nach unten angezeigt, und das gesamte JPEG-Bild wurde hochgeladen und seine Klarheit verbessert.

Ein Problem - die direkte Anwendung des Konzepts „Advanced JPEG“ funktioniert bei komplexen Dokumenten nicht (zumindest bei mir). Mit der direkten Anwendung erstellen Sie Abschnitte in einem neuen Dokument und schreiben, worum es geht. Dabei erweitern Sie die Beschreibung, während Sie sie bearbeiten. Bei Standards und kniffligen Techniken funktioniert dies nicht, was mir im nächsten Schritt begegnet ist.

Tatsache ist, dass Sie nicht alles im Voraus vorhersehen können. Das Konzept der Präsentation kann sich im Verlauf des Prozesses mehrmals und dramatisch ändern. Wenn Sie also ein Dokument mit etwas Größerem als Überschriften ausfüllen (z. B. Erklärungen usw.), müssen Sie nicht nur mehrere Sätze an bestimmten Stellen (dieselben Überschriften) neu anordnen, sondern sie bearbeiten, teilen und ergänzen genau diese Erklärungen. Glauben Sie mir, das ist sehr trostlos.

Da die methodischen Empfehlungen, die alle möglichen Ergebnisse beschreiben, vom gleichen Typ sind, sollten sie in Struktur und Beschreibungslogik übereinstimmen. Es wird seltsam aussehen, wenn in einem Typ eine Struktur des Systems vorhanden ist und in dem anderen - nein. Wenn ein Benutzer über zwei Arten von Informationssystemen verfügt, ist es im Allgemeinen weniger wahrscheinlich, dass er in Beschreibungen derselben Struktur verwirrt wird.

Kaum gesagt als getan. Ich nahm die detaillierteste Beschreibung, die ich für ein System hatte, das alles enthielt (in meinem Fall ein verteiltes Informationssystem vom Typ II), und kopierte sie auf andere Typen. Ich argumentierte, dass das Entfernen überflüssiger (und anderer Systemtypen, die eine Teilmenge einer verteilten IP vom Typ II waren) einfacher ist als das Hinzufügen. Das war natürlich nicht so. Ich musste nicht nur unnötige entfernen, sondern auch Funktionen eines bestimmten Typs hinzufügen. Infolgedessen wurde viel Zeit darauf verwendet, Widersprüche zu überprüfen, erneut zu überprüfen und aufzufangen. In den folgenden Arbeiten begann ich genau das Gegenteil zu tun - um das notwendige Minimum zu beschreiben und Spezifität hinzuzufügen.

Die Erstellung des Bedrohungsmodells dauerte 5 Tage, und ich fuhr mit dem zweiten Dokument fort.

Aufgrund seiner bitteren Erfahrung erstellte er zunächst Anwendungen, die Benutzer selbst ausfüllen mussten, und beschrieb dann, wie diese Füllung zu organisieren ist.

Das Ergebnis ist eine vorgefertigte Technik für Bedrohungsmodelle plus die Hälfte der Anwendungen.

7-9 Arbeitstag

Es war eine Zeit der Euphorie, ein Plan, der in meinem Kopf entwickelt wurde, rein mechanische Arbeit blieb - tun Sie einfach, was Sie Anwendungen hinzufügen und richtig beschreiben. Der Ärger kam von dort, wo sie nicht gewartet hatten, sogar zwei.

Quelle

Für die Ausführung und erneute Ausführung einer Reihe von Dokumenten habe ich einen erheblichen Teil der Zeit getötet. Ich wollte alles schön machen, also habe ich sofort interne Links zu Abschnitten und externen Dateien eingefügt. Sobald Anpassungen erforderlich waren (neue Anwendung einfügen, Dokument neu schreiben usw.), führte dies natürlich zu einer Änderung des gesamten Designs.

Ich kann mich nicht erinnern, was ich damals gedacht habe, aber es schien mir so wichtig, dass ich mich nach jedem Strukturwandel mit der Gestaltung und Permutation von Links beschäftigte. Ich denke, es schien mir, dass diese spezielle Änderung definitiv die letzte sein würde. Jetzt werde ich sie schnell wiederholen und an anderen arbeiten.

Mit dem Sammeln von Erfahrung begann ich, farbige Stummel zu machen. Link zu Abschnitt 4 , Anhang 5 (Titelnummer) usw.

Das zweite Problem war die Terminologie. Die Koordination von Begriffen und Definitionen für alle Dokumente nahm viel Zeit in Anspruch. Ich musste ständig die Seiten durchsuchen, um einen bestimmten Wortlaut zu klären (ich habe alles auf einem Monitor gemacht, und glauben Sie mir, es war nicht einfach). Dies ist ein unvermeidliches Übel. Nach und nach wird Ihr Wortschatz die entsprechende Schwere der Angestellten wieder auffüllen, und die meisten Ihrer Definitionen werden konsistent sein.

Am neunten Arbeitstag war alles fertig - zwei Empfehlungsdateien mit Bewerbungen. Es blieb, um die kleinen Dinge zu erledigen.

10 Tage Arbeit

Nachdem ich die kleinen Dinge erledigt hatte, beschloss ich, alles noch einmal zu lesen - um Fehler zu korrigieren, kleine Pfosten zu fangen usw. Und dann wollte ich meinen Job noch besser machen, damit er verständlicher wurde. Ich habe mich entschlossen, Informationen aus den Übersichtstabellen in der Bedrohungsbeschreibung wiederzugeben (all dies ist „unwahrscheinlich“). Warum? Warum? Hier wollte ich.

Ich fing an hinzuzufügen, einer fing an, sich an einen anderen zu klammern, und dann wären die resultierenden Tabellen schön zu reparieren ... Es schien schöner zu sein, aber die Aufgabe des Korrekturlesens war völlig gescheitert. Streben Sie daher nicht nach Spitzenleistungen, Sie können etwas endlos verbessern, aber kaum jemand wird es zu schätzen wissen.

Und für das Korrekturlesen muss Zeit und Mühe übrig bleiben. Deshalb beträgt die optimale Anzahl von Personen im Team zwei. Lohnt sich nicht mehr. Als fünf Personen in sechs Monaten das ähnliche Problem für die Bildung lösten, haben wir viel Zeit für die Koordination, das Schleifen von Teilen, die von verschiedenen Personen geschrieben wurden, die allgemeine Terminologie, das Korrekturlesen usw. gekostet.

Quelle

Wenn Sie ein Titan des Denkens sind, können Sie versuchen, alleine zu arbeiten. Aber denken Sie daran, dass beim Schreiben von 500.000 Zeichen Ihre Augen verschwimmen und es scheint, als würden Sie eines lesen, aber tatsächlich ist es völlig anders geschrieben. Lustig und traurig.

Ich habe die Arbeit pünktlich bestanden und bin schlafen gegangen. Später war es notwendig, Dokumente mit der Aufsichtsbehörde abzustimmen und Fehler zu korrigieren. Infolgedessen haben sich diese Empfehlungen weit verbreitet, und einzelne Teile sind in der überwiegenden Mehrheit der Dokumente zu personenbezogenen Daten enthalten. Nachdem ich einen ähnlichen Job für Bildung und Atomkraft gemacht habe. Aber das ist eine ganz andere Geschichte.

PS Kurzes Memo für die Mutigen

1. Lesen Sie die Leistungsbeschreibung.
2. Unterbrechen Sie nicht die Abfolge der Arbeitsschritte.
3. Wechseln Sie innerhalb der Phase vom Ergebnis zur Methodik und dann zu den Definitionen.
4. Das Kleine zu ergänzen ist einfacher als das Große zu schneiden.
5. Design zuletzt.
6. Fügen Sie die Links im vorletzten Schritt in das Dokument ein.
7. Nehmen Sie sich Zeit für eine erneute Überprüfung.

Quelle