Saudações a todos! Trabalho no Departamento de Segurança da Informação da LANIT e lidero o departamento de design e implementação. Neste artigo, quero compartilhar experiências, como, no início de uma carreira em uma empresa completamente diferente, preparei um padrão para organizar a proteção de dados pessoais em instituições médicas. Esta é uma história sobre como escrever 500 páginas do zero em 10 dias, erros cometidos e dificuldades que não foram superadas. Espero que minha experiência ajude todos que tiverem a tarefa de escrever um documento de orientação, norma ou lei.

Fonte

Mês a dia X

O ano de 2009 no campo da segurança de dados pessoais foi um ano de antecipação. Circularam rumores persistentes de que o 152-FZ “On Personal Data”, adotado em 2006, estava prestes a se tornar vinculativo. O mercado e as operadoras tiveram tempo para se preparar para a implementação obrigatória da lei e ela expirou. Ninguém sabia que a lei entraria em vigor apenas em 2011, e as empresas e os órgãos governamentais assumiram que, em um futuro próximo, teriam que trabalhar muito e arduamente para fazê-la.

Uma das primeiras pessoas que começou a se preparar foi a agência que supervisionava uma enorme camada de operadores de dados de atenção pessoal - instituições médicas que operam com dados de saúde do paciente e, portanto, aumenta a atenção a informações tão importantes. Por uma questão de brevidade, vou chamá-los de instalações médicas.

Como as instalações de TI são pouco desenvolvidas, para não mencionar a segurança da informação, eles decidiram criar um padrão para todas as instituições médicas para proteger os dados pessoais que poderiam ser usados ​​por pessoas que estão longe da segurança e da TI.

A maioria dos documentos orientadores sobre a proteção de dados pessoais não era acessível a um amplo círculo de pessoas (os chamados “quatro livros” com o carimbo de assinatura “Para uso oficial”, que somente os licenciados podiam solicitar); portanto, a opção de criar diretrizes detalhadas era ideal.

Em 2009, estive envolvido em segurança da informação por apenas três anos e estava no nível de um júnior experiente. Ele podia se orgulhar de alguns projetos baseados em dados pessoais (que naquela época eram muita experiência, porque era muito difícil convencer o cliente a cumprir requisitos opcionais) e estava em uma dura batalha com um grande instituto de pesquisa. Obviamente, o trabalho de criar o padrão foi para mim.

Fonte

Semana a dia X

Uma semana antes do início do trabalho, discuti a próxima tarefa com a gerência e foi planejado que outro especialista faria isso, mas no final tive que lidar com isso. Sendo jovem, atuei no princípio da "demência e coragem", e foi esse princípio que desempenhou um papel fundamental em todo o trabalho. No entanto, isso é característico de todos os especialistas em um determinado estágio de suas carreiras.

Como minha coragem se manifestou no projeto? Eu tive que resolver uma tarefa de larga escala por conta própria - foi como um ataque "com rascunhos em tanques".

Muito depois, participei de cinco projetos semelhantes, liderando grupos de 2 a 6 pessoas. Agora posso dizer com confiança: o número ideal de pessoas para uma tarefa semelhante é de 2 pessoas, sem contar os especialistas envolvidos, como escritores técnicos. Um total de cinco pessoas deve trabalhar em equipe (2 analistas, redator técnico, consultor e gerente de projeto). Na minha memória, há um caso em que uma equipe de cinco pessoas fez um trabalho semelhante por 9 meses.

A demência, por outro lado, consistia nos períodos de trabalho indicados por mim - 10 dias, que em vez de trabalhadores se tornaram calendário. A subestimação da complexidade quase se tornou fatal. Dessa vez, a coragem triunfou, mas o caminho foi difícil.

Fonte

1-3 dias de trabalho

Como não fiz nada assim antes, decidi usar os métodos existentes para criar documentos. Lembrando do maior documento que havia escrito na época - meu diploma, decidi começar do começo e terminar no final.

O primeiro documento foi “ Recomendações metodológicas para compilar um modelo particular de ameaças à segurança de dados pessoais ”. (A propósito, todos os documentos podem ser encontrados na Internet ). Eu trabalhei mais com modelos de ameaças e essa tarefa foi a mais compreensível. Este foi o primeiro erro.

Sem entrar em detalhes, eu precisava descrever três estágios sucessivos de proteção de dados pessoais:

1. pesquisa
2. modelagem de ameaças
3. criação de um conjunto de documentos organizacionais e regulatórios.

Claro, comecei a descrever no meio o que se transformou em grandes problemas por 7 a 10 dias.

O segundo erro foi usar o princípio consistente de escrever documentos. É quando primeiro a página de título, o índice, a lista de abreviações, a parte introdutória etc. Não funciona; em algum momento você definitivamente cairá em um "beco sem saída criativo", na maioria das vezes chega à seção 3-5, quando você entende de onde veio e de onde deseja, mas não está claro como.

Foi engraçado com os cortes que foram feitos imediatamente. Para que haja pelo menos alguma continuidade com o atual quadro regulatório, copiei as abreviações dos documentos do regulador e permaneci a abreviação “TKUI - canais técnicos para vazamento de informações”, que não é encontrada em nenhum lugar do texto.

Life hack: para manter a lista de abreviações atualizada, use três etapas simples enquanto escreve:

1. Assim que precisar fazer uma abreviação, escreva no formato "(daqui em diante -)". Por exemplo, uma abreviação obrigatória no texto (daqui em diante - OST).
2. Mantenha aberto um arquivo Excel separado, onde você insere todas as abreviações (sem descriptografia).
3. Quando o texto estiver escrito, classifique a lista de A a Z no Excel e verifique a quantidade e no texto você pesquisa a entrada "(daqui em diante -)". Se os números coincidirem, parabéns - você tem uma lista atualizada de abreviações.

Ao trabalhar com abreviações, não use mais de três letras. Qualquer coisa diferente disso parece horrível e mal lembrada. Pelo menos em segurança, onde, como no exército, ele governa todos os TBS.

Resultado: 1 arquivo com um volume de 20 páginas e várias tags no Excel.

4-6 dias de trabalho

Após os primeiros dias de um regime tranqüilo, tive que mergulhar na piscina de cafeína e nicotina (agora, é claro, sou a favor de um estilo de vida saudável). Em primeiro lugar, foi feito um bom trabalho - os termos de referência foram lidos. Em princípio, já estava claro o que precisava ser feito, mas os detalhes eram importantes.

As palavras-chave foram "diretrizes", ou seja, uma sequência de ações para pessoas novas no assunto. Será o médico chefe da unidade de saúde ou o secretário. Portanto, decidi que todas as opções possíveis deveriam ser descritas para que o usuário não tivesse o direito à incerteza: vermelho, verde, quente ou macio.

Naquele momento, eu estava trabalhando em um modelo de ameaça e imediatamente criei tabelas para todos os tipos possíveis de sistemas de informação (eu tinha 10 deles), escrevi ameaças e fiz outras coisas obscuras que eram interessantes apenas no contexto de proteção de dados pessoais.

Depois de indicar os nomes das ameaças, ficou claro que em algum lugar deveria haver uma descrição geral das próprias ameaças, então nossos 10 tipos de sistemas de informação também são bons para descrever em algum lugar. Então, movendo-se passo a passo, preencha o documento.

No processo, ele chegou ao princípio do "movimento inverso", quando no início o resultado é escrito, que é a essência e o objetivo do documento, e então iterativamente tudo o que deveria levar a ele.

No caso geral:

• resultado;
• metodologia para alcançar o resultado;
• descrição.

O princípio acabou sendo bastante tenaz. Com ele, você pode escrever relatórios, começando com conclusões ou políticas de segurança da informação, começando com as principais atividades.

Muito mais tarde, completei esse método com o conceito de “JPEG aprimorado”, que diz que o trabalho, dependendo do termo, deve estar sempre 100% pronto, a única diferença é o grau de detalhe. Se alguém descobrisse os tempos da Internet lenta, o JPG usual era exibido à medida que era carregado (a mesma maneira consistente de escrever documentos) de cima para baixo, e a imagem JPEG inteira era carregada e melhorava sua clareza.

Um problema - aplicar o conceito de "JPEG avançado" de frente não funciona para documentos complexos (pelo menos para mim). Com o aplicativo direto, você cria seções em um novo documento e escreve sobre o que elas são, expandindo a descrição à medida que a trabalha. Em padrões e técnicas complicadas, isso não funciona, o que encontrei na próxima etapa.

O fato é que você não pode prever tudo com antecedência. O conceito de apresentação pode mudar várias vezes no processo e mudar drasticamente. Portanto, se você preencher um documento com algo maior que os títulos (por exemplo, fornecer explicações etc.), acabará com o fato de que você não precisa apenas reorganizar várias frases em locais (os mesmos títulos), mas editar, dividir e complemente essas mesmas explicações. Acredite, isso é muito triste.

Como as recomendações metodológicas que descrevem todos os resultados possíveis são do mesmo tipo, elas devem coincidir na estrutura e na lógica de descrição. Vai parecer estranho se em um tipo houver uma estrutura do sistema, e no outro - não. Em geral, se um usuário possui dois tipos de sistemas de informação, é menos provável que ele fique confuso nas descrições da mesma estrutura.

Mal disse o que fez. Peguei a descrição mais detalhada que eu tinha para um sistema que incluía tudo (no meu caso, um sistema de informações distribuídas do tipo II) e copiei para outros tipos. Eu raciocinei que remover supérfluo (e outros tipos de sistemas eram um subconjunto de um IP do tipo II distribuído) é mais fácil do que adicionar. Claro que não era assim. Eu tive que não apenas remover desnecessários, mas também adicionar recursos de um tipo específico. Como resultado, muito tempo foi gasto em verificação, verificação e captura de contradições. Em trabalhos subseqüentes, comecei a agir exatamente o oposto - para descrever o mínimo necessário, acrescentando especificidade.

Demorou 5 dias para criar o modelo de ameaça, e passei para o segundo documento.

Ensinado por uma experiência amarga, ele criou, em primeiro lugar, aplicativos que os usuários precisariam preencher por conta própria e depois descreveu como organizar esse preenchimento.

O resultado é uma técnica pronta para modelos de ameaças mais metade dos aplicativos.

7-9 dias de trabalho

Foi um período de euforia, um plano desenvolvido em minha mente, e um trabalho puramente mecânico permaneceu - basta fazer o que você adiciona aplicativos e descreve corretamente. O problema veio de onde eles não esperaram, nem dois.

Fonte

Para a execução e reexecução de vários documentos, matei uma parte significativa do tempo. Como eu queria fazer tudo com muito bom gosto, coloquei imediatamente links internos para seções e arquivos externos. Obviamente, assim que houve a necessidade de ajustes (inserir um novo aplicativo, reescrever o documento etc.), tudo isso implicou uma alteração de todo o design.

Não me lembro do que estava pensando, mas me parecia tão importante que, após cada mudança estrutural, eu me envolvia no design e na permutação de links. Acho que me pareceu que essa alteração em particular seria definitivamente a última, agora vou refazê-la rapidamente e trabalhar com outras pessoas.

Com a aquisição da experiência, comecei a fazer esboços coloridos. Link para a seção 4 , apêndice 5 (número da faixa) etc.

O segundo problema foi a terminologia. A coordenação de termos e definições para todos os documentos levou muito tempo. Eu constantemente tinha que vasculhar as páginas para esclarecer um texto específico (fiz tudo em um monitor e, acredite, não era fácil). Este é um mal inevitável, gradualmente o seu vocabulário reabastecerá a gravidade correspondente dos funcionários, e a maioria das suas definições será consistente.

No nono dia de trabalho, tudo estava pronto - dois arquivos de recomendação com aplicativos. Faltava terminar as pequenas coisas.

10 dias de trabalho

Depois de terminar as pequenas coisas, decidi reler tudo novamente - para corrigir erros, capturar batentes pequenos etc. E então eu queria fazer meu trabalho ainda melhor, para que fosse mais compreensível. Decidi refletir as informações das tabelas de resumo na descrição da ameaça (é improvável que todas elas sejam realizadas). Porque Porque Aqui, eu queria.

Comecei a adicionar, um começou a se apegar a outro e, em seguida, as tabelas resultantes seriam boas de corrigir ... Parecia ser mais bonito, mas a tarefa de revisar foi completamente falha. Portanto, não se esforce pela excelência, você pode melhorar algo sem parar, mas dificilmente alguém apreciará.

E para a revisão, tempo e esforço devem ser deixados. É por isso que o número ideal de pessoas na equipe é dois. Não vale mais a pena. Quando cinco pessoas resolveram o problema semelhante para a educação em seis meses, perdemos muito tempo para coordenação, trabalhando em partes escritas por pessoas diferentes, terminologia geral, revisão de provas etc.

Fonte

Se você é um titã de pensamento, pode tentar trabalhar sozinho. Mas lembre-se de que quando você escreve 500.000 caracteres, seus olhos ficam borrados e parece que você está lendo um, mas, na verdade, está escrito completamente diferente. Engraçado e triste.

Passei o trabalho a tempo e fui dormir. Posteriormente, foi necessário coordenar os documentos com o regulador e corrigir erros. Como resultado, essas recomendações se espalharam amplamente e partes individuais estão presentes na grande maioria dos conjuntos de documentos sobre dados pessoais. Depois, fiz um trabalho semelhante em educação e energia nuclear. Mas esta é uma história completamente diferente.

Nota PS breve para os corajosos

1. Leia os termos de referência.
2. Não quebre a sequência de etapas do trabalho.
3. Dentro do estágio, passe do resultado para a metodologia e depois para as definições.
4. Complementar o pequeno é mais fácil do que cortar o grande.
5. Design por último.
6. Coloque os links dentro do documento na penúltima etapa.
7. Tire um tempo para verificar novamente.

Fonte