Salam untuk semuanya! Saya bekerja di Departemen Keamanan Informasi LANIT , dan mengepalai departemen desain dan implementasi. Pada artikel ini saya ingin berbagi pengalaman, bagaimana pada awal karir di perusahaan yang sama sekali berbeda saya menyiapkan standar untuk mengatur perlindungan data pribadi di lembaga medis. Ini adalah kisah tentang cara menulis 500 halaman dari awal dalam 10 hari, kesalahan yang dibuat dan kesulitan yang belum diatasi. Saya berharap pengalaman saya akan membantu semua orang yang memiliki tugas menulis dokumen pedoman, standar atau hukum.

Sumber

Bulan ke hari X

Tahun 2009 di bidang keamanan data pribadi adalah tahun antisipasi. Desas-desus terus-menerus beredar bahwa 152-FZ "Pada Data Pribadi", yang diadopsi pada 2006, akan menjadi mengikat. Pasar dan operator diberi waktu untuk mempersiapkan implementasi hukum yang wajib, dan itu berakhir. Tidak ada yang tahu bahwa undang-undang tersebut akan mulai berlaku pada tahun 2011, dan baik badan-badan bisnis maupun pemerintah berasumsi bahwa dalam waktu dekat mereka harus bekerja keras dan lama untuk membuatnya.

Salah satu yang pertama mulai mempersiapkan adalah departemen yang mengawasi lapisan besar operator data pribadi yang meningkat perhatian - lembaga medis yang beroperasi pada data tentang kesehatan pasien, oleh karena itu, perhatian terhadap informasi penting tersebut meningkat. Untuk singkatnya, saya akan memanggil mereka fasilitas medis.

Karena fasilitas TI kurang berkembang, belum lagi keamanan informasi, mereka memutuskan untuk membuat standar bagi semua lembaga medis untuk melindungi data pribadi yang dapat digunakan oleh orang-orang yang jauh dari keamanan dan TI.

Sebagian besar dokumen panduan tentang perlindungan data pribadi tidak dapat diakses oleh banyak orang (yang disebut "empat buku" dengan cap tanda tangan "Untuk penggunaan resmi", yang hanya dapat diminta oleh pemegang lisensi), oleh karena itu, pilihan untuk membuat pedoman terperinci adalah optimal.

Pada tahun 2009, saya terlibat dalam keamanan informasi hanya selama tiga tahun dan berada pada level junior berpengalaman. Dia dapat membanggakan beberapa proyek berdasarkan data pribadi (yang pada waktu itu banyak pengalaman, karena sangat sulit untuk meyakinkan pelanggan untuk memenuhi persyaratan opsional) dan berada dalam pertempuran yang sulit dengan satu lembaga penelitian besar. Tentu saja, pekerjaan menciptakan standar jatuh ke tangan saya.

Sumber

Minggu ke hari X

Seminggu sebelum mulai bekerja, saya membahas tugas yang akan datang dengan manajemen dan direncanakan bahwa spesialis lain akan melakukannya, tetapi pada akhirnya saya harus menghadapinya. Sebagai anak muda, saya bertindak berdasarkan prinsip "demensia dan keberanian", dan prinsip inilah yang memainkan peran kunci dalam semua pekerjaan. Namun, ini adalah karakteristik dari semua spesialis pada tahap tertentu dalam karier mereka.

Bagaimana keberanian saya terwujud dalam proyek ini? Saya harus menyelesaikan tugas berskala besar seperti itu sendiri - itu seperti serangan "dengan angin di tank."

Jauh kemudian, saya berpartisipasi dalam lima proyek serupa, memimpin kelompok dari 2 hingga 6 orang. Sekarang saya dapat mengatakan dengan percaya diri: jumlah optimal orang untuk tugas yang sama adalah 2 orang, belum termasuk spesialis yang terlibat, seperti penulis teknis. Sebanyak lima orang harus bekerja dalam satu tim (2 analis, penulis teknis, konsultan dan manajer proyek). Dalam ingatan saya, ada kasus ketika tim lima orang melakukan pekerjaan serupa selama 9 bulan.

Demensia, di sisi lain, terdiri dari periode kerja yang ditunjukkan oleh saya - 10 hari, yang alih-alih pekerja menjadi kalender. Meremehkan kompleksitas hampir menjadi fatal. Kali ini, keberanian menang, tetapi jalannya sulit.

Sumber

1-3 hari kerja

Karena saya tidak melakukan hal seperti ini sebelumnya, saya memutuskan untuk menggunakan metode yang ada untuk membuat dokumen. Teringat pada dokumen terbesar yang saya tulis waktu itu - ijazah saya, saya memutuskan untuk memulai dari awal dan menyelesaikannya di akhir.

Dokumen pertama adalah " Rekomendasi metodologis untuk menyusun model ancaman pribadi terhadap keamanan data pribadi ". (Omong-omong, semua dokumen dapat ditemukan di Internet ). Saya paling banyak bekerja dengan model ancaman, dan tugas ini adalah yang paling bisa dimengerti. Ini adalah kesalahan pertama.

Tanpa merinci, saya perlu menggambarkan tiga tahap berturut-turut melindungi data pribadi:

1. survei
2. pemodelan ancaman
3. pembuatan seperangkat dokumen organisasi dan peraturan.

Tentu saja, saya mulai menggambarkan di tengah apa yang berubah menjadi masalah besar selama 7-10 hari.

Kesalahan kedua adalah menggunakan prinsip konsisten menulis dokumen. Ini adalah saat pertama halaman judul, lalu daftar isi, daftar singkatan, bagian pengantar, dll. Itu tidak berhasil, pada titik tertentu Anda pasti akan jatuh ke "jalan buntu kreatif", paling sering sampai pada bagian 3-5, ketika Anda memahami dari mana Anda berasal dan di mana Anda ingin datang, tetapi tidak jelas caranya.

Itu lucu dengan luka yang segera dibuat. Agar setidaknya ada beberapa kontinuitas dengan kerangka peraturan saat ini, saya menyalin singkatan dari dokumen-dokumen regulator, dan masih ada singkatan "TKUI - saluran teknis untuk kebocoran informasi," yang tidak ditemukan di mana pun dalam teks.

Life hack: untuk membuat daftar singkatan tetap terbaru, gunakan tiga langkah sederhana saat menulis:

1. Segera setelah Anda perlu membuat singkatan, tulis dalam format "(selanjutnya -)". Misalnya, singkatan wajib dalam teks (selanjutnya - OST).
2. Tetap buka file Excel terpisah, tempat Anda memasukkan semua singkatan (tanpa dekripsi).
3. Ketika teks ditulis, rangking daftar dari A ke Z di Excel dan lihat jumlahnya, dan dalam teks Anda mencari entri "(selanjutnya -)". Jika angkanya cocok, selamat - Anda memiliki daftar singkatan terbaru.

Saat bekerja dengan singkatan, jangan gunakan lebih dari tiga huruf. Apa pun yang berbeda dari ini tampak mengerikan dan tidak diingat dengan baik. Setidaknya dalam keamanan, di mana, seperti di ketentaraan, ia memerintah semua TBS.

Hasil: 1 file dengan volume 20 halaman dan beberapa tag di Excel.

4-6 hari kerja

Setelah hari-hari pertama rejimen yang tenang, saya harus terjun ke kolam kafein dan nikotin (sekarang, tentu saja, saya untuk gaya hidup sehat). Pertama, pekerjaan yang baik dilakukan - kerangka acuan dibaca. Pada prinsipnya, sebelumnya jelas apa yang perlu dilakukan, tetapi detailnya penting.

Kata kuncinya adalah "pedoman", yaitu serangkaian tindakan untuk orang yang baru mengenal subjek. Ini akan menjadi dokter kepala fasilitas kesehatan atau sekretaris. Oleh karena itu, saya memutuskan bahwa semua opsi yang mungkin harus dijelaskan sehingga pengguna tidak memiliki hak untuk ketidakpastian: baik merah, hijau, atau hangat, atau lunak.

Pada saat itu saya sedang mengerjakan model ancaman dan segera membuat tabel untuk semua jenis sistem informasi yang mungkin (saya punya 10 di antaranya), menulis ancaman dan melakukan hal-hal tidak jelas lainnya yang menarik hanya dalam konteks melindungi data pribadi.

Setelah menunjukkan nama-nama ancaman di piring, menjadi jelas bahwa di suatu tempat harus ada deskripsi umum dari ancaman itu sendiri, maka 10 jenis sistem informasi kami juga baik untuk dijelaskan di suatu tempat. Jadi, langkah demi langkah, mengisi dokumen.

Dalam prosesnya, ia sampai pada prinsip "gerakan terbalik", ketika pada awalnya hasilnya ditulis, yang merupakan esensi dan tujuan dokumen, dan kemudian secara iteratif segala sesuatu yang harus mengarah padanya.

Dalam kasus umum:

• hasil;
• metodologi untuk mencapai hasil;
• deskripsi.

Prinsipnya ternyata cukup ulet. Dengan menggunakannya, Anda dapat menulis laporan, mulai dengan kesimpulan, atau kebijakan keamanan informasi, dimulai dengan kegiatan utama.

Jauh kemudian, saya melengkapi metode ini dengan konsep "JPEG yang ditingkatkan", yang mengatakan bahwa pekerjaan, tergantung pada istilahnya, harus selalu siap 100%, satu-satunya perbedaan adalah tingkat kerinciannya. Jika seseorang menemukan waktu dari internet yang lambat, maka JPG yang biasa ditampilkan saat memuat (cara yang sama konsisten menulis dokumen) dari atas ke bawah, dan seluruh gambar JPEG diunggah dan meningkatkan kejernihannya.

Satu masalah - menerapkan konsep "JPEG lanjutan" secara langsung tidak berfungsi untuk dokumen yang kompleks (setidaknya untuk saya). Dengan aplikasi langsung, Anda membuat bagian dalam dokumen baru dan menulis tentang apa itu, memperluas deskripsi saat Anda mengerjakannya. Dalam standar dan teknik rumit, ini tidak berhasil, yang saya temui di langkah berikutnya.

Faktanya adalah bahwa Anda tidak dapat melihat segalanya sebelumnya. Konsep presentasi dapat berubah beberapa kali dalam proses, dan berubah secara dramatis. Karena itu, jika Anda mengisi dokumen dengan sesuatu yang lebih besar dari pos (misalnya, memberikan penjelasan, dll.), Maka Anda akan berakhir dengan fakta bahwa Anda tidak perlu hanya mengatur ulang beberapa kalimat di tempat (pos yang sama), tetapi untuk mengedit, untuk membagi dan melengkapi penjelasan itu. Percayalah, ini sangat suram.

Karena rekomendasi metodologis yang menggambarkan semua hasil yang mungkin adalah dari jenis yang sama, mereka harus bertepatan dalam struktur dan deskripsi logika. Akan terlihat aneh jika dalam satu jenis ada struktur sistem, dan yang lain - tidak. Secara umum, jika pengguna memiliki dua jenis sistem informasi, ia cenderung bingung dalam deskripsi dari struktur yang sama.

Tidak lebih cepat dikatakan daripada dilakukan. Saya mengambil deskripsi paling rinci yang saya miliki untuk sistem yang mencakup semuanya (dalam kasus saya, sistem informasi terdistribusi tipe II), dan menyalinnya ke tipe lain. Saya beralasan bahwa menghapus berlebihan (dan jenis sistem lainnya adalah bagian dari IP tipe II terdistribusi) lebih mudah daripada menambahkan. Tentu saja, ini tidak benar. Saya tidak hanya harus menghapus yang tidak perlu, tetapi juga untuk menambahkan fitur dari tipe tertentu. Akibatnya, banyak waktu dihabiskan untuk memeriksa, memeriksa ulang, dan menangkap kontradiksi. Dalam karya-karya berikutnya, saya mulai bertindak sebaliknya - untuk menggambarkan kebutuhan minimum, menambahkan kekhususan.

Butuh 5 hari untuk membuat model ancaman, dan saya melanjutkan ke dokumen kedua.

Diajarkan oleh pengalaman pahit, ia pertama-tama membuat aplikasi yang harus diisi sendiri oleh pengguna, dan kemudian menjelaskan cara mengatur pengisian ini.

Hasilnya adalah teknik siap pakai untuk model ancaman plus separuh aplikasi.

7-9 hari kerja

Itu adalah masa euforia, sebuah rencana yang dikembangkan di kepala saya, pekerjaan mekanis murni tetap ada - lakukan saja apa yang Anda tambahkan aplikasi dan jelaskan dengan benar. Masalah datang dari tempat mereka tidak menunggu, bahkan dua.

Sumber

Untuk eksekusi dan eksekusi ulang sejumlah dokumen, saya menghabiskan sebagian besar waktu. Saya ingin melakukan semuanya dengan indah, jadi saya segera meletakkan tautan internal ke bagian dan file eksternal. Tentu saja, segera setelah ada kebutuhan untuk penyesuaian (memasukkan aplikasi baru, menulis ulang dokumen, dll.), Semua ini memerlukan perubahan dari keseluruhan desain.

Saya tidak ingat apa yang saya pikirkan saat itu, tetapi bagi saya terasa begitu penting sehingga setelah setiap perubahan struktural saya terlibat dalam desain dan permutasi tautan. Saya kira bagi saya tampaknya perubahan khusus ini akan menjadi yang terakhir, sekarang saya akan segera mengulanginya dan mulai mengerjakan yang lain.

Dengan perolehan pengalaman, saya mulai membuat bertopik berwarna. Tautan ke bagian 4 , lampiran 5 (nomor trek) , dll.

Masalah kedua adalah terminologi. Koordinasi syarat dan definisi untuk semua dokumen membutuhkan banyak waktu. Saya terus-menerus harus menjelajahi halaman untuk mengklarifikasi kata-kata tertentu (saya melakukan segalanya pada satu monitor, dan, percayalah, itu tidak mudah). Ini adalah kejahatan yang tak terhindarkan, secara bertahap kosakata Anda akan mengisi kembali keparahan pegawai yang terkait, dan sebagian besar definisi Anda akan konsisten.

Pada hari kesembilan bekerja, semuanya sudah siap - dua file rekomendasi dengan aplikasi. Tetap untuk menyelesaikan hal-hal kecil.

10 hari kerja

Setelah menyelesaikan hal-hal kecil, saya memutuskan untuk membaca kembali semuanya lagi - untuk memperbaiki kesalahan, untuk menangkap tiang tembok kecil, dll. Dan kemudian saya ingin melakukan pekerjaan saya lebih baik lagi, sehingga itu lebih dimengerti. Saya memutuskan untuk merefleksikan informasi dari tabel ringkasan dalam deskripsi ancaman (semua ini "tidak mungkin diwujudkan"). Mengapa Mengapa Di sini, saya ingin.

Saya mulai menambahkan, satu mulai melekat ke yang lain, dan kemudian tabel yang dihasilkan akan lebih baik untuk diperbaiki ... Tampaknya lebih indah, tetapi tugas proofreading benar-benar gagal. Karena itu, jangan berjuang untuk keunggulan, Anda dapat meningkatkan sesuatu tanpa akhir, tetapi hampir tidak ada orang yang akan menghargainya.

Dan untuk mengoreksi waktu dan usaha harus dibiarkan. Itu sebabnya jumlah optimal orang dalam tim adalah dua. Tidak layak lagi. Ketika lima orang memecahkan masalah yang sama untuk pendidikan dalam enam bulan, kami menghabiskan banyak waktu untuk koordinasi, mengerjakan bagian-bagian yang ditulis oleh orang yang berbeda, terminologi umum, proofreading, dll.

Sumber

Jika Anda seorang titan pemikiran, maka Anda bisa mencoba bekerja sendiri. Tetapi perlu diingat bahwa ketika Anda menulis 500.000 karakter, mata Anda akan menjadi kabur dan sepertinya Anda sedang membaca satu karakter, tetapi sebenarnya itu ditulis sangat berbeda. Lucu dan sedih.

Saya melewati pekerjaan tepat waktu dan pergi tidur. Kemudian, penting untuk mengoordinasikan dokumen dengan regulator dan memperbaiki kesalahan. Sebagai hasilnya, rekomendasi ini telah menyebar luas dan bagian-bagian individual ada di sebagian besar set dokumen tentang data pribadi. Setelah saya melakukan pekerjaan serupa untuk pendidikan dan tenaga nuklir. Tetapi ini adalah kisah yang sangat berbeda.

Memo PS Singkat untuk yang pemberani

1. Baca kerangka acuan.
2. Jangan merusak urutan tahapan kerja.
3. Di dalam panggung, beralih dari hasil ke metodologi, dan kemudian ke definisi.
4. Melengkapi yang kecil lebih mudah daripada memotong yang besar.
5. Desain terakhir.
6. Masukkan tautan di dalam dokumen dalam langkah kedua dari belakang.
7. Luangkan waktu untuk memeriksa kembali.

Sumber