Архив рубрики: ИБ

Information Security
Информационная безопасность

BIS Summit Minsk 2016

Небольшой отчет по посещению ИБ конференции – BIS Summit Minsk http://bis-expert.ru/bis-summit-minsk

2016-05-31 14.23.05

Команда ИБ Exadel и я (справа) — на BIS Summit

Организация – отлично, просто супер.

Доклады – в целом ок, с небольшим перекосом в продукты InfoWatch. Впрочем было достаточно ненавязчиво. Конференция была бесплатной, и понятно кто платил за банкет, поэтому организаторам — респект за сбалансированный подход.

Хотел бы отметить доклады:

  • Александр Сушко, начальник управления по расследованию преступлений против информационной безопасности и интеллектуальной собственности главного следственного управления Следственного комитета Республики Беларусь — Расследование киберпреступлений в условиях виртуальной реальности.
    Классное выступление, интересное, четкое, с реальными примерами. Не ожидал со стороны госорганов (простите) такого уровня.
Александр Сушко презентует свой доклад

Александр Сушко презентует свой доклад

  • Николай Дмитриев, руководитель отдела внедрения компании InfoWatch, Россия. Доклад «Подводные камни при внедрении ИБ-решений«.
    Живой докладчик, много энергетики, позитива. Хорошие примеры, из жизни так сказать:)

Сам выступал с докладом ISO 27001: внедрение технических защитных мер. Про технарей и про технические контролы, за которые эти самые технари отвечают в рамках общего проекта по внедрению СМИБ. Тема получилось развесистой. Постарался запаковать материал в выделенные 20 минут:)

В РБ совсем мало ИБ событий, поэтому еще раз выражу благодарность организаторам —  http://bis-expert.ru/

Компания Exadel — сертифицирована по стандарту ИСО 27001!

Друзья, делюсь успехом — сертификация ИСО 27001 в компании Exadel свершилась!

Об этом официально сообщили в блоге компании, см. ISO Certifies Exadel for Information Security.  Значит и я могу уже говорить:)

В этот проект я вложил больше года профессиональной жизни, применил все что знал, научил команду всему что знал, ну и сам также научился многому.

На мой субъективный взгляд, проект удался!

Мы разработали и внедрили классическую методику управления рисками, качественно прошлись по им всем, разработали фигову тучу защитных мер.

Риски были действительно обработаны, и на это ушло часов 200 от ключевых людей компании — замы директора, руководители отделов, проектов. По результатам анализа рисков были приняты взвешенные решения — что внедрять, до какой степени, чтобы не мешало бизнесу и нужный уровень защиты обеспечивался.
2015-11-25 14.07.45

ИБ — тема веселая)

2015-11-25 14.08.13

2016-03-28 09.14.34

..но серьезная

Создали классную программу для управления рисками — см . скрин ниже. Прога может делать с рисками все — от активов до SoA, контролов и разнообразных отчетов.rts

Занимались кучей разных под-проектов.

Часть отчета по пентесту сети

Часть отчета по пентесту сети

Играем в шпионов - что там видно через окно?

Играем в шпионов — что там видно через окно?

Тренируемся перед процедурой уничтожения HDD

Тренируемся перед процедурой уничтожения HDD

Веник уничтожен. И не говорите что это нетехнологический способ. Знаю) Просто будем считать это начальным этапом)

Веник уничтожен.
И не говорите что это нетехнологический способ. Знаю) Просто будем считать это начальным этапом)

Провели множество тренингов, как целевых, так и на всю компанию.

DSC_8219

Тренинг в помщении инкубатора ПВТ, отличное место

DSC02250

Мне (нам) сильно повезло — в проекте было заинтересованно руководство, от вице-президентов компании, до линейных менеджеров. Причем, люди были заинтересованы в результате, в эффективных процессах. Поэтому все получилсь хорошо.

Сейчас в Exadel создана отличная ИБ команда, ребята прогрессивные и мотивированные.
Команда ИБ Exadel (ну кроме меня, того что в пиджачке:)

Команда ИБ Exadel (я слева, в пиджачке:)

После сертификации может сложиться впечатление, что все, проект закрыт, людей можно распускать:) Но по факту, только сейчас и начинается реальная работа. Обработка рисков в динамике, работа с инцидентами, анализ метрик (их еще нужно выбрать, чтобы живыми были), обучение персонала. Я набросал как-то список.

СМИБ развивается и пытается  помогать бизнесу. Сейчас это главный приоритет.

 

Тренинг «ИСО 27001 и СМИБ . Теория и практика»

Ну что же, 3-х дневный тренинг по ИСО 27001 и внедрению СМИБ — проведен!

Вложил в тренинг все что знал, постарался сделать максимально практичным.

На первый тренинг собралась достаточно разношерстная публика: ИТ компания и госконторы. Был определенный «челендж» в разъяснении теории для разнородных организаций.

Для интересующихся, см. обзорную презентацию по тренингу — Обзорная презентация по тренингу СМИБ и ИСО 27001.Training cover

Training program

 

Из субъективных ощущений — подготавливать курсы на несколько дней — неимоверно тяжело! Спал я мало в ту неделю:)

Зато, вроде бы понравилось людям. По крайней мере, оценки в опросной анкете выставили высокие:)

Для заинтересованных в будущих тренингах — записывайтесь у softline (следующая сессия планируется 8-10 июня). Либо контактируйте со мной — возможно организовать тренинг на базе организации, с учетом вашей специфики. 

Конференция IT Security Conference 2016

IT Security Conference 2016  — одна из немногоих ИБ конференций в РБ.

Рассказал там немного (что можно было вместить в 40 минут) про ИСО 27001. Как внедрять, пара хинтов, в целом ничего особенного.
Правда интересно получается, бывает что на всякие банальности тратится куча времени. В этот раз я убил неимоверно много времени на как раз вот простые вещи.

Ссылка на презентацию: ИСО 27001 на практике или будни внедренца СУИБ.2016-04-03_01-17-07

Picture1Я поприсутствовал только на небольшой части докладов, во второй день, после обеда.

То что увидел/услышал — произвело тягостное впечатление. Говорящие головы среди отечественных спецов (в основном госорганы), печально-откровенная реклама — ничего блин не изменилось со времен прошлогодней конференции. Ну а редкая аудитория реагирует соответствующе:)2016-03-30 16.01.29_it conf20162

 

Business Continuity Management — аццкая тема II

0. Начало

Управление непрерывностью бизнеса (BCM — business continuity management) — большая тема, достойная отдельной книги.

В этой статье я приведу базовый подход к BCM, который может пригодиться небольшим и средним компаниям, например работающим в ИТ области.

Классическая структура документации BCM:

BCP-structure2

Чтобы ориентироваться в терминах, см. BCM — термины, примеры disruptions.

1. Политика управления непрерывностью бизнеса

Для совсем небольших компаний политику можно совместить с процедурой. Но для компаний побольше, а также компаний, имеющих постоянный контакт с зарубежными партнерами — лучше иметь краткую и лаконичную политику.

В Политике BCM нужно прописать:

  • роли, ответственности, область действия;
  • правила — что должен сделать каждый из офисов компании, либо каждое из подразделений (если речь идет о компании с одним офисом);
    вот примерный список обязательных действий: определить что защищать, до какого уровня, определить общую стратегию по защите, разработать собственно сами процедуры по защите;
  • желательно упомянуть про необходимость соответствовать локальному законодательству, об интеграции с BCP планами поставщиков и вендоров;

2. Процедура управления непрерывностью бизнеса

В процедуре расписываем детали, как же мы будем все внедрять.

Я предлагаю упрощенный процесс BCM:BCP workflow2

 

2.1 Business Impact Analysis — BIA

Первым шагом BIA является определение критичных бизнес-процессов и активов. 

Это анализ, и результат анализа — информация для определения, что же на самом деле стоит защищать от прерываний.  См. пример результата BIA:BIA-1

BCP активности — чрезвычайно доргостоящи, и поэтому важно точно определить границы нашей защиты, и приоритет защищаемых активов. Когда начинаешь просчитывать MTD, RTO (см. BCM — термины, примеры disruptions), отвечать на вопросы про количество затронутых пользователей, то мозги прочищаются, и вырисовывается четкая картинка — что же реально важно для бизнеса.

Некоторые рекомендации по проведению грамотного BIA: 

  • Необходимо организовать совещание с участием ключевых руководителей со стороны бизнеса и поддерживающих подразделений (сотрудники HR и IT отделов, менеджер ИБ, юрист и т.п.)
  • Организатор совещания (лучше всего, если это будет кто-то из ключевых руководителей) готовит предварительную версию документа BIA, заполнив список критических бизнес-процессов и активов офиса на свое усмотрение;
  • Во время совещания, участники уточняют данный список, проводят детальный анализ для каждого из пунктов.
  • По результатам, принимается решение о необходимости разработки защитных/превентивных мер. В случае положительного решения, данный бизнес-процесс/актив в дальнейшем обрабатывается в Плане обеспечения непрерывности бизнеса офиса Компании.

Как правило, требуется несколько подобных совещаний для завершения BIA.

2.2 Risk Analysis — RA

Анализ рисков (RA) относится к области технической защиты информации, в отличие от BIA. BIA анализирует прерывания с точки зрения бизнеса и позволяет выработать стратегию по управлению непрерывностью бизнеса.

А процесс RA в свою очередь, основывается на результатах BIA и осуществляет технический анализ, что позволяет определить технические особенности внедрения.

Что делаем в рамках RA:

  • оценивается стоимость активов;
  • идентифицируются угрозы и уязвимости активов;
  • разрабатываются защитные/превентивные меры для выбранных активов (которые в дальнейшем могут быть включены в Планы по обеспечению непрерывности бизнеса).

Если в компании уже имеется внедренный процесс управления рисками, то нужно полностью задействовать его. Если нет, то — внедрить:) Вообще, сейчас даже ИСО 9001 требует внедренного процесса управления рисками.

В процессе RA необходимо ориентироваться на предпочтительный уровень риска (risk appetite, см. BCM — термины, примеры disruptions). 

2.3 Стратегия управления непрерывностью бизнеса

Имея результаты проведенных BIA и RA, руководство принимает решение по каким ситуациям (бизнес-процессам/активам и соответствующим рискам) следует разрабатывать Планы по обеспечению непрерывности.

В общем случае существуют две стратегии:

  • использование различных защитных/превентивных мер;
  • дублирование ИС (в том числе использование альтернативных площадок).

Помните понятия RTO и MTD?

Так вот, если RTO = 8 ч., то сотрудники ИТ отдела скорее всего успеют переустановить системное ПО и восстановить данные из резервных копий. Если RTO = 1ч., то здесь наверняка потребуются дублирующие системы и компоненты (что гораздо дороже, чем восстановление данных из резервных копий).

Бывает, что руководство выставляет RTO в пару часов, но узнав стоимость мер по поддержанию такой цифры, быстро сдувается до 8-24 часов:)

Итак, определив стратегию, приступаем к написанию самих планов BCP.

2.4 Разработка и внедрение планов BCP

После предыдущих шагов, обычно в голове складывается список необходимых действий. Лучше создать стандартную структуру (шаблон)  плана BCP, и разложить в ней всю накопившуюся информацию.

В планах BCP должны быть рассмотрены:

  • первоначальные шаги по реагированию на любые кризисные события (когда еще неизвестно, какую конкретно процедуру плана BCP нужно будет запускать); обычно это сбор ключевых сотрудников (команды BCP), информирование руководства и др.
  • критерии активации и деактивации плана;
  • детальные процедуры по восстановлению для каждого из кризисных событий; можно разместить их в виде приложений к плану;
  • критерии успешности процедуры восстановления;
  • процедура тестирования плана BCP;
  • полезные контакты, практики, ссылки и т.д.

Пример содержимого документа:

TOC

Не забудьте про требования локального законодательства — оно всегда имеет приоритет перед любыми политиками компании. Если у компании тесные связи с вендорами/подрядчиками, то лучше бы добиться существования планов BCP и у них, и синхронизировать общие действия.

Разработанный план должен быть утвержден (буквально подписан) руководством компании. Хранить документ лушче не только в эл. виде, но и в бумажном, размещенным в надежных местах (сейф в кабинете директора, в бухгалтерии). В случае необходимости, каждый вовлеченный член команды BCP должен иметь беспрепятственный доступ к документу.

После разработки, план BCP должен быть внедрен (!) А то ведь некоторые забывают:)

Как внедрять? Я рекомендую на проектной основе. См. об этом в посте Внедрение процессов и практик.

2.5 Тестирование и мониторинг планов BCP

Планы по обеспечению непрерывности бизнеса можно считать надежными, только в случае их регулярного тестирования и актуализации.

При тестировании планов, выявляются несостыковки в инструкциях, проводится обучение персонала, повышается уровень взаимодействия и компетентности задействованных сотрудников.

Возможные подходы по тестированию планов BCP:

  • Опрос (checklist test) — проводится методом анкетирования подразделений, задействованных сотрудников компании;
  • Проход по плану (structured walk-through) — пошаговое ролевое чтение планов BCP членами команды BCP, вирутальное выполнение процедур планов BCP;
  • Моделирование (simulation test) — виртуальное моделирование прерывания выбранных бизнес-процессов или сбоя активов;
  • Тестирование на реальном объекте (interruption test) — реальная остановка бизнес-процесса/актива и выполнение комплекса работ по ее восстановлению согласно планам BCP.

Чем серьезнее бизнес, тем более серьезным должно быть тестирование. В идеале — проводятся реальные прерывания бизнес-процессов, с прогоном по всем шагам плана BCP. Я нечастно видел такое, но эффект классный — план становится реальным.

Ну а чаще всего, разыгрываются ролевые игры, когда за общим столом каждый из членов команды BCP «проигрывает» свои действия.

По результатам тестирования должен быть создан отчет, на основании которого принимаются решения об обновлении плана, применении доп. защитных мер и т.п. Кроме того, данный отчет требуется стандартом.

Еще хотел написать О создании культуры компании, о встраивании практик BCM в культуру компании. Но это же фантастика для славян, не будем:)

3. Заключение

Как бы ни банально звучало, эффективность планирования непрерывности бизнеса напрямую зависит от степени заинтересованности руководства.

А что по поводу сложности внедрения — тут все просто: глаза боятся, руки делают:)

cows-9

4. Полезные ссылки:

BCM — термины, примеры disruptions

krestnyy-otec_6981365_orig_

 

 

 

 

 

 

 

 

Этот пост — приложение к основной статье Business Continuity Management — аццкая тема II.

Источников для терминов в области business continuity management (BCM) немало. Вот некоторые из них:

  • Серия стандартов ISO 22300:
    • ISO 22300:2012 Societal security – Terminology,
    • ISO 22301:2012 Societal security – Business continuity management systems – Requirements, —  Можно найти в нете на русском, см. например Гост ISO_22301_2014
    • ISO 22313:2012 Societal security – Business continuity management systems – Guidance,
  • Серия стандартов ISO 27001
  • Словарь терминов и аббревиатур ITIL, текущая версия аж за 2011г.

Однако так сложилось, что лично мне либо не подходил единый источник, либо вообще не нравилось ни одно из определений. Приходилось докручивать на свое усмотрение.

 

Вот что получилось:

    • Непрерывность бизнеса (Business Continuity, BC) — способность организации, в случае инцидента и нарушения ее деятельности, продолжать предоставление услуг и разработку продкутов на установленном примемлемом уровне
    • Управление непрерывностью бизнеса (Business Continuity Management, BCM) — процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействия на деятель­ность организации. Данный процесс повышает устойчивость организации к инцидентам и прерываниям бизнеса, и направлен на реализацию эффективных ответных мер. Результат функционирования процесса обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности, добавляющей цен­ность.
    • План обеспечения непрерывности бизнеса, план BCP (Business Continuity Plan, BCP) — набор документированных процедур и информации, позволяющий, в случае возникновения инцидента или прерывания бизнеса, обеспечить продолжение выполнения организацией критически важных для нее видов деятельности на установленном прием­лемом уровне.
    • Анализ воздействия на бизнес (Business Impact Analysis, BIA) — процесс исследования функционирования бизнеса и последствий воздействия на него разрушающих факторов (факторов, вызывающих прерывание бизнеса).
    • Прерывание, кризисное событие (Disruption) — любой инцидент (нарушение, прерывание, кризис, катастрофа) которые угрожают персоналу, строениям, инфраструктуре или выполнению бизнес-процессов компании, и требующий специальных мер по восстановлению нормального функционирования. См. примеры прерываний бизнес процессов и возникающих при этом потерь в Приложении А (см. в конце страницы)
    • Оценка риска (Risk Assessment, RA) — процесс, охватывающий идентификацию риска, анализ риска и сравнительную оценку риска.
    • Аппетит риска, предпочтительный риск (Risk Appetite) — общая величина риска, который организация готова принять, перенести или действию которого готова подвергнуться в любой момент времени.
    • Тестирование (Exercise / Testing) — процесс проверки (репетиции) сценариев планов непрерывности бизнеса (BCP). Включает в себя обучение, проверку ролей, сценариев, времени и степени восстановления и т.п.
    • MTD (Maximum Tolerable Downtime) — максимально приемлемый период нарушения. Время, по истечении которого неблагоприятные последствия, возникшие в результате необеспечения поставок продукции/услуг или невыполнения деятельности, становятся неприемлемыми.
    • RTO (Recovery Time Objective) — время доступное для восстановления работоспособности систем и ресурсов, необходимых для выполнения критически важных видов деятельности, включая персонал и ИТ сервисы, до нормального уровня;
    • RPO (Recovery Point Objective) — относительная точка во времени (в прошлом), возврат на которую должен быть произведен в случае восстановления системы, иными словами, этот показатель определяет объём данных, представленный в виде временного интервала, утеря которого допустима в случае прерывания деятельности.

Приложение 1. Понятия RTO, RPO и MTDBCP

Приложение 2. Примеры прерываний и рисков

 

 

INTERNAL

              TECHNICAL                                                                      ECONOMIC  

 

EXTERNAL

  • Technology failure
  • IT systems breakdown
  • 􀂃Workplace accident, Fire Contamination or Water flood
  • 􀂃Virus/Malware
  • Industrial accidents
  • 􀂃Utilities / communications failure
  • Natural disasters
  • 􀂃Local/Global crisis
  • 􀂃Supplier failure
  • On site tampering or vandalism
  • Malicious acts
  • 􀂃Organisational failure
  • Epidemy
  • Sabotage
  • 􀂃Terrorism
  • 􀂃Off site product tampering
  • 􀂃Labour action; Strike demonstrations
            PEOPLE                                                                                  SOCIAL

These risks can be resulting in:  

  • Loss or damage to a primary business facilities or service utilities resulting in extended denial of access;
  • Loss of employees;
  • Loss of access to remote or co-located technology services/IT Systems;  
  • Loss of a critical 3rd party supplier/service;  
  • Loss of data/information;
  • Loss of reputation.

Business Continuity Management — аццкая тема

Business_ContinuityНе знаю почему, но BCP тема оказалось какой-то сложной.

Я внедрял ранее уже BCP, и не раз, но как оказалось, мои прошлые внедрения были специализированными, узкими.

Сейчас я изучил (т.е. продолжаю изучать) тему, поднял стандарты ISO 22301\22313, разные статьи в инете. И оказалось что BCP можно заниматься почти с такой же нагрузкой и с таким же объемом, как и ИСО 27001. Существует даже сертификация на ИСО 22301.

Сейчас сижу, копаю практическое различие между RA (Risk Assessment) и BIA (Business Impact Analysis).

PS см. результаты страданий в Business Continuity Management — аццкая тема II.

Конференция SPM Conf — 5

Побывал на конференции SPM Conf — 5, то бишь V Международная конференция в области управления проектами. Смотри тут программу конференции.2015-11-08 17.20.03

Впечатление двоякие. С одной стороны, много людей новых, в докладах проскальзывают классные мысли. С другой стороны, выглядит немного депрессивно. В частности, конференцию сократили с 2х дней до одного. Запланированные тренинги — поотменяли, по причине отсутствия интереса у аудитории.

Качество докладов — в основном средне-низкое. Я довольно резво посещал различные конференции лет 5 назад, так вот с тех пор ничего особо не изменилось. А хотелось бы надеяться, что зрелость индустрии растет, качество и количество экспертов увеличивается, соответственно все это должно отражаться на докладах. Однако, не заметно. Либо проффи просто игнорируют эти конференции (скорее всего так и есть).

Из докладов можно выделить «профессионалов-лекторов» — Орловского, Дернаковского, Безуглого. 2015-11-06 12.49.07

Однако, говорят, что доклад стратоплановца Александра Орловского уже несколько лет не меняется. Но я видел в первый раз, поэтому понравилось:)

Дмитрий Безуглый завел малопонятные беседы про анализ трендов в управлении проектов и про «систему систем». Я мало что понял, наверное не дорос еще.

У Дернаковского Михаила все как обычно — интересненько, живенько, с ролевыми играми. Тема — про коучинг. Все собирался спросить у него, что он думает про высказывания Максима Батырева, который в одной из своих татуировок утверждал, что коучинг — это зло:) Не довелось спросить, а так знатный бы троллинг случился:)

Собственно, я и сам выступал с докладом — про роль информационной безопасности в управлении проектами. Выступил субъективно не очень, сказывается отстутсвие практики в последние годы. Однако тему считаю актуальной, даже если кто и не верит в это:)

Скоро напишу более подробно, а пока — см. презентацию по ссылке.

spm5

 

 

 

 

Уведомления о конфиденциальности в электронной почте — пустая затея

confidentialEmailНедавно перевел статью одного юриста, , опубликовал на хабре — Уведомления о конфиденциальности в электронной почте: не очень хорошая идея. Статья немалая, поэтому привожу тут короткую выжимку, почему же не стоит тратить свои силы на внедрение и поддержание в своей компании так называемого confidentiality notice в подписях к электронным письмам.

Вот несколько здравых вопросов, которые нужно задать себе, при получении, либо отправлении письма с уведомлением о конфиденциальности.

  1. В уведомлении часто говорится, что «несанкционированному получателю» запрещается рассмотрение или распространение письма. Но получив письмо, откуда я знаю, что не являюсь санкционированным получателем, прежде не прочитав сообщение? :)
  2. И вообще, кем себя возомнил Отправитель, чтобы говорить мне, что разрешено и что запрещено? Какой властью он говорит мне, что делать с письмом, отправленным на мой адрес?
  3. Обычно в письмах с уведомлениями намешана куча мала информации, большинство из которой не является конфиденциальной. А так как подпись с уведомлением добавляется автоматически во все письма, то она просто теряет смысл. Никто не смотрит на нее.

Только тогда, когда такие уведомления использовать осторожно и нечасто, у них есть шанс на самом деле защищать конфиденциальную информацию в письме.

Здравый смысл подсказывает нам, что мы не можем заставить кого-либо хранить ваши секреты только просто требуя чтобы они это сделали.
Должны быть некоторые внешние соглашения или требования о том, что ваши секреты будут храниться конкретным получателем.

В заключение, вопрос от одного из комментаторов: имеют ли все эти размышления какое-то отношение к российским реалиям? 
Ответ:  я разговаривал как-то с юристом (правда белорусским, не русским), он сказал, что подобные уведомления на 95% являются психологическим фактором. Однако, оставшиеся 5% потенциально могут помочь на этапах суда, для доказательства факта понимания получателем, что в письме была конфиденциальная информация.

В США в некоторых регуляциях такие уведомления обязательны. Насколько знаю, в области медицины, одно из требований HIPAA.

Итак, не стоит тратить время на внедрение confidentiality notice в письмах:)

Внедрение процессов и практик

Говорить о процессе внедрения процесса — дело не совсем благодарное. С одной стороны, процессы внедряют пачками, непрерывно, всегда это делали и будут делать. С другой стороны, мало кто осознанно это делает, и тем более по какой-либо методике.

Если у меня спрашивают о полноценном внедрении процесса, то я выставляю только один критерий — внедрение должно осуществляться как проект. Ну и как вы понимаете, в проект можно много чего напихать:)

Ниже — идеализированная схема внедрения процесса:
2015-06-16_proc_impl_full

По центру — основные активности, справа дана временная шкала, чтобы можно было сравнить со следующим вариантом. Звездами выделены ключевые вещи.
Итак, что получаем:

  • Если у нас проект, значит нужна рабочая группа, нужен план и прочие аттрибуты проекта. В плане должны быть прописаны KPI процесса, также ключевые цели, которые должны быть достигнуты в процессе внедрения процесса.
    Лет 5 назад я бы сказал, что план — очень важен. Сейчас так не думаю:) План — это заготовка, база, которая должна постоянно корректироваться.
  • Задачи из плана должны полностью замениться бэклогом задач — по результатам совещаний рабочей группы.
  • Рабочая группа — важнейший момент (все самое важное выделено красной звездой). С момента формирования группы и до закрытия проекта, рабочая группа регулярно встречается, и корректирует ход внедрения процесса. Дело в том, что каким бы смарт разработчик процесса не был, он не предскажет и половины проблем, возникающих в процессе внедрения. Для этого нам и нужны постоянные корректировки.
  • Разрабатывается документация (регламент процесса).
  • По результатам работы группы, и созданному ей бэклогу задач — выполняются мероприятия. Например, поиск и внедрение подходящего инструмента. Согласование соприкасающихся процессов и т.п. Тут могут быть целые под-проекты, и просажена куча усилий.
  • Промежуточные аудиты — в основном построены на прописанных KPI (которые кстати тоже сабжект для корректировок при необходимости).
  • Тренинги для целевой аудитории. Обычно вначале выбирается группа хомячков, все обкатывается на них. Потом тренинг проводится на всей целевой группе. В эту группу не обязательно входит вся компания, думаю это понятно.
    Хорошо, если вам нравится проводить тренинги. Ведь это выступление перед людьми:)
  • Экзамен. Лично мое убеждение — без экзамена сотрудник а) несерьезно относится б) при всем желании фигово запоминает и не проникается темой.
    Единственный минус экзаменов — большой геморрой с внедрением системы экзаменации. Это реально большая отдельная тема.
  • Закрытие проекта — с отчетом, с анализом ошибок.

Это была идеальная картинка (думаю многие смогут еще ее доидеалить, чтобы в космос полететь).

А в жизни в 95% случаях происходит все вот так:
2015-06-16_proc_impl_basic

Т.е., на основе анализа разрабатывается некий документ, который спускается на компанию. Далее, в зависимости от пожеланий бизнеса, процесс может докручиваться, возможно даже с использованием аудитов. Но частенько процесс на бумаге становится неактуальным через 15 минут после публикации, и дальше начинается параллельная жизнь бумажного и реального тигров.
Но обратите внимание на график работ — на такое вот минимальное внедрение потребуется в 3 раза меньше времени.

Какие выводы? Я понимаю, что идеальную схему внедрения нам доведется исполнить в жизни раз 6. Разве что вы работаете в NASA или атомной энергетике.
Поэтому рекомендую отталкиваться от базового варианта, с привнесением компонентов из полного варианта, по ситуации.

А будучи серьезным дядей\тетей, жизненный опыт подскажет что и в какой ситуации вытаскивать наружу, на стол начальству.

Удачи всем нам с внедрением процессов!

PS в статье я делаю допущения по поводу процессов — не углубляюсь в область управления процессом, упоминаю только про KPI процесса, не даю определения и прочее.