Un saludo a todos! Trabajo en el Departamento de Seguridad de la Información de LANIT y dirijo el departamento de diseño e implementación. En este artículo quiero compartir experiencias, cómo al comienzo de una carrera en una compañía completamente diferente preparé un estándar para organizar la protección de datos personales en instituciones médicas. Esta es una historia sobre cómo escribir 500 páginas desde cero en 10 días, los errores cometidos y las dificultades que no se han superado. Espero que mi experiencia ayude a todos los que tienen la tarea de escribir un documento de orientación, norma o ley.

Fuente

Mes a día X

El año 2009 en el campo de la seguridad de los datos personales fue un año de anticipación. Rumores persistentes circularon que 152-FZ "Sobre datos personales", adoptado en 2006, estaba a punto de convertirse en vinculante. El mercado y los operadores tuvieron tiempo para prepararse para la implementación obligatoria de la ley, y expiró. Nadie sabía que la ley entraría en vigencia solo en 2011, y tanto las empresas como las agencias gubernamentales asumieron que en un futuro cercano tendrían que trabajar mucho para lograrlo.

Uno de los primeros que comenzó a prepararse fue el departamento que supervisó una gran capa de operadores de datos personales de mayor atención: las instituciones médicas que operan con datos sobre la salud de los pacientes, por lo tanto, se aumenta la atención a información tan importante. Por brevedad, los llamaré centros médicos.

Como las instalaciones de TI están poco desarrolladas, sin mencionar la seguridad de la información, decidieron crear un estándar para todas las instituciones médicas para proteger los datos personales que podrían ser utilizados por personas que están lejos de la seguridad y la TI.

La mayoría de los documentos guía sobre la protección de datos personales no eran accesibles para un amplio círculo de personas (los llamados "cuatro libros" con el sello de la firma "Para uso oficial", que solo los licenciatarios podían solicitar), por lo tanto, la opción de crear pautas detalladas era óptima.

En 2009, participé en la seguridad de la información durante solo tres años y estaba al nivel de un joven experimentado. Podía presumir de un par de proyectos basados ​​en datos personales (que en ese momento era una gran experiencia, porque era muy difícil convencer al cliente de que cumpliera con los requisitos opcionales) y estaba en una dura batalla con un gran instituto de investigación. Por supuesto, el trabajo de crear el estándar fue para mí.

Fuente

Semana al día X

Una semana antes del comienzo del trabajo, discutí la próxima tarea con la gerencia y estaba planeado que otro especialista lo hiciera, pero al final tuve que lidiar con eso. Siendo joven, actué según el principio de "demencia y coraje", y fue este principio el que jugó un papel clave en todo el trabajo. Sin embargo, esto es característico de todos los especialistas en una determinada etapa de sus carreras.

¿Cómo se manifestó mi coraje en el proyecto? Tenía que resolver una tarea a gran escala solo por mi cuenta, era como un ataque "con corrientes de aire en tanques".

Mucho más tarde, participé en cinco proyectos similares, liderando grupos de 2 a 6 personas. Ahora puedo decir con confianza: el número óptimo de personas para una tarea similar es de 2 personas, sin contar a los especialistas involucrados, como los escritores técnicos. Un total de cinco personas deben trabajar en equipo (2 analistas, redactor técnico, consultor y gerente de proyecto). En mi memoria, hay un caso en que un equipo de cinco personas hizo un trabajo similar durante 9 meses.

La demencia, por otro lado, consistía en los períodos de trabajo indicados por mí: 10 días, que en lugar de trabajadores se convirtieron en calendario. La subestimación de la complejidad casi se volvió fatal. Esta vez, el coraje triunfó, pero el camino fue difícil.

Fuente

1-3 días de trabajo

Como no hice nada como esto antes, decidí usar los métodos existentes para crear documentos. Recordando el documento más grande que había escrito en ese momento: mi diploma, decidí comenzar desde el principio y terminar al final.

El primer documento fue " Recomendaciones metodológicas para compilar un modelo privado de amenazas a la seguridad de los datos personales ". (Por cierto, todos los documentos se pueden encontrar en Internet ). Trabajé más con modelos de amenazas, y esta tarea fue la más comprensible. Este fue el primer error.

Sin entrar en detalles, necesitaba describir tres etapas sucesivas de protección de datos personales:

1. encuesta
2. modelado de amenazas
3. creación de un conjunto de documentos organizacionales y regulatorios.

Por supuesto, comencé a describir en el medio lo que se convirtió en grandes problemas durante 7-10 días.

El segundo error fue utilizar el principio consistente de escribir documentos. Esto es cuando primero la página de título, luego la tabla de contenido, la lista de abreviaturas, la parte introductoria, etc. No funciona, en algún momento definitivamente caerá en un "callejón sin salida creativo", la mayoría de las veces se trata de la sección 3-5, cuando comprende de dónde vino y de dónde quiere venir, pero no está claro cómo.

Fue divertido con los cortes que se hicieron de inmediato. Para que haya al menos cierta continuidad con el marco regulatorio actual, copié las abreviaturas de los documentos del regulador, y quedó la abreviatura "TKUI - canales técnicos de fuga de información", que no se encuentra en ninguna parte del texto.

Life hack: para mantener actualizada la lista de abreviaturas, use tres pasos simples mientras escribe:

1. Tan pronto como necesite hacer una abreviatura, escriba en el formato "(en adelante -)". Por ejemplo, una abreviatura obligatoria en el texto (en adelante, OST).
2. Mantenga abierto un archivo de Excel separado, donde ingrese todas las abreviaturas (sin descifrado).
3. Cuando se escribe el texto, clasifique la lista de la A a la Z en el Excel y observe la cantidad y, en el texto, busque la entrada "(en adelante -)". Si los números coinciden, felicidades: tiene una lista actualizada de abreviaturas.

Cuando trabaje con abreviaturas, no use más de tres letras. Algo diferente a esto se ve horrible y mal recordado. Al menos en seguridad, donde, como en el ejército, gobierna todos los TBS.

Resultado: 1 archivo con un volumen de 20 páginas y varias etiquetas en Excel.

4-6 días de trabajo

Después de los primeros días de un régimen tranquilo, tuve que sumergirme en la piscina de cafeína y nicotina (ahora, por supuesto, estoy a favor de un estilo de vida saludable). En primer lugar, se realizó un trabajo sólido: se leyeron los términos de referencia. En principio, antes estaba claro lo que había que hacer, pero los detalles eran importantes.

Las palabras clave fueron "pautas", es decir Una secuencia de acciones para las personas que son nuevas en el tema. Será el médico jefe del centro de salud o la secretaria. Por lo tanto, decidí que todas las opciones posibles deberían describirse para que el usuario no tuviera derecho a la incertidumbre: rojo, verde, cálido o suave.

En ese momento estaba trabajando en un modelo de amenaza e inmediatamente hice tablas para todos los tipos posibles de sistemas de información (tenía 10 de ellas), escribí amenazas e hice otras cosas oscuras que solo eran interesantes en el contexto de la protección de datos personales.

Después de indicar los nombres de las amenazas en la placa, quedó claro que en algún lugar debería haber una descripción general de las propias amenazas, y luego nuestros 10 tipos de sistemas de información también son buenos para describir en algún lugar. Entonces, moviéndose paso a paso, llené el documento.

En el proceso, llegó al principio de "movimiento inverso", cuando al principio se escribe el resultado, que es la esencia y el propósito del documento, y luego iterativamente todo lo que debería conducir a él.

En el caso general:

• resultado
• metodología para lograr el resultado;
• descripción.

El principio resultó ser bastante tenaz. Utilizándolo, puede escribir informes, comenzando con conclusiones o políticas de seguridad de la información, comenzando con las actividades principales.

Mucho más tarde, completé este método con el concepto de "JPEG mejorado", que dice que el trabajo, dependiendo del término, siempre debe estar 100% listo, la única diferencia es el grado de detalle. Si alguien encontró los tiempos de Internet lento, entonces el JPG habitual se mostraba mientras se cargaba (la misma forma consistente de escribir documentos) de arriba a abajo, y la imagen JPEG completa se cargaba y mejoraba su claridad.

Un problema: aplicar el concepto de "JPEG avanzado" de frente no funciona para documentos complejos (al menos para mí). Con la aplicación directa, puede crear secciones en un nuevo documento y escribir de qué se trata, expandiendo la descripción a medida que lo trabaja. En estándares y técnicas difíciles, esto no funciona, lo cual encontré en el siguiente paso.

El hecho es que no puedes prever todo por adelantado. El concepto de presentación puede cambiar varias veces en el proceso y cambiar dramáticamente. Por lo tanto, si llena el documento con algo más grande que los encabezados (por ejemplo, proporcione explicaciones, etc.), terminará con el hecho de que no solo necesita reorganizar varias oraciones en lugares (los mismos encabezados), sino editar, dividir y complemente esas mismas explicaciones. Créeme, esto es muy triste.

Dado que las recomendaciones metodológicas que describen todos los resultados posibles son del mismo tipo, deben coincidir en la estructura y la lógica de la descripción. Se verá extraño si en un tipo hay una estructura del sistema, y ​​en el otro, no. En general, si un usuario tiene dos tipos de sistemas de información, es menos probable que se confunda en las descripciones de la misma estructura.

Apenas dicho que hecho. Tomé la descripción más detallada que tenía para un sistema que incluía todo (en mi caso, un sistema de información distribuido de tipo II), y lo copié a otros tipos. Razoné que eliminar lo superfluo (y otros tipos de sistemas eran un subconjunto de una IP distribuida de tipo II) es más fácil que agregarlo. Por supuesto, esto no fue así. No solo tuve que eliminar innecesarios, sino también agregar características de un tipo en particular. Como resultado, se dedicó mucho tiempo a verificar, volver a verificar y detectar contradicciones. En trabajos posteriores, comencé a actuar exactamente lo contrario: describir el mínimo necesario, agregando especificidad.

Me llevó 5 días crear el modelo de amenaza, y pasé al segundo documento.

Enseñado por una experiencia amarga, primero creó aplicaciones que los usuarios tendrían que completar por sí mismos, y luego procedió a describir cómo organizar este relleno.

El resultado es una técnica preparada para modelos de amenazas más la mitad de las aplicaciones.

7-9 días de trabajo

Era un momento de euforia, un plan desarrollado en mi cabeza, el trabajo puramente mecánico se mantuvo, solo haga lo que agrega aplicaciones y describa correctamente. El problema vino de donde no esperaron, incluso dos.

Fuente

Para la ejecución y re-ejecución de un montón de documentos, maté una parte importante del tiempo. Quería hacer todo maravillosamente, así que inmediatamente puse enlaces internos a secciones y archivos externos. Por supuesto, tan pronto como hubo necesidad de ajustes (insertar una nueva aplicación, reescribir el documento, etc.), todo esto conllevó una alteración de todo el diseño.

No recuerdo lo que estaba pensando en ese momento, pero me pareció tan importante que después de cada cambio estructural estaba involucrado en el diseño y la permutación de enlaces. Supongo que me pareció que este cambio en particular definitivamente sería el último, ahora lo rehaceré rápidamente e iré a trabajar en otros.

Con la adquisición de experiencia, comencé a hacer trozos de colores. Enlace a la sección 4 , apéndice 5 (número de pista) , etc.

El segundo problema fue la terminología. La coordinación de términos y definiciones para todos los documentos tomó mucho tiempo. Constantemente tenía que recorrer las páginas para aclarar una redacción particular (hice todo en un monitor y, créanme, no fue fácil). Este es un mal inevitable, gradualmente su vocabulario repondrá la severidad correspondiente de los empleados, y la mayoría de sus definiciones serán consistentes.

En el noveno día de trabajo, todo estaba listo: dos archivos de recomendación con aplicaciones. Quedaba por terminar las pequeñas cosas.

10 días de trabajo

Después de terminar las pequeñas cosas, decidí volver a leer todo de nuevo: corregir errores, atrapar pequeñas jambas, etc. Y luego quería hacer mi trabajo aún mejor, para que fuera más comprensible. Decidí reflejar la información de las tablas de resumen en la descripción de la amenaza (es poco probable que todo esto se realice). Por qué Por qué Aquí quería.

Comencé a agregar, uno comenzó a aferrarse al otro, y luego las tablas resultantes serían agradables de arreglar ... Parecía ser más hermoso, pero la tarea de corrección de pruebas fue completamente fallida. Por lo tanto, no se esfuerce por la excelencia, puede mejorar algo sin cesar, pero casi nadie lo apreciará.

Y para la corrección de pruebas se debe dejar tiempo y esfuerzo. Es por eso que el número óptimo de personas en el equipo es dos. Ya no vale la pena. Cuando cinco personas resolvieron el problema similar para la educación en seis meses, perdimos mucho tiempo para la coordinación, la molienda en partes escritas por diferentes personas, la terminología general, la corrección de pruebas, etc.

Fuente

Si eres un titán del pensamiento, entonces puedes intentar trabajar solo. Pero tenga en cuenta que cuando escribe 500,000 caracteres, sus ojos se verán borrosos y parecerá que está leyendo uno, pero en realidad está escrito completamente diferente. Gracioso y triste

Pasé el trabajo a tiempo y me fui a dormir. Más tarde, fue necesario coordinar los documentos con el regulador y corregir los errores. Como resultado, estas recomendaciones se han extendido ampliamente y las partes individuales están presentes en la gran mayoría de los conjuntos de documentos sobre datos personales. Después hice un trabajo similar para educación y energía nuclear. Pero esta es una historia completamente diferente.

PD Breve memo para los valientes

1. Lee los términos de referencia.
2. No rompa la secuencia de etapas de trabajo.
3. Dentro de la etapa, pase del resultado a la metodología y luego a las definiciones.
4. Complementar lo pequeño es más fácil que cortar lo grande.
5. Diseño pasado.
6. Coloque los enlaces dentro del documento en el penúltimo paso.
7. Tómese el tiempo para volver a verificar.

Fuente