Geekly articles weekly

10 दिनों में एक मानक कैसे बनाया जाए

सभी को बधाई! मैं LANIT के सूचना सुरक्षा विभाग में काम करता हूं, और डिजाइन और कार्यान्वयन विभाग का प्रमुख हूं। इस लेख में मैं अनुभव साझा करना चाहता हूं कि कैसे एक पूरी तरह से अलग कंपनी में कैरियर की शुरुआत में मैंने चिकित्सा संस्थानों में व्यक्तिगत डेटा की सुरक्षा को व्यवस्थित करने के लिए एक मानक तैयार किया। यह एक कहानी है कि 10 दिनों में स्क्रैच से 500 पेज कैसे लिखें, गलतियां और कठिनाइयों को दूर नहीं किया गया है। मुझे उम्मीद है कि मेरा अनुभव उन सभी की मदद करेगा जिनके पास मार्गदर्शन दस्तावेज, मानक या कानून लिखने का कार्य है।

स्रोत

महीने से दिन X


व्यक्तिगत डेटा सुरक्षा के क्षेत्र में वर्ष 2009 प्रत्याशा का वर्ष था। लगातार अफवाहों ने प्रसारित किया कि 2006 में अपनाए गए 152-एफजेड "ऑन पर्सनल डेटा" बाध्यकारी होने वाले थे। बाजार और ऑपरेटरों को कानून के अनिवार्य कार्यान्वयन की तैयारी के लिए समय दिया गया था, और यह समाप्त हो गया। किसी को नहीं पता था कि यह कानून 2011 में ही लागू हो जाएगा, और दोनों व्यापार और सरकारी एजेंसियों ने मान लिया कि निकट भविष्य में उन्हें इसे बनाने के लिए लंबी और कड़ी मेहनत करनी होगी।

पहले जो तैयार करना शुरू किया गया था, वह विभाग था जिसने मरीजों के स्वास्थ्य पर डेटा पर काम करने वाले चिकित्सा संस्थानों के ऑपरेटरों की एक बड़ी परत का निरीक्षण किया था, इसलिए ऐसी महत्वपूर्ण सूचनाओं पर ध्यान दिया जाता है। संक्षिप्तता के लिए, मैं उन्हें चिकित्सा सुविधाएं कहूंगा।

जैसा कि आईटी सुविधाएं खराब रूप से विकसित होती हैं, सूचना सुरक्षा का उल्लेख नहीं करने के लिए, उन्होंने व्यक्तिगत डेटा की सुरक्षा के लिए सभी चिकित्सा संस्थानों के लिए एक मानक बनाने का फैसला किया जो कि उन लोगों द्वारा उपयोग किया जा सकता है जो सुरक्षा और आईटी से दूर हैं।

व्यक्तिगत डेटा की सुरक्षा पर अधिकांश मार्गदर्शक दस्तावेज लोगों की एक विस्तृत मंडली (तथाकथित "चार किताबें" के साथ हस्ताक्षरित डाक टिकट "आधिकारिक उपयोग के लिए, जो केवल लाइसेंसधारी अनुरोध कर सकते थे) तक पहुंच नहीं थे, इसलिए, विस्तृत दिशानिर्देश बनाने का विकल्प इष्टतम था।"

2009 में, मैं केवल तीन वर्षों के लिए सूचना सुरक्षा में लगा हुआ था और एक अनुभवी जूनियर के स्तर पर था। वह निजी डेटा के आधार पर कुछ परियोजनाओं का दावा कर सकता था (जो उस समय बहुत अनुभव था, क्योंकि ग्राहक को वैकल्पिक आवश्यकताओं को पूरा करना बहुत मुश्किल था) और एक बड़े शोध संस्थान के साथ एक कठिन लड़ाई में था। बेशक, मानक बनाने का काम मेरे पास चला गया।

स्रोत

सप्ताह के दिन एक्स


काम शुरू करने से एक हफ्ते पहले, मैंने प्रबंधन के साथ आगामी कार्य पर चर्चा की और यह योजना बनाई गई कि एक अन्य विशेषज्ञ इसे करेगा, लेकिन अंत में मुझे इससे निपटना पड़ा। युवा होने के नाते, मैंने "मनोभ्रंश और साहस" के सिद्धांत पर काम किया, और यह वह सिद्धांत था जिसने सभी कार्यों में महत्वपूर्ण भूमिका निभाई। हालांकि, यह उनके करियर में एक निश्चित चरण में सभी विशेषज्ञों की विशेषता है।

प्रोजेक्ट में मेरा साहस कैसे प्रकट हुआ? मुझे केवल अपने दम पर इतने बड़े पैमाने के काम को हल करना था - यह एक हमले की तरह था "टैंकों पर ड्राफ्ट के साथ।"

बहुत बाद में, मैंने पांच समान परियोजनाओं में भाग लिया, जिनमें 2 से 6 लोगों के प्रमुख समूह थे। अब मैं विश्वास के साथ कह सकता हूं: समान कार्य के लिए लोगों की इष्टतम संख्या 2 लोग हैं, तकनीकी विशेषज्ञों की तरह, इसमें शामिल विशेषज्ञों की गिनती नहीं है। एक टीम में कुल पांच लोगों को काम करना चाहिए (2 विश्लेषक, तकनीकी लेखक, सलाहकार और परियोजना प्रबंधक)। मेरी स्मृति में, एक ऐसा मामला है जब पांच लोगों की एक टीम ने 9 महीने तक ऐसा ही काम किया।

दूसरी ओर, डिमेंशिया में मेरे द्वारा इंगित किए गए कार्य की अवधि शामिल है - 10 दिन, जो श्रमिकों के बजाय कैलेंडर बन गए। जटिलता का कम आंकना लगभग घातक हो गया। इस बार, साहस की जीत हुई, लेकिन रास्ता मुश्किल था।

स्रोत

1-3 दिन का काम


चूंकि मैंने पहले ऐसा कुछ नहीं किया था, इसलिए मैंने दस्तावेज़ बनाने के लिए मौजूदा तरीकों का उपयोग करने का फैसला किया। उस समय मैंने जो सबसे बड़ा दस्तावेज लिखा था, उसे याद करते हुए - मेरे डिप्लोमा, मैंने शुरुआत से शुरू करने और अंत में खत्म करने का फैसला किया।

पहला दस्तावेज़ था " निजी डेटा की सुरक्षा के लिए खतरों के एक निजी मॉडल को संकलित करने के लिए पद्धति संबंधी सिफारिशें "। (वैसे, सभी दस्तावेज़ इंटरनेट पर पाए जा सकते हैं )। मैंने खतरे के मॉडल के साथ सबसे अधिक काम किया, और यह कार्य सबसे अधिक समझने योग्य था। यह पहली गलती थी।

विवरण में जाने के बिना, मुझे व्यक्तिगत डेटा की सुरक्षा के तीन चरणों का वर्णन करने की आवश्यकता है:

  1. सर्वेक्षण,
  2. मॉडलिंग को खतरा
  3. संगठनात्मक और नियामक दस्तावेजों के एक सेट का निर्माण।

बेशक, मैंने बीच में वर्णन करना शुरू किया कि 7-10 दिनों के लिए बड़ी समस्याओं में क्या बदल गया।

दूसरी गलती थी दस्तावेजों के सुसंगत सिद्धांत का उपयोग करना। यह तब होता है जब पहले शीर्षक पृष्ठ, फिर सामग्री की तालिका, संक्षिप्त सूची, परिचयात्मक भाग, आदि। यह काम नहीं करता है, कुछ बिंदु पर आप निश्चित रूप से एक "रचनात्मक मृत अंत" में गिर जाएंगे, अक्सर यह अनुभाग 3-5 में आता है, जब आप समझते हैं कि आप कहां से आए थे और आप कहां आना चाहते हैं, लेकिन यह स्पष्ट नहीं है कि कैसे।

यह उन कटों के साथ मजाकिया था जो तुरंत बनाए गए थे। इसलिए कि वर्तमान नियामक ढांचे के साथ कम से कम कुछ निरंतरता है, मैंने नियामक के दस्तावेजों से संक्षिप्त विवरणों की नकल की, और संक्षिप्त नाम "TKUI - सूचना रिसाव के तकनीकी चैनल" बना रहा, जो पाठ में कहीं भी नहीं पाया गया है।

जीवन हैक: संक्षिप्तीकरण की सूची को अद्यतन रखने के लिए, लिखते समय तीन सरल चरणों का उपयोग करें:

  1. जैसे ही आपको एक संक्षिप्त नाम बनाने की आवश्यकता होती है, प्रारूप "(इसके बाद -)" में लिखें। उदाहरण के लिए, पाठ में एक संक्षिप्त नाम (बाद में - OST)।
  2. एक अलग Excel फ़ाइल खोलें, जहाँ आप सभी संक्षिप्ताक्षर (बिना डिक्रिप्शन) दर्ज करें।
  3. जब पाठ लिखा जाता है, तो सूची को ए से जेड तक एक्सेल में रैंक करें और मात्रा को देखें, और पाठ में आप प्रवेश के लिए खोज करते हैं "(इसके बाद -)"। यदि संख्याएं मेल खाती हैं, तो बधाई हो - आपके पास संक्षिप्तीकरण की एक अप-टू-डेट सूची है।

संक्षिप्तीकरण के साथ काम करते समय, तीन अक्षरों से अधिक का उपयोग न करें। इससे अलग कुछ भी भयानक और खराब याद किया जाता है। कम से कम सुरक्षा में, जहां, सेना में, वह सभी टीबीएस पर शासन करता है।

परिणाम: एक्सेल में 20 पेज और कई टैग के साथ 1 फ़ाइल।

4-6 कार्य दिवस


एक शांत आहार के पहले दिनों के बाद, मुझे कैफीन और निकोटीन के पूल में डुबाना पड़ा (अब, निश्चित रूप से, मैं स्वस्थ जीवन शैली के लिए हूं)। सबसे पहले, ध्वनि कार्य किया गया था - संदर्भ की शर्तें पढ़ी गईं। सिद्धांत रूप में, यह पहले स्पष्ट था कि क्या किया जाना चाहिए, लेकिन विवरण महत्वपूर्ण थे।

प्रमुख शब्द "दिशानिर्देश" थे, अर्थात् उन लोगों के लिए क्रियाओं का क्रम जो विषय के लिए नए हैं। यह स्वास्थ्य सुविधा का प्रमुख चिकित्सक या सचिव होगा। इसलिए, मैंने तय किया कि सभी संभावित विकल्पों का वर्णन किया जाना चाहिए ताकि उपयोगकर्ता को अनिश्चितता का अधिकार न हो: या तो लाल, या हरा, या गर्म, या नरम।

उस समय मैं एक खतरे के मॉडल पर काम कर रहा था और तुरंत सभी संभावित प्रकार की सूचना प्रणालियों (मेरे पास उनमें से 10 थे) के लिए टेबल बना दिया, धमकी लिखी और अन्य अस्पष्ट चीजें की जो केवल व्यक्तिगत डेटा की सुरक्षा के संदर्भ में दिलचस्प थीं।

प्लेट में खतरों के नामों को इंगित करने के बाद, यह स्पष्ट हो गया कि कहीं न कहीं खुद खतरों का सामान्य विवरण होना चाहिए, फिर यह कि हमारी 10 प्रकार की सूचना प्रणाली भी कहीं न कहीं अच्छा है। इसलिए, कदम से कदम बढ़ते हुए, दस्तावेज़ को भर दिया।

इस प्रक्रिया में, वह "रिवर्स मूवमेंट" के सिद्धांत पर आए, जब शुरुआत में परिणाम लिखा जाता है, जो कि दस्तावेज़ का सार और उद्देश्य है, और फिर पुनरावृत्त रूप से वह सब कुछ जो इसके लिए नेतृत्व करना चाहिए।

सामान्य मामले में:

  • परिणाम;
  • परिणाम प्राप्त करने की पद्धति;
  • वर्णन।

सिद्धांत काफी कठिन हो गया। इसका उपयोग करते हुए, आप मुख्य गतिविधियों के साथ शुरू होने वाले निष्कर्ष, या सूचना सुरक्षा नीतियों के साथ रिपोर्ट लिख सकते हैं।

बहुत बाद में, मैंने इस पद्धति को "बेहतर जेपीईजी" की अवधारणा के साथ पूरक किया, जो कहती है कि काम, शब्द के आधार पर, हमेशा 100% तैयार होना चाहिए, एकमात्र अंतर विस्तार की डिग्री है। यदि किसी को धीमे इंटरनेट के समय का पता चला, तो सामान्य जेपीजी को ऊपर से नीचे तक (दस्तावेजों को लिखने का एक ही सुसंगत तरीका) लोड किया गया, और संपूर्ण जेपीईजी छवि अपलोड की गई और इसकी स्पष्टता में सुधार हुआ।

एक समस्या - "उन्नत जेपीईजी" की अवधारणा को लागू करना, जटिल दस्तावेजों (कम से कम मेरे लिए) के लिए काम नहीं करता है। प्रत्यक्ष आवेदन के साथ, आप एक नए दस्तावेज़ में अनुभाग बनाते हैं और लिखते हैं कि वे किस बारे में हैं, विवरण का विस्तार करते हुए आप इसके माध्यम से काम करते हैं। मानकों और मुश्किल तकनीकों में, यह काम नहीं करता है, जिसे मैंने अगले चरण में सामना किया।

तथ्य यह है कि आप सब कुछ पहले से नहीं सोच सकते हैं। प्रस्तुति की अवधारणा प्रक्रिया में कई बार बदल सकती है, और नाटकीय रूप से बदल सकती है। इसलिए, यदि आप दस्तावेज़ों को शीर्षकों से कुछ बड़ा करते हैं (उदाहरण के लिए, स्पष्टीकरण प्रदान करते हैं, आदि), तो आप इस तथ्य के साथ समाप्त हो जाएंगे कि आपको स्थानों (एक ही शीर्ष) में कई वाक्यों को पुनर्व्यवस्थित करने की आवश्यकता नहीं है, लेकिन संपादित करने के लिए, विभाजित करने के लिए और उन बहुत स्पष्टीकरण के पूरक हैं। मेरा विश्वास करो, यह बहुत ही डरावना है।

चूंकि सभी संभावित परिणामों का वर्णन करने वाली पद्धतिगत सिफारिशें एक ही प्रकार की हैं, इसलिए उन्हें संरचना और विवरण तर्क में मेल खाना चाहिए। यह अजीब लगेगा अगर एक प्रकार में सिस्टम की एक संरचना होती है, और दूसरे में - नहीं। सामान्य तौर पर, यदि किसी उपयोगकर्ता के पास दो प्रकार की सूचना प्रणाली होती है, तो उसे उसी संरचना के विवरणों में भ्रमित होने की संभावना कम होती है।

जल्दी से नहीं कहा। मैंने सबसे विस्तृत विवरण लिया जो मेरे पास एक ऐसी प्रणाली के लिए था जिसमें सब कुछ शामिल था (मेरे मामले में, टाइप II की एक वितरित सूचना प्रणाली), और इसे अन्य प्रकारों में कॉपी किया। मैंने तर्क दिया कि सुपरफ्लस (और अन्य प्रकार के सिस्टम एक डिस्ट्रिब्यूटेड टाइप II आईपी का उपसमुच्चय) को हटाने से जोड़ना आसान है। बेशक, ऐसा नहीं था। मुझे न केवल अनावश्यक को हटाना था, बल्कि एक विशेष प्रकार की सुविधाओं को भी जोड़ना था। नतीजतन, विरोधाभासों की जांच, पुनरावृत्ति और पकड़ने के लिए बहुत समय खर्च किया गया था। बाद के कार्यों में, मैंने इसके विपरीत कार्य करना शुरू किया - न्यूनतम आवश्यक वर्णन करने के लिए, विशिष्टता को जोड़ते हुए।

खतरा मॉडल बनाने में 5 दिन लगे और मैं दूसरे दस्तावेज पर आगे बढ़ा।

कड़वे अनुभव से तंग आकर, उन्होंने सबसे पहले ऐसे एप्लिकेशन बनाए, जिन्हें यूजर्स को अपने लिए भरना होगा, और फिर आगे बताया कि इस फिलिंग को कैसे व्यवस्थित किया जाए।

परिणाम खतरे के मॉडल के लिए तैयार तकनीक है, साथ ही आधे आवेदन।

7-9 कार्य दिवस


यह उत्साह का समय था, मेरे दिमाग में एक योजना विकसित हुई, विशुद्ध रूप से यांत्रिक कार्य बना रहा - बस वही करें जो आप अनुप्रयोगों को जोड़ते हैं और सही ढंग से वर्णन करते हैं। मुसीबत वहीं से आई, जहां उन्होंने इंतजार नहीं किया, यहां तक ​​कि दो भी।

स्रोत

दस्तावेजों के एक समूह के निष्पादन और पुन: निष्पादन के लिए, मैंने समय का एक महत्वपूर्ण हिस्सा मार दिया। मैं हर चीज को खूबसूरती से करना चाहता था, इसलिए मैंने तुरंत आंतरिक लिंक को अनुभागों और बाहरी फाइलों में डाल दिया। बेशक, जैसे ही समायोजन की आवश्यकता थी (एक नया आवेदन सम्मिलित करें, दस्तावेज़ को फिर से लिखना, आदि), यह सब पूरे डिजाइन का एक परिवर्तन हुआ।

मुझे याद नहीं है कि मैं तब क्या सोच रहा था, लेकिन यह मुझे इतना महत्वपूर्ण लगा कि प्रत्येक संरचनात्मक परिवर्तन के बाद मैं लिंक के डिजाइन और क्रमांकन में लगा हुआ था। मुझे लगता है कि मुझे लग रहा था कि यह विशेष परिवर्तन निश्चित रूप से अंतिम होगा, अब मैं इसे जल्दी से फिर से तैयार करूँगा और दूसरों के काम पर जाऊँगा।

अनुभव के अधिग्रहण के साथ, मैंने रंगीन स्टब्स बनाना शुरू कर दिया। अनुभाग 4 , परिशिष्ट 5 (ट्रैक नंबर) , आदि से लिंक करें।

दूसरी परेशानी शब्दावली थी। सभी दस्तावेजों के लिए नियमों और परिभाषाओं के समन्वय में बहुत समय लगा। मुझे लगातार एक विशेष शब्द को स्पष्ट करने के लिए पृष्ठों को परिमार्जन करना पड़ा (मैंने एक मॉनिटर पर सब कुछ किया, और, मेरा विश्वास करो, यह आसान नहीं था)। यह एक अपरिहार्य बुराई है, धीरे-धीरे आपकी शब्दावली क्लर्कों की संगत गंभीरता को फिर से भर देगी, और आपकी अधिकांश परिभाषाएं सुसंगत होंगी।

काम के नौवें दिन, सब कुछ तैयार था - अनुप्रयोगों के साथ दो सिफारिश की फाइलें। यह छोटी चीजें खत्म करने के लिए बनी रही।

10 दिन का काम


छोटी चीजों को समाप्त करने के बाद, मैंने सब कुछ फिर से पढ़ने का फैसला किया - त्रुटियों को ठीक करने के लिए, छोटे जाम को पकड़ने के लिए, आदि। और फिर मैं अपना काम और भी बेहतर करना चाहता था, ताकि यह अधिक समझ में आए। मैंने खतरे के विवरण में सारांश तालिकाओं से जानकारी को प्रतिबिंबित करने का निर्णय लिया (ये सभी "महसूस किए जाने की संभावना नहीं है")। क्यों? क्यों? यहाँ, मैं चाहता था।

मैंने जोड़ना शुरू कर दिया, एक दूसरे से चिपकना शुरू कर दिया, और फिर परिणामी तालिकाओं को ठीक करना अच्छा होगा ... यह अधिक सुंदर लग रहा था, लेकिन प्रूफरीडिंग का कार्य पूरी तरह से विफल रहा। इसलिए, उत्कृष्टता के लिए प्रयास न करें, आप कुछ सुधार कर सकते हैं, लेकिन शायद ही कोई इसकी सराहना करेगा।

और प्रूफरीडिंग के लिए समय और प्रयास छोड़ना होगा। यही कारण है कि टीम में लोगों की इष्टतम संख्या दो है। अब इसके लायक नहीं है। जब पांच लोगों ने छह महीने में शिक्षा के लिए इसी तरह की समस्या को हल किया, तो हमने समन्वय के लिए बहुत समय मारा, विभिन्न लोगों द्वारा लिखे गए भागों में पीस, सामान्य शब्दावली, प्रूफरीडिंग, आदि।

स्रोत

यदि आप विचार के शीर्षक हैं, तो आप अकेले काम करने की कोशिश कर सकते हैं। लेकिन ध्यान रखें कि जब आप 500,000 अक्षर लिखते हैं, तो आपकी आँखें धुंधली हो जाएंगी और ऐसा लगेगा कि आप एक पढ़ रहे हैं, लेकिन वास्तव में यह पूरी तरह से अलग लिखा गया है। मजेदार और दुखद।

मैंने समय पर काम निपटाया और सोने चला गया। बाद में, नियामक और सही त्रुटियों के साथ दस्तावेजों का समन्वय करना आवश्यक था। नतीजतन, ये सिफारिशें व्यापक रूप से फैल गई हैं और व्यक्तिगत डेटा पर दस्तावेजों के विशाल बहुमत में व्यक्तिगत भाग मौजूद हैं। के बाद मैंने शिक्षा और परमाणु ऊर्जा के लिए एक समान काम किया। लेकिन यह पूरी तरह से अलग कहानी है।

बहादुर के लिए PS संक्षिप्त ज्ञापन


  1. संदर्भ की शर्तें पढ़ें।
  2. काम के चरणों का क्रम न तोड़ें।
  3. मंच के अंदर, परिणाम से कार्यप्रणाली तक, और फिर परिभाषाओं में स्थानांतरित करें।
  4. बड़े को काटने की तुलना में छोटे को लागू करना आसान है।
  5. डिजाइन पिछले।
  6. दस्तावेज़ के अंदर के लिंक को दंडात्मक चरण में रखें।
  7. समय निकालकर जाँच करें।

स्रोत

Source: https://habr.com/ru/post/hi421633/

More articles:


All Articles