问候大家！ 我在LANIT的信息安全部门工作，并负责设计和实施部门。 在本文中，我想分享经验，在一家完全不同的公司开始职业生涯时，我如何准备在医疗机构中组织保护个人数据的标准。 这是一个有关如何在10天内从头开始写500页，犯下的错误和尚未克服的困难的故事。 我希望我的经验能对所有负责编写指导文件，标准或法律的人有所帮助。

来源

月X日

在个人数据安全领域，2009年是充满期待的一年。 一直有传言称，2006年采用的152-FZ“关于个人数据”将具有约束力。 市场和运营商有时间为强制执行该法律做准备，但该法律已失效。 没有人知道该法律仅在2011年生效，商业和政府机构都认为，在不久的将来，他们将必须长期努力地努力以实现该法律。

开始准备工作的第一批人是负责监督越来越多的关注个人数据的操作员的部门-处理患者健康数据的医疗机构，因此，对此类重要信息的关注增加了。 为简便起见，我称它们为医疗机构。

由于IT设施发展不佳，更不用说信息安全了，他们决定为所有医疗机构创建一个标准，以保护个人资料，以保护远离安全和IT的人们。

大部分人都无法获得有关保护个人数据的大多数指导文件（带有“供官方使用”签名的所谓“四本书”，只有被许可方可以要求），因此，创建详细指南的选择是最佳的。

2009年，我从事信息安全工作仅三年，并且处于经验丰富的初级水平。 他可以吹嘘几个基于个人数据的项目（当时有很多经验，因为很难说服客户满足可选要求），并且正在与一家大型研究所进行艰苦的战斗。 当然，创建标准的工作就交给了我。

来源

星期X

在开始工作的一周前，我与管理层讨论了即将到来的任务，并计划由另一位专家来执行此任务，但最后我不得不处理它。 我年轻的时候就遵循“痴呆和勇气”的原则，而正是这一原则在所有工作中发挥了关键作用。 但是，这是所有专家在其职业生涯的某个阶段的特征。

我的勇气如何体现在项目中？ 我不得不独自完成如此大规模的任务-就像是“坦克上有吃水”的攻击。

后来，我参加了五个类似的项目，领导了2至6人的小组。 现在，我可以自信地说：完成一项类似任务的最佳人数是2人，这还不包括相关专家（例如技术作家）的数量。 一个团队中总共应该有五个人（两个分析师，技术作家，顾问和项目经理）。 在我的记忆中，有一个情况，一个由五个人组成的团队做了9个月的类似工作。

另一方面，痴呆症由我指示的工作时间组成-10天，而不是工作人员成为日历。 对复杂性的低估几乎是致命的。 这次，勇气胜利了，但道路艰难。

来源

1-3天的工作时间

由于之前我没有做过这样的事情，因此决定使用现有的方法来创建文档。 回想起当时我写的最大的文件-我的文凭，我决定从头开始，到头结束。

第一份文件是“ 关于对个人数据安全构成威胁的私有模型的方法学建议 ”。 （顺便说一下，所有文档都可以在Internet上找到 ）。 我处理威胁模型的工作最多，而这项任务是最容易理解的。 这是第一个错误。

在不赘述的情况下，我需要描述保护个人数据的三个连续阶段：

1. 调查
2. 威胁建模
3. 创建一组组织和监管文件。

当然，我开始在中间描述在7到10天内变成了大问题的原因。

第二个错误是使用编写文档的一致原则。 首先是标题页，然后是目录，缩写列表，简介部分等。 它是行不通的，在某些时候您肯定会陷入“创造性的死胡同”，通常是在第3-5节中，这是您了解自己的来历和去向，但尚不清楚。

立即进行的削减很有趣。 为了至少与当前的监管框架保持一定的连续性，我复制了监管机构文件中的缩写词，但仍保留了“ TKUI-信息泄露的技术渠道”缩写，在本文中都找不到。

生活技巧：为了使缩写词列表保持最新，在编写时使用三个简单步骤：

1. 一旦需要缩写，请以“（以下简称-）”格式编写。 例如，文本中的强制性缩写（以下简称OST）。
2. 继续打开一个单独的Excel文件，在其中输入所有缩写（不解密）。
3. 编写文本后，在Excel中将列表从A到Z排列，然后查看数量，然后在文本中搜索条目“（以下简称-）”。 如果数字匹配，那么恭喜-您有最新的缩写列表。

使用缩写词时，请勿使用三个以上的字母。 与此不同的任何地方看起来都很糟糕，难以记住。 至少在安全方面，他和军队一样，负责所有的TBS。

结果：1个文件，容量20页，在Excel中有多个标签。

4-6个工作日

在安静的疗养开始后的第一天，我不得不跳入咖啡因和尼古丁的游泳池（当然，现在我是为了健康的生活方式）。 首先，做好了工作-阅读了职权范围。 原则上，以前很清楚需要做什么，但是细节很重要。

关键字是“准则”，即 针对该主题的新手的一系列操作。 它将是卫生机构的主任医师或秘书。 因此，我决定应描述所有可能的选项，以使用户没有不确定性的权利：红色，绿色，温暖或柔和。

那时，我正在研究威胁模型，并立即为所有可能的信息系统类型（我有10个）制作表格，编写威胁并进行其他晦涩的事情，这些事情只有在保护个人数据的情况下才有意义。

在标牌上标明威胁的名称后，很明显，应该在某个地方对威胁本身进行一般性描述，然后我们的十种信息系统也可以在某个地方进行描述。 因此，逐步移动，填充了文档。

在此过程中，他遵循了“反向运动”的原则，即在开始时就写入结果，这是文档的本质和目的，然后反复迭代导致该文档的所有内容。

在一般情况下：

• 结果
• 实现结果的方法；
• 说明。

原来，这个原则非常顽强。 使用它，您可以从结论开始编写报告，或者从主要活动开始编写信息安全策略。

后来，我用“改进的JPEG”的概念对这种方法进行了补充，该概念表示，根据术语，作品应始终准备就绪100％，唯一的区别在于细节程度。 如果有人发现互联网速度较慢，那么通常的JPG会从顶部到底部加载（以相同的一致方式写入文档）显示，然后上传整个JPEG图像并提高其清晰度。

一个问题-正面应用“高级JPEG”的概念不适用于复杂的文档（至少对我而言）。 使用直接应用程序，您可以在新文档中创建各节，然后编写它们的内容，并在处理过程中扩展说明。 在标准和棘手的技术中，这是行不通的，这是我在下一步中遇到的。

事实是您无法预见一切。 演示的概念在此过程中可能会发生多次更改，并且会发生巨大变化。 因此，如果您用比标题更大的内容来填充文档（例如，提供说明等），那么您将得到一个事实，即您不仅需要重新排列几个位置（相同标题）的句子，还需要编辑，划分并补充这些解释。 相信我，这很沉闷。

由于描述所有可能结果的方法建议属于同一类型，因此它们在结构和描述逻辑上应重合。 如果在一种类型中有系统的结构，而在另一种中有系统的结构，则看起来很奇怪。 通常，如果用户具有两种类型的信息系统，则他不太可能对相同结构的描述感到困惑。

言归正传。 我对包含所有内容的系统（在我的情况下为II型分布式信息系统）进行了最详细的描述，并将其复制到其他类型。 我认为删除多余的东西（其他类型的系统是分布式II型IP的子集）比添加容易。 当然不是这样。 我不仅必须删除不必要的内容，而且还必须添加特定类型的功能。 结果，大量的时间花费在检查，重新检查和捕捉矛盾上。 在随后的工作中，我开始采取相反的行动-描述必要的最低要求，增加了特异性。

创建威胁模型花了5天，我进入了第二份文档。

通过痛苦的经验，他首先创建了用户必须自己填写的应用程序，然后着手描述如何组织这种填充。

结果是现成的威胁模型技术以及一半的应用程序。

7-9个工作日

那是一个欣喜若狂的时期，一个在我脑海中制定的计划，纯机械的工作仍然存在-只需添加应用程序并正确描述即可。 麻烦来自他们没有等待的地方，甚至两个。

来源

为了执行和重新执行一堆文档，我花费了大量时间。 我想做的一切都很漂亮，所以我立即放下了指向节和外部文件的内部链接。 当然，一旦需要进行调整（插入新应用程序，重写文档等），所有这些都需要对整个设计进行更改。

我不记得当时的想法，但是在我看来，它是如此重要，以至于每次结构更改后，我都要进行链接的设计和排列。 我想在我看来，这个特定的变化肯定会是最后的变化，现在我将快速重做它，然后着手进行其他工作。

随着经验的积累，我开始制作彩色存根。 链接到第4节 ， 附录5（曲目号）等。

第二个麻烦是术语。 所有文档的术语和定义的协调花费了很多时间。 我经常不得不搜寻页面以澄清特定的用语（我在一台显示器上做了所有操作，并且相信我，这并不容易）。 这是不可避免的邪恶，逐渐，您的词汇量将补充相应职员的严重程度，并且您的大多数定义将保持一致。

在工作的第九天，一切就绪–两个带有应用程序的推荐文件。 它完成了小事情。

10天工作

完成小事情后，我决定再次阅读所有内容-纠正错误，抓小门等。 然后，我想做得更好，以便更容易理解。 我决定在威胁描述中反映汇总表中的信息（所有这些“都不太可能实现”）。 怎么了 怎么了 在这里，我想。

我开始添加，一个表开始紧贴另一个表，然后生成的表将很容易修复...看起来更漂亮，但是校对任务完全失败了。 因此，不要追求卓越，就可以不断改进，但是几乎没有人会欣赏它。

为了校对，必须花时间和精力。 因此，团队中的最佳人数是两个。 不再值得。 当五个人在六个月内解决了类似的教育问题时，我们浪费了很多时间进行协调，研究由不同人撰写的部分内容，通俗术语，校对等。

来源

如果您是思想的泰坦，那么您可以尝试独自工作。 但是请记住，当您书写500,000个字符时，您的眼睛会变得模糊不清，似乎您正在阅读一个字符，但实际上它的书写方式完全不同。 有趣和悲伤。

我按时通过了工作并入睡。 后来，有必要与监管机构协调文件并纠正错误。 结果，这些建议已经广泛传播，并且在个人数据的绝大多数文档集中都存在各个部分。 之后，我在教育和核电方面做了类似的工作。 但这是一个完全不同的故事。

PS勇敢者简介

1. 阅读职权范围。
2. 不要中断工作阶段的顺序。
3. 在阶段内部，从结果移至方法，然后移至定义。
4. 补足小钱比剪大钱容易。
5. 最后设计。
6. 将倒数第二步中的链接放在文档内。
7. 请花些时间重新检查。

来源