Salutations à tous! Je travaille au sein du département de la sécurité de l'information de LANIT et je dirige le département de conception et de mise en œuvre. Dans cet article, je veux partager mon expérience, comment au début d'une carrière dans une entreprise complètement différente, j'ai préparé une norme pour l'organisation de la protection des données personnelles dans les institutions médicales. C'est une histoire sur la façon d'écrire 500 pages à partir de zéro en 10 jours, les erreurs commises et les difficultés qui n'ont pas été surmontées. J'espère que mon expérience aidera toute personne chargée de rédiger un document d'orientation, une norme ou une loi.

Source

Du mois au jour X

L'année 2009 dans le domaine de la sécurité des données personnelles a été une année d'anticipation. Des rumeurs persistantes ont circulé selon lesquelles le 152-FZ «Sur les données personnelles», adopté en 2006, allait devenir contraignant. Le marché et les opérateurs ont eu le temps de se préparer à la mise en œuvre obligatoire de la loi et celle-ci a expiré. Personne ne savait que la loi n'entrerait en vigueur qu'en 2011, et les entreprises et les agences gouvernementales ont supposé que dans un proche avenir, elles devraient travailler longtemps et durement pour le faire.

L'un des premiers qui a commencé à se préparer était le département qui supervisait une énorme couche d'opérateurs de données personnelles faisant l'objet d'une attention accrue - les institutions médicales qui opèrent sur des données sur la santé des patients, par conséquent, l'attention sur ces informations importantes est accrue. Par souci de concision, je les appellerai des installations médicales.

Les équipements informatiques étant peu développés, sans parler de la sécurité des informations, ils ont décidé de créer une norme pour toutes les institutions médicales afin de protéger les données personnelles pouvant être utilisées par des personnes éloignées de la sécurité et de l'informatique.

La plupart des documents d'orientation sur la protection des données personnelles n'étaient pas accessibles à un large cercle de personnes (les soi-disant «quatre livres» avec le cachet de signature «Pour usage officiel», que seuls les titulaires de licence pouvaient demander), par conséquent, l'option de créer des lignes directrices détaillées était optimale.

En 2009, je n'étais engagé dans la sécurité de l'information que depuis trois ans et j'étais au niveau d'un junior expérimenté. Il pouvait se vanter de quelques projets basés sur des données personnelles (ce qui à l'époque était une grande expérience, car il était très difficile de convaincre le client de remplir des exigences facultatives) et était dans une rude bataille avec un grand institut de recherche. Bien sûr, le travail de création de la norme m'a été confié.

Source

De la semaine au jour X

Une semaine avant le début des travaux, j'ai discuté de la tâche à venir avec la direction et il était prévu qu'un autre spécialiste le fasse, mais finalement j'ai dû m'occuper de cela. Étant jeune, j'ai agi selon le principe de la «démence et du courage», et c'est ce principe qui a joué un rôle clé dans tout le travail. Cela est cependant caractéristique de tous les spécialistes à un certain stade de leur carrière.

Comment mon courage s'est-il manifesté dans le projet? J'ai dû résoudre une tâche d'une telle ampleur uniquement par moi-même - c'était comme une attaque "avec des courants d'air sur des chars".

Bien plus tard, j'ai participé à cinq projets similaires, dirigeant des groupes de 2 à 6 personnes. Maintenant, je peux dire avec confiance: le nombre optimal de personnes pour une tâche similaire est de 2 personnes, sans compter les spécialistes impliqués, comme les rédacteurs techniques. Au total, cinq personnes devraient travailler en équipe (2 analystes, rédacteur technique, consultant et chef de projet). Dans ma mémoire, il y a un cas où une équipe de cinq personnes a fait un travail similaire pendant 9 mois.

La démence, quant à elle, consistait en des périodes de travail indiquées par moi - 10 jours, qui au lieu des travailleurs sont devenues des calendriers. La sous-estimation de la complexité est presque devenue fatale. Cette fois, le courage a triomphé, mais le chemin a été difficile.

Source

1-3 jours de travail

Comme je n'avais rien fait de tel auparavant, j'ai décidé d'utiliser les méthodes existantes pour créer des documents. En me souvenant du plus grand document que j'avais écrit à l'époque - mon diplôme, j'ai décidé de commencer par le début et de terminer à la fin.

Le premier document était « Recommandations méthodologiques pour l'élaboration d'un modèle privé de menaces à la sécurité des données personnelles ». (Soit dit en passant, tous les documents peuvent être trouvés sur Internet ). J'ai travaillé le plus avec des modèles de menace, et cette tâche était la plus compréhensible. Ce fut la première erreur.

Sans entrer dans les détails, je devais décrire trois étapes successives de protection des données personnelles:

1. enquête
2. modélisation des menaces
3. création d'un ensemble de documents organisationnels et réglementaires.

Bien sûr, j'ai commencé à décrire au milieu ce qui s'est transformé en gros problèmes pendant 7 à 10 jours.

La deuxième erreur a été d'utiliser le principe cohérent de la rédaction de documents. C'est alors d'abord la page de titre, puis la table des matières, la liste des abréviations, la partie introductive, etc. Cela ne fonctionne pas, à un moment donné, vous tomberez certainement dans une «impasse créative», le plus souvent, il s'agit de la section 3-5, lorsque vous comprenez d'où vous venez et où vous voulez venir, mais ce n'est pas clair comment.

C'était drôle avec les coupes qui ont été faites immédiatement. Pour qu'il y ait au moins une certaine continuité avec le cadre réglementaire actuel, j'ai copié les abréviations des documents du régulateur, et il est resté l'abréviation «TKUI - canaux techniques de fuite d'informations», qui ne se trouve nulle part dans le texte.

Life hack: pour garder la liste des abréviations à jour, utilisez trois étapes simples lors de l'écriture:

1. Dès que vous devez faire une abréviation, écrivez au format "(ci-après -)". Par exemple, une abréviation obligatoire dans le texte (ci-après - OST).
2. Gardez ouvert un fichier Excel séparé, où vous entrez toutes les abréviations (sans déchiffrement).
3. Lorsque le texte est écrit, classez la liste de A à Z dans Excel et regardez la quantité, et dans le texte vous recherchez l'entrée "(ci-après -)". Si les chiffres correspondent, félicitations - vous avez une liste à jour des abréviations.

Lorsque vous travaillez avec des abréviations, n'utilisez pas plus de trois lettres. Tout ce qui est différent de cela a l'air horrible et on s'en souvient mal. Au moins en sécurité, où, comme dans l'armée, il gouverne tous les SCT.

Résultat: 1 fichier avec un volume de 20 pages et plusieurs balises dans Excel.

4-6 jours ouvrables

Après les premiers jours d'un régime calme, j'ai dû plonger dans la piscine de caféine et de nicotine (maintenant, bien sûr, je suis pour un mode de vie sain). Premièrement, un bon travail a été fait - le mandat a été lu. En principe, il était clair auparavant ce qui devait être fait, mais les détails étaient importants.

Les mots clés étaient «directives», c'est-à-dire une séquence d'actions pour les personnes qui sont nouvelles sur le sujet. Ce sera soit le médecin-chef de l'établissement de santé, soit le secrétaire. Par conséquent, j'ai décidé que toutes les options possibles devraient être décrites afin que l'utilisateur n'ait pas le droit à l'incertitude: rouge, ou vert, ou chaud, ou doux.

À ce moment-là, je travaillais sur un modèle de menace et j'ai immédiatement créé des tableaux pour tous les types de systèmes d'information possibles (j'en avais 10), écrit des menaces et fait d'autres choses obscures qui n'étaient intéressantes que dans le contexte de la protection des données personnelles.

Après avoir indiqué les noms des menaces dans la plaque, il est devenu clair que quelque part il devrait y avoir une description générale des menaces elles-mêmes, puis que nos 10 types de systèmes d'information sont également bons à décrire quelque part. Donc, en se déplaçant pas à pas, on a rempli le document.

Ce faisant, il en est venu au principe du «mouvement inverse», quand au début le résultat est écrit, ce qui est l'essence et le but du document, puis de manière itérative tout ce qui doit y conduire.

Dans le cas général:

• résultat;
• méthodologie pour atteindre le résultat;
• description.

Le principe s'est avéré assez tenace. En l'utilisant, vous pouvez rédiger des rapports, en commençant par des conclusions ou des politiques de sécurité de l'information, en commençant par les activités principales.

Bien plus tard, j'ai complété cette méthode avec le concept de «JPEG amélioré», qui dit que le travail, selon le terme, doit toujours être prêt à 100%, la seule différence est le degré de détail. Si quelqu'un trouvait les temps de l'Internet lent, alors le JPG habituel était affiché tel qu'il était chargé (la même manière cohérente d'écrire des documents) de haut en bas, et l'image JPEG entière était téléchargée et améliorait sa clarté.

Un problème - appliquer le concept de «JPEG avancé» de front ne fonctionne pas pour les documents complexes (du moins pour moi). Avec l'application directe, vous créez des sections dans un nouveau document et écrivez de quoi il s'agit, en développant la description au fur et à mesure que vous le parcourez. Dans les normes et les techniques délicates, cela ne fonctionne pas, ce que j'ai rencontré à l'étape suivante.

Le fait est que vous ne pouvez pas tout prévoir à l'avance. Le concept de présentation peut changer plusieurs fois au cours du processus et changer radicalement. Par conséquent, si vous remplissez le document avec quelque chose de plus grand que les en-têtes (par exemple, fournissez des explications, etc.), vous vous retrouverez avec le fait que vous devez non seulement réorganiser plusieurs phrases à certains endroits (les mêmes en-têtes), mais éditer, diviser et compléter ces explications mêmes. Croyez-moi, c'est très morne.

Étant donné que les recommandations méthodologiques décrivant tous les résultats possibles sont du même type, elles devraient coïncider dans la structure et la logique de description. Cela semblera étrange si dans un type il y a une structure du système, et dans l'autre - non. En général, si un utilisateur dispose de deux types de systèmes d'information, il est moins susceptible de se perdre dans les descriptions de la même structure.

Aussitôt dit, aussitôt fait. J'ai pris la description la plus détaillée que j'avais pour un système qui comprenait tout (dans mon cas, un système d'information distribué de type II), et je l'ai copié sur d'autres types. J'ai pensé que la suppression de superflus (et d'autres types de systèmes étaient un sous-ensemble d'une adresse IP de type II distribuée) est plus facile que l'ajout. Bien sûr, ce n'était pas le cas. J'ai dû non seulement supprimer les inutiles, mais aussi ajouter des fonctionnalités d'un type particulier. En conséquence, beaucoup de temps a été consacré à la vérification, au contrôle et à la détection des contradictions. Dans les travaux ultérieurs, j'ai commencé à agir exactement le contraire - pour décrire le minimum nécessaire, en ajoutant de la spécificité.

Il a fallu 5 jours pour créer le modèle de menace, et je suis passé au deuxième document.

Enseigné par une expérience amère, il a tout d'abord créé des applications que les utilisateurs devraient remplir eux-mêmes, puis a décrit comment organiser ce remplissage.

Le résultat est une technique prête à l'emploi pour les modèles de menace et la moitié des applications.

7-9 jours ouvrables

C'était une période d'euphorie, un plan développé dans ma tête, un travail purement mécanique est resté - faites simplement ce que vous ajoutez des applications et décrivez correctement. Le problème est venu d'où ils n'ont pas attendu, même deux.

Source

Pour l'exécution et la ré-exécution d'un tas de documents, j'ai tué une partie importante du temps. Je voulais tout faire magnifiquement, alors j'ai immédiatement mis des liens internes vers des sections et des fichiers externes. Bien sûr, dès qu'il y avait un besoin d'ajustements (insérer une nouvelle application, réécrire le document, etc.), tout cela entraînait une modification de l'ensemble du design.

Je ne me souviens pas de ce que je pensais alors, mais il m'a semblé si important qu'après chaque changement structurel, je me suis engagé dans la conception et la permutation de liens. Je suppose qu'il me semblait que ce changement particulier serait définitivement le dernier, maintenant je vais le refaire rapidement et aller travailler sur les autres.

Avec l'acquisition d'expérience, j'ai commencé à fabriquer des talons colorés. Lien vers la section 4 , annexe 5 (numéro de piste) , etc.

Le deuxième problème était la terminologie. La coordination des termes et définitions pour tous les documents a pris beaucoup de temps. Je devais constamment parcourir les pages pour clarifier un libellé particulier (j'ai tout fait sur un seul moniteur et, croyez-moi, ce n'était pas facile). C'est un mal inévitable, progressivement votre vocabulaire reconstituera la gravité correspondante des commis et la plupart de vos définitions seront cohérentes.

Le neuvième jour de travail, tout était prêt - deux fichiers de recommandations avec des applications. Il restait à finir les petites choses.

10 jours de travail

Après avoir terminé les petites choses, j'ai décidé de tout relire à nouveau - pour corriger les erreurs, pour attraper les petits jambages, etc. Et puis je voulais faire encore mieux mon travail, pour que ce soit plus compréhensible. J'ai décidé de refléter les informations des tableaux récapitulatifs dans la description de la menace (il est peu probable qu'elles soient toutes réalisées). Pourquoi? Pourquoi? Ici, je le voulais.

J'ai commencé à ajouter, l'un a commencé à s'accrocher à un autre, puis les tableaux résultants seraient agréables à corriger ... Cela semblait être plus beau, mais la tâche de relecture a été complètement échouée. Par conséquent, ne visez pas l'excellence, vous pouvez sans cesse améliorer quelque chose, mais presque personne ne l'appréciera.

Et pour la relecture, il faut laisser du temps et des efforts. C'est pourquoi le nombre optimal de personnes dans l'équipe est de deux. Ça n'en vaut plus la peine. Lorsque cinq personnes ont résolu le problème similaire de l'éducation en six mois, nous avons perdu beaucoup de temps pour la coordination, le broyage de parties écrites par des personnes différentes, la terminologie générale, la relecture, etc.

Source

Si vous êtes un titan de la pensée, vous pouvez essayer de travailler seul. Mais gardez à l'esprit que lorsque vous écrivez 500 000 caractères, vos yeux seront flous et il semblerait que vous en lisiez un, mais en fait, il est écrit complètement différent. Drôle et triste.

J'ai passé le travail à l'heure et je me suis endormi. Plus tard, il a fallu coordonner les documents avec le régulateur et corriger les erreurs. En conséquence, ces recommandations se sont largement répandues et des parties individuelles sont présentes dans la grande majorité des ensembles de documents sur les données personnelles. Après avoir fait un travail similaire pour l'éducation et l'énergie nucléaire. Mais c'est une histoire complètement différente.

PS Bref mémo pour les courageux

1. Lisez les termes de référence.
2. Ne cassez pas la séquence des étapes de travail.
3. À l'intérieur de la scène, passez du résultat à la méthodologie, puis aux définitions.
4. Compléter le petit est plus facile que de couper le grand.
5. Le design en dernier.
6. Mettez les liens à l'intérieur du document à l'avant-dernière étape.
7. Prenez le temps de revérifier.

Source