Почти всю следующую неделю.

Спасибо за предложение, надо подумать и найти время.

_________________
Всё написанное мною на этом форуме является оценочным суждением автора в смысле п.9 Постановления Пленума Верховного Суда Российской Федерации от 24.02.2005. :wink:

для вас достаточно компа с Linux+Squid+CLam, грамотный админ(не эникей) настроит достаточную безопасность для вашего предприятия. цена в системнике+настройка. Есть специализированные дистрибутивы для этих целей.

_________________
[url=http://www.avtobeginner.ru][img:eb4484a597]http://nomer.avtobeginner.ru/rus2/H903XX11.png[/img:eb4484a597][/url]

На соответствие защите персональных данных.

Вроде как указ президента РФ.

Мы не занимаемся обработкой персональных данных.

_________________
Всё написанное мною на этом форуме является оценочным суждением автора в смысле п.9 Постановления Пленума Верховного Суда Российской Федерации от 24.02.2005. :wink:

Как это на предприятии нет на компах персональных данных?
Отдел кадров, бухгалтерия, финансовый отдел...Отсутствуют?

Так-то все правильно пишут мужики, попробую и я вставить свои пять копеек.
Я попытаюсь коротенько написать про основные этапы создания системы защиты информации.
Пляска при создании системы ЗИ начинается с определения заказчиком перечня защищаемых сведений. Из него вытекает и объем защищаемой информации, и ее расположение, и ее ценность для фирмы. Затем производится аудит состояния информационной безопасности предприятия и составляется модель угроз, и уже исходя из этих сведений становится понятно, КАК нам надо действовать, чтобы защитить информацию. Разрабатывается проект системы ЗИ, который затем реализуется - ну вот, если совсем упрощенно, то все. Возможно, затем аттестация информационной системы требованиям по защите информации. Разумеется, каждый этап разбивается на несколько более мелких, при этом разрабатывается множество документов и т.п. Где это можно узнать более подробно - ну можно посмотреть документы ФСТЭК, вот тут http://www.fstec.ru/_razd/_isp0o.htm, можно на www.bankir.ru, www.itsec.ru.
Это мы касались только коммерческих организаций, которые в соответстви с 98-ФЗ "О коммерческой тайне" вольны защищать свою информацию как им вздумается. С одной стороны - это хорошо, никто не загоняет в рамки, с другой - нет единой методики. Можно еще посмотреть СТР-К (специальные требования и рекомендации по технической защите конфиденциальной информации, Гостехкомиссия России, 2002) - но документ имеет гриф ДСП, хотя это не гриф, а не пойми что вообще, поэтому в интернете болтается одна из его версий. Но в качестве понятийного аппарата и подхода в целом к ЗИ для коммерсантов более всего подходят стандарты ЦБ РФ СТО БР ИББС-1.0-20xx, документы открытые, есть в консультанте. Немного ослабить требования в соответствии с ценностью своей информации, все-таки у нас не банк - и вперед.
Это о коммтайне. Есть еще большой пласт такой информации, как персональные данные - тут подход несколько иной, если надо - вот тут http://www.152fz.com/Execute.aspx хорошо расписаны этапы.
Есть еще гостайна, но это саааавсем другой вопрос
Ну вот так в общих чертах, рад, если поможет моя писанина.

_________________
Уважайте друг друга на трассе, и да прибудет с вами счастье.

Incompliant, цитирую 152-фз

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных

Это к вопросу о кадрах, бухгалтерии и договорах. А если нет уведомления, откуда Росскомнадзор узнает про наши ПДн? Стало быть, и проверять не придут.
Аттестация ИСПДн обязательна только для 1 и 2 классов, 3 и 4 - декларирование соответствия, но так как нет соответствующего техрегламента - то на нет и суда нет. А уж выжать 3 класс при классификации ИСПДн - решаемо.

_________________
Уважайте друг друга на трассе, и да прибудет с вами счастье.

Бухгалтерия с финансами живут отдельной сеткой, которую ни к общей сети, ни тем более к Инету цеплять никто не собирается.

Отдел кадров : да вроде есть там пара компьютеров для печати бумажек, но вообще ни в какой не сети....

Кой чего из этого обсуждения для себя понял.
Всем спасибо за разъяснения и рекомендации.
omich, за ссылки на документы и формалистику отдельное спасибо буду изучать.

_________________
Всё написанное мною на этом форуме является оценочным суждением автора в смысле п.9 Постановления Пленума Верховного Суда Российской Федерации от 24.02.2005. :wink:

AR, а клиент-банк??? момед в худшем случае будет!

_________________
Zafira B 2012 1,8 MT уже серый мышь
LC 2007г.в. на тормозах и ступицах от мвн, ИСАЙ - была уже