Wie man in 10 Tagen einen Standard macht

Published on September 04, 2018

Wie man in 10 Tagen einen Standard macht

    Grüße an alle! Ich arbeite in der Abteilung für Informationssicherheit von LANIT und leite die Abteilung für Design und Implementierung. In diesem Artikel möchte ich meine Erfahrungen mitteilen, als zu Beginn einer Karriere ein völlig anderes Unternehmen einen Standard für die Organisation des Schutzes personenbezogener Daten in medizinischen Einrichtungen erarbeitete. Dies ist eine Geschichte darüber, wie man 500 Seiten in 10 Tagen von Grund auf neu schreibt, Fehler macht und Schwierigkeiten, die nicht überwunden wurden. Ich hoffe, dass meine Erfahrung jedem helfen wird, dem die Aufgabe übertragen wurde, ein Leitliniendokument, eine Norm oder ein Gesetz zu schreiben.

    Quelle von

    Monat zu Tag X


    Das Jahr 2009 im Bereich der Sicherheit personenbezogener Daten war ein Jahr der Vorfreude. Es gab anhaltende Gerüchte, dass 152-ФЗ „Über personenbezogene Daten“, das 2006 verabschiedet wurde, für die Ausführung obligatorisch werden soll. Der Markt und die Betreiber nahmen sich Zeit, um sich auf die obligatorische Umsetzung des Gesetzes vorzubereiten, und es lief aus. Niemand wusste, dass das Gesetz erst 2011 in Kraft treten würde, und Unternehmen und Regierungsbehörden gingen davon aus, dass sie in naher Zukunft lange und hart arbeiten müssen, um pünktlich zu sein.

    Einer der Ersten, der mit der Vorbereitung begann, war die Abteilung, die ein riesiges Reservoir von Betreibern hochkarätiger personenbezogener Daten beaufsichtigte - medizinische Einrichtungen, die mit Daten zur Patientengesundheit arbeiten, und daher wird die Aufmerksamkeit auf solche wichtigen Informationen erhöht. Der Kürze halber nenne ich sie Gesundheitseinrichtungen - medizinische Einrichtungen.

    Da die IT-Abteilung der Gesundheitseinrichtungen unterentwickelt ist, und nicht zuletzt die Informationssicherheit, haben sie beschlossen, dass alle medizinischen Einrichtungen einen Standard für den Schutz personenbezogener Daten schaffen, den Personen, die sich nicht der Sicherheit und der IT-Abteilung widmen, verwenden können.

    Die meisten maßgeblichen Dokumente zum Schutz personenbezogener Daten standen einer Vielzahl von Personen nicht zur Verfügung (das sogenannte „Viererbuch“ mit der Überschrift „Für den amtlichen Gebrauch“, das nur von Lizenznehmern gehandelt wurde), sodass die Möglichkeit zur Erstellung detaillierter Richtlinien optimal war.

    2009 war ich nur drei Jahre im Bereich Informationssicherheit tätig und befand mich auf dem Niveau eines erfahrenen Nachwuchses. Ich konnte mich einiger Projekte zu personenbezogenen Daten rühmen (was zu dieser Zeit eine großartige Erfahrung war, da es sehr schwierig ist, den Kunden davon zu überzeugen, unverbindliche Anforderungen zu erfüllen) und hatte einen harten Kampf mit einem großen Forschungsinstitut. Natürlich habe ich die Aufgabe, einen Standard zu schaffen.

    Quelle von

    Woche bis Tag X


    Eine Woche vor Arbeitsbeginn besprach ich die anstehende Aufgabe mit der Geschäftsleitung und es war geplant, dass ein anderer Spezialist dies tun würde, aber am Ende musste ich dagegen ankämpfen. Als junger Mann habe ich nach dem Prinzip „Demenz und Mut“ gehandelt, und es war dieses Prinzip, das bei allen Arbeiten eine Schlüsselrolle spielte. Dies ist jedoch typisch für alle Spezialisten in einem bestimmten Stadium ihrer Karriere.

    Wie hat sich meine Tapferkeit im Projekt manifestiert? Ich musste eine so große Aufgabe ausschließlich alleine lösen - es war wie ein Angriff „mit Kontrolleuren an Panzern“.

    Viel später nahm ich an fünf ähnlichen Projekten teil und leitete Gruppen von 2 bis 6 Personen. Jetzt kann ich mit Zuversicht sagen: Die optimale Anzahl von Personen für eine ähnliche Aufgabe sind 2 Personen, ohne die beteiligten Spezialisten, wie technische Redakteure. Insgesamt sollten fünf Personen im Team arbeiten (2 Analysten, technischer Redakteur, Berater und Projektmanager). In meiner Erinnerung gibt es einen Fall, in dem ein Team von fünf Leuten 9 Monate lang einen ähnlichen Job gemacht hat.

    Schwachsinn bestand in den von mir angegebenen Arbeitsbedingungen - 10 Tage, die anstelle von Arbeitern zum Kalender wurden. Die Unterschätzung der Komplexität wurde fast tödlich. Dieses Mal gewann der Mut, aber der Weg war schwierig.

    Quelle von

    1-3 Tage arbeiten


    Da ich so etwas noch nie zuvor gemacht hatte, habe ich beschlossen, die vorhandenen Methoden zum Erstellen von Dokumenten zu verwenden. Als ich mich an das ehrgeizigste Dokument erinnerte, das ich zu diesem Zeitpunkt geschrieben hatte - mein Diplom - beschloss ich, am Anfang zu beginnen und am Ende zu enden.

    Das erste Dokument lautete " Richtlinien für die Erstellung des privaten Modells für Bedrohungen der Sicherheit personenbezogener Daten ". (Alle Dokumente sind übrigens im Internet zu finden ). Ich habe am meisten mit Bedrohungsmodellen gearbeitet, und diese Aufgabe war am verständlichsten. Dies war der erste Fehler.

    Ohne auf Details einzugehen, musste ich drei aufeinander folgende Stufen des Schutzes personenbezogener Daten beschreiben:

    1. umfrage
    2. ein Bedrohungsmodell erstellen
    3. Erstellung einer Reihe von organisatorischen und behördlichen Dokumenten.

    Natürlich begann ich von der Mitte an zu beschreiben, was für 7-10 Tage zu großen Problemen führte.

    Der zweite Fehler war die Verwendung eines einheitlichen Grundsatzes beim Schreiben von Dokumenten. Dies ist, wenn die Titelseite zuerst ist, dann das Inhaltsverzeichnis, die Liste der Abkürzungen, der einleitende Teil usw. Es funktioniert nicht, irgendwann werden Sie definitiv in die "kreative Sackgasse" geraten, am häufigsten in Abschnitt 3-5, wenn Sie wissen, woher Sie kamen und wo Sie herkommen möchten, aber es ist nicht klar, wie.

    Es war lustig mit den Abkürzungen, die sofort gemacht wurden. Um zumindest eine gewisse Kontinuität mit dem aktuellen Rechtsrahmen zu erreichen, habe ich die Abkürzungen aus den Dokumenten der Aufsichtsbehörde übernommen, und es blieb die Abkürzung „TKUI - Technical Channels of Information Leakage“ übrig, die im Text nirgends zu finden ist.

    Layfhak: Um die Liste der Abkürzungen zum Zeitpunkt des Schreibens relevant zu machen, verwenden Sie drei einfache Schritte:

    1. Sobald Sie eine Abkürzung benötigen, schreiben Sie im Format "(im Folgenden -)". Zum Beispiel eine obligatorische Abkürzung im Text (im Folgenden - OST).
    2. Öffnen Sie eine separate Excel-Datei, in die Sie alle Abkürzungen eintragen (ohne Entschlüsselung möglich).
    3. Wenn der Text geschrieben ist, ordnen Sie die Liste in Excel von A bis Z und sehen die Nummer. Im Text suchen Sie nach dem Eintrag "(im Folgenden -)". Wenn die Zahlen übereinstimmen, herzlichen Glückwunsch - Sie haben eine aktuelle Liste der Abkürzungen.

    Verwenden Sie beim Arbeiten mit Abkürzungen nicht mehr als drei Buchstaben. Alles, was davon abweicht, sieht furchtbar aus und wird schlecht in Erinnerung behalten. Zumindest in der Sicherheit, wo, wie in der Armee, alle TBS anführen.

    Ergebnis: 1 Datei mit einem Volumen von 20 Seiten und mehreren Tablets in Excel.

    4-6 Arbeitstag


    Nach den ersten Tagen des stillen Regimes musste ich mich in den Pool von Koffein und Nikotin stürzen (jetzt habe ich natürlich einen gesunden Lebensstil). Zunächst wurde eine sinnvolle Arbeit geleistet - die technische Aufgabe wurde gelesen. Im Prinzip war es vorher klar, dass es notwendig war, aber die Details waren wichtig.

    Die Schlüsselwörter waren "Richtlinien", d.h. Abfolge von Aktionen für Personen, die mit dem Thema nicht vertraut sind. Dies ist entweder der Chefarzt der Gesundheitseinrichtung oder die Sekretärin. Daher habe ich beschlossen, dass es notwendig ist, alle möglichen Optionen zu beschreiben, damit der Benutzer nicht das Recht auf Unsicherheit hat: entweder rot oder grün oder warm oder weich.

    In diesem Moment arbeitete ich an einem Bedrohungsmodell und erstellte sofort Tabellen für alle möglichen Arten von Informationssystemen (ich hatte 10), schrieb Bedrohungen und machte andere seltsame Dinge, die nur im Zusammenhang mit dem Schutz personenbezogener Daten interessant sind.

    Nachdem die Namen der Bedrohungen auf dem Tablett angegeben wurden, wurde klar, dass es irgendwo eine allgemeine Beschreibung der Bedrohungen geben sollte - und dass unsere 10 Arten von Informationssystemen auch irgendwo gut zu beschreiben sind. Also, Schritt für Schritt bewegen, füllte das Dokument.

    Während des Arbeitsprozesses bin ich zum Prinzip der „umgekehrten Bewegung“ gekommen, als zu Beginn das Ergebnis geschrieben wurde, das das Wesen und den Zweck des Dokuments darstellt, und dann iterativ alles, was dazu führen sollte.

    Im allgemeinen Fall:

    • Ergebnis;
    • Methode zur Erreichung des Ergebnisses;
    • beschreibung.

    Das Prinzip war ziemlich hartnäckig. Mit ihm können Sie Berichte erstellen, beginnend mit den Ergebnissen oder Richtlinien zur Informationssicherheit, beginnend mit den Hauptaktivitäten.

    Viel später ergänzte ich diese Methode mit dem Konzept des „Enhanced JPEG“, wonach die Arbeit je nach Zeitraum immer zu 100% fertig sein soll, der Unterschied liegt nur im Detailgrad. Wenn jemand die Zeiten des langsamen Internets feststellte, wurde das übliche JPG angezeigt, während es heruntergeladen wurde (dieselbe konsistente Methode zum Schreiben von Dokumenten), und das JPEG-Bild lud das Ganze herunter und verbesserte seine Klarheit.

    Ein Problem - die Verwendung des Konzepts "verbessertes JPEG" in der Stirn funktioniert nicht für komplexe Dokumente (zumindest für mich). Bei direkter Anwendung erstellen Sie Abschnitte im neuen Dokument und schreiben darüber. Erweitern Sie dabei die Beschreibung. Bei Standards und kunstvollen Techniken funktioniert dies nicht, was mir im nächsten Schritt begegnet ist.

    Tatsache ist, dass man nicht alles vorhersehen kann. Das Konzept der Präsentation kann sich dabei mehrmals ändern, und es kann sich drastisch ändern. Wenn Sie also das Dokument mit etwas mehr als Überschriften füllen (zum Beispiel Erklärungen geben usw.), dann werden Sie am Ende zu dem Schluss kommen, dass es nicht nur notwendig ist, mehrere Sätze an bestimmten Stellen neu anzuordnen (die Überschriften), sondern sie zu bearbeiten, zu teilen und ergänzen Sie genau diese Erklärungen. Glauben Sie, es ist sehr trostlos.

    Da die Richtlinien, die alle möglichen Ergebnisse desselben Typs beschreiben, mit der Struktur und Logik der Beschreibung übereinstimmen müssen. Es wäre seltsam zu schauen, ob die Struktur des Systems in der einen Art ist, aber nicht in der anderen. Wenn ein Benutzer über zwei Arten von Informationssystemen verfügt, hat er im Allgemeinen weniger Gelegenheit, sich mit Beschreibungen derselben Struktur zu verwechseln.

    Gesagt - getan. Ich nahm die detaillierteste Beschreibung, die ich für ein System hatte, das alles beinhaltete (in meinem Fall ein verteiltes Informationssystem vom Typ II) und kopierte sie in andere Typen. Das Entfernen unnötiger (und anderer Systemtypen, die Teil einer verteilten IP-Typ-II-Gruppe sind) ist einfacher als das Hinzufügen. Das war natürlich nicht der Fall. Es war nicht nur erforderlich, den Überschuss zu entfernen, sondern auch Merkmale eines bestimmten Typs hinzuzufügen. Infolgedessen wurde viel Zeit darauf verwendet, Widersprüche zu überprüfen, erneut zu überprüfen und zu ermitteln. In den folgenden Arbeiten begann ich genau das Gegenteil zu tun - das notwendige Minimum zu beschreiben und die Spezifität zu erhöhen.

    Es dauerte 5 Tage, um ein Bedrohungsmodell zu erstellen, und ich fuhr mit dem zweiten Dokument fort.

    Von bitteren Erfahrungen unterrichtet, erstellte er zunächst Anwendungen, die Benutzer selbst ausfüllen mussten, und beschrieb dann, wie diese Füllung zu organisieren ist.

    Das Ergebnis ist eine vorgefertigte Methodik für Bedrohungsmodelle plus die Hälfte der Anwendungen.

    7-9 tägige Arbeit


    Es war eine Zeit der Euphorie, ein Plan entstand in meinem Kopf, eine rein mechanische Arbeit blieb übrig - alles, was ich tun konnte, war Anwendungen hinzuzufügen und sie richtig zu beschreiben. Der Ärger kam von keinem Warten, auch nur von zwei.

    Quelle

    Für die Gestaltung und Registrierung eines Dokumentenstapels habe ich einen erheblichen Teil der Zeit getötet. Ich wollte alles schön machen, also habe ich sofort auch interne Links zu Abschnitten und externen Dateien gesetzt. Sobald Korrekturen erforderlich waren (Einfügen einer neuen Anwendung, Umschreiben des Dokuments usw.), wurde natürlich das gesamte Design überarbeitet.

    Ich erinnere mich nicht, was ich damals dachte, aber es schien mir so wichtig zu sein, dass ich mich nach jedem Strukturwandel mit der Gestaltung und Neuordnung von Verbindungen befasste. Wahrscheinlich schien es mir, dass diese Änderung definitiv die letzte sein würde, ich werde sie jetzt schnell wiederholen und zu einer anderen gehen, um zu studieren.

    Mit dem Sammeln von Erfahrungen begann ich, farbige Stecker herzustellen. Link zu Abschnitt 4 , Anhang 5 (Titelnummer)usw.

    Das zweite Unglück war die Terminologie. Die Vereinbarung von Begriffen und Definitionen für alle Dokumente hat viel Zeit in Anspruch genommen. Ich musste ständig die Seiten durchsuchen, um die eine oder andere Formulierung zu klären (ich habe alles auf einem Monitor gemacht, und glaube mir, es war nicht einfach). Dies ist ein unvermeidliches Übel. Allmählich wird Ihr Wortschatz die entsprechende Bürdenlast der Kleriker auffüllen, und die meisten Definitionen werden Ihnen zugestimmt haben.

    Am neunten Arbeitstag war alles fertig - zwei Empfehlungsdateien mit Anhängen. Es blieb die kleinen Dinge zu beenden.

    10 Tage Arbeit


    Nachdem ich die Kleinigkeiten erledigt hatte, entschloss ich mich, alles noch einmal zu lesen - Fehler zu korrigieren, kleine Schwärme zu fangen usw. Und hier wollte ich meine Arbeit noch besser machen, um es klarer zu machen. Ich habe mich entschlossen, Informationen aus den Übersichtstabellen in der Beschreibung der Bedrohungen zu berücksichtigen (all diese "Bedrohungsrealisierungen sind unwahrscheinlich"). Warum? Warum? Hier wollte ich.

    Ich fing an hinzuzufügen, einer klammerte sich an den anderen, und hier wären die resultierenden Tabellen schön zu reparieren ... Es schien schöner zu werden, aber die Aufgabe des Korrekturlesens war völlig fehlgeschlagen. Streben Sie daher nicht nach Perfektion, etwas kann endlos verbessert werden, aber es ist unwahrscheinlich, dass jemand es zu schätzen weiß.

    Und für das Korrekturlesen muss Zeit und Mühe gelassen werden. Aus diesem Grund beträgt die optimale Anzahl von Personen in einem Team zwei. Lohnt sich nicht mehr. Als in sechs Monaten eine ähnliche Aufgabe für die Ausbildung von fünf Personen gelöst wurde, haben wir viel Zeit für die Koordination aufgewendet und Teile, die von verschiedenen Personen geschrieben wurden, gemeinsame Terminologie, Korrekturlesen usw. geschliffen.

    Quelle

    Wenn Sie ein Titan des Denkens sind, können Sie versuchen, alleine zu arbeiten. Denken Sie jedoch daran, dass beim Schreiben von 500.000 Zeichen die Augen verschwimmen und es den Anschein hat, als würden Sie eine Sache lesen, tatsächlich wird jedoch etwas völlig anderes geschrieben. Lustig und traurig.

    Ich habe den Job pünktlich erledigt und bin ins Bett gegangen. Später war es notwendig, die Dokumente mit der Aufsichtsbehörde abzustimmen und die Fehler zu korrigieren. Infolgedessen sind diese Empfehlungen weit verbreitet, und einige Teile sind in der überwiegenden Mehrheit der Dokumente zu personenbezogenen Daten enthalten. Nachdem ich einen ähnlichen Job für Bildung und Kernenergie gemacht habe. Aber das ist eine andere Geschichte.

    PS Eine kurze Erinnerung für die Mutigen


    1. Lesen Sie die technische Aufgabe.
    2. Die Reihenfolge der Arbeitsschritte nicht stören.
    3. Wechseln Sie innerhalb der Phase vom Ergebnis zur Methodik und dann zu den Definitionen.
    4. Klein zu ergänzen ist einfacher als groß zu schneiden.
    5. Machen Sie das Design zuletzt.
    6. Links innerhalb des Dokuments werden auf den vorletzten Schritt gesetzt.
    7. Nehmen Sie sich Zeit für eine erneute Überprüfung.

    Quelle von