коллеги, кто нибудь занимался защитой ПнД, как с документальной частью , так и с технической?
Есть несколько вопросов, хотел бы получить ответы на них.

Например я, штатный сотрудник (инженер ИБ) компании ООО "ПРИНТЕР" , имею ли право заниматься этим и подготовить все официально? НЕ имея никаких лицензий/сертификатов от ФСТЭК / ФСБ ?
теже самые действия, для третьих лиц. Например компания "ООО ВИШНЯ" заключает договор с ООО "ПРИНТЕР", для содействии реализации защиты ПнД. Обязана ли наша компания (ПРИНТЕР) иметь документы какие то от вышеуказанных контор для проведения таких услуг?

Для своих нужд не нужно лицензий, если оказываете услуги по защите - нужно. Смотри ПП-313.

Juiceee, то есть я сам смогу подготовить все документы и пройти аттестацию, или как он там называется, что наша контора соответствует всем требованиям 152 ФЗ?
Мне сказали, что я напрямую не смогу согласовать с органами, я максимум что могу делать, это подготовить документы, потом найти лицензионного специалиста, который будет уже регистрировать нас и посредничать с органами. На сколько это верно ?

кто нибудь занимался защитой ПнД, как с документальной частью , так и с технической? »
Я иногда этим занимаюсь, ничего сложного там нет - документация с нуля пишется за неделю. ИБшники не занимаются технической стороной, обычно они не в состоянии даже программу установить, не говоря про установку ОС.
я сам смогу подготовить все документы и пройти аттестацию, или как он там называется, что наша контора соответствует всем требованиям 152 ФЗ? »
Да, но аттестацию проходить не обязательно, а по желанию, если есть желание, то можешь пригласить к себе сотрудников ФСБ - они тебя аттестуют.
Мне сказали, что я напрямую не смогу согласовать с органами, я максимум что могу делать, это подготовить документы, потом найти лицензионного специалиста, который будет уже регистрировать нас и посредничать с органами. »
Что ты собрался согласовывать и с какими органами? Какого лицензионного специалиста ты решил найти? Специалиста ищут для аттестации чего нибудь - например АРМ и помещения. Что ты собрался регистрировать и с какими органами посредничать?
З.Ы. Зачем ты полез в ИБ, это никакого отношения к компьютерам не имеет! ИБ - это ведение документации и журналов, аттестация АРМ (с помощью организаций имеющих лицензию на данный род деятельности), классификация (составление актов) ИСПДн, а также контроль соблюдения правил (концепции, положения, инструкций) по защите ПДн, согласно разработанного плана.

zai, видимо я не правильно поставил вопрос.

У нас торговая компания, оптовая торговля хозтоваров. (ИП)
отсюда и все пошло - нам ведь касается 152 ФЗ ? надо ведь тоже защищать ПнД ?

Вот и хочу понять с чего начать? что надо делать, а что можно не делать?
Не могу понять вот эти азы. везде по разному пишут, то надо, то не надо, то можете, то не можете.

У нас торговая компания, оптовая торговля хозтоваров. (ИП) »
Какое, это отношение имеет к ПДн?
Впервые слышу, что бы какая нибудь компания занималась защитой ПДн.
Обычно защитой ПДн занимаются гос. организации, где хранятся записи о субъектах ПДн, т.е. паспортные данные, ИНН, СНИЛС и т.п.
нам ведь касается 152 ФЗ ? надо ведь тоже защищать ПнД ? »
Вряд ли.
Вот и хочу понять с чего начать? что надо делать, а что можно не делать? »
Написать документацию:
1. сначала пишешь концепцию и политику информационной безопасности
2. потом проводишь внеплановую проверку ИСПДн и пишешь отчет (какие ИСПДн и ответственные лица за обработку ПДн), на основе отчета создаешь модель угроз
3. создаешь комиссию из 5 чел. и классифицируешь ИСПДн, обнаруженные в ходе проверки
4. пишешь инструкции администраторов и пользователей ИСПДн, а так же положения о защите ИСПДн
5. пишешь годовой план по защите ПДн и журналы к ним
Не могу понять вот эти азы. везде по разному пишут, то надо, то не надо, то можете, то не можете »
Я же тебе написал:
Зачем ты полез в ИБ »

Какое, это отношение имеет к ПДн?
Впервые слышу, что бы какая нибудь компания занималась защитой ПДн. »
Прямое. У нас обрабатывается персональные данные. своих сотрудников, клиентов наших.

Вряд ли. »
вот этот вряд ли портит всю картину. Надо выяснить надо ? если нет, то какой нибудь официальный документ/источник подтверждающий, что в нашем случае можем ничего не защищать по 152 ФЗ.

Зачем ты полез в ИБ »
А кому лезть? может грузчикам? более менее я соображаю в этом, вот и мне поручили этим заниматься.

У нас обрабатывается персональные данные. своих сотрудников, клиентов наших. »
Тогда просто сделай (вернее кадровик это должен сделать) лист ознакомления работников с 152 ф3 и пускай они в нем распишутся.
более менее я соображаю в этом»
Что-то я в этом сильно сомневаюсь :)

Тогда просто сделай (вернее кадровик это должен сделать) лист ознакомления работников с 152 ф3 и пускай они в нем распишутся. »
Есть такой уже. где подписывают об обработке персональных данных. а дальше то? как они должны защищаться ?

Что-то я в этом сильно сомневаюсь »
твои сомнение мне некуда день. есть задача, надо решать, хочешь сомнениями, хочешь без сомнения :)

как они должны защищаться ? »
Трудно судить не зная всей специфики работы. Для начала должны быть защищены помещения где производится обработка ПДн, т.е. решетки на окнах, жалюзи, пропускная система, сигнализация. При необходимости эти помещения должны быть аттестованы, организациями имеющими соответствующие лицензии. Так же должны быть защищены компьютеры, защита устанавливается в зависимости от специфики работы организации и от классификации ПДн - у тебя скорее всего это К3, т.е. сертифицированный антивирус, включенный брандмауэр и персональные учетные данные для каждого пользователя.

Для начала должны быть защищены помещения где производится обработка ПДн, т.е. решетки на окнах, жалюзи, пропускная система, сигнализация. »
это все есть, кроме пропускной системы.
При необходимости эти помещения должны быть аттестованы, организациями имеющими соответствующие лицензии. »
вот, пришли к тому, что надо ли нам аттестованы ? для чего это надо вообще ?
у тебя скорее всего это К3, т.е. сертифицированный антивирус, включенный брандмауэр и персональные учетные данные для каждого пользователя. »
антивирус у нас ESET , брандмауэр - аппаратный, на границе стоит. А учетные данные у каждого свое.

это все есть, кроме пропускной системы »
В твоем случае отсутствие посторонних лиц.
что надо ли нам аттестованы ? для чего это надо вообще ? »
Аттестуются помещения где обрабатываются ПДн К1, т.е. медицинские учреждения. Например: в мед. учреждениях имеются (если мне не изменяет память) две основные ИСПДн - ТАСУ (локальный сервер) и ЕМИАС (работа удаленно через браузер). Для ТАСУ должно быть аттестовано помещение(я) и сам компьютер, а для ЕМИАС помещения должны соответствовать, т.е. аттестовывать их не обязательно.
krec, напиши нормальную документацию, что у тебя все соответствует нормативам и периодически проводятся проверки на соответствие защиты ПДн - заведи специальный журнал.
брандмауэр - аппаратный, на границе стоит »
Должен быть включен на компьютерах, где ведется обработка ПДн.

В твоем случае отсутствие посторонних лиц. »
посторонние лица у нас в самом офисе не бывает. Да и нечего им там делать.
Аттестуются помещения где обрабатываются ПДн К1, т.е. медицинские учреждения. Например: в мед. учреждениях имеются (если мне не изменяет память) две основные ИСПДн - ТАСУ (локальный сервер) и ЕМИАС (работа удаленно через браузер). Для ТАСУ должно быть аттестовано помещение(я) и сам компьютер, а для ЕМИАС помещения должны соответствовать, т.е. аттестовывать их не обязательно. »
Ну у нас обычная торговая компания. Но обрабатываются персональные данные, как не крути: своих сотрудников, клиентов, поставщиков...

напиши нормальную документацию, что у тебя все соответствует нормативам и периодически проводятся проверки на соответствие защиты ПДн - заведи специальный журнал. »
вот бы найти примеры таких документов, журналов. Понять вообще что к чему. На этот счет везде по своему трактуют.
Должен быть включен на компьютерах, где ведется обработка ПДн. »
Ок, тогда на тех компах, где обрабатывается ПДн, поставлю не обычный антивирус, а "smartsecurity" , там есть встроенный файрволл.
P.S. есть какие то требование настройки файрвола, или просто наличие достаточно ?

вот бы найти примеры таких документов, журналов »
Напиши сам, это не сложно - за то время что ты задаешь вопросы в этой теме, уже давно бы написал.
Понять вообще что к чему. »
Что бы понять, что к чему, в этой области нужно проработать не менее 5 лет. Ты щас как человек, который впервые установил серверную версию Linux, увидел командную строку и не понимаешь, что с ней делать дальше.
На этот счет везде по своему трактуют. »
Я не знаю, кто и что тебе трактует, но все документы типовые, просто нужно очень хорошо знать все законы, которые относятся к защите конфиденциальной информации, а не только 152 ф3.
поставлю не обычный антивирус, а "smartsecurity" »
Он должен быть сертифицирован.

krec, поверьте человеку, прошедшему круги этого ада. Создается впечатление, что всё что связано с 152-ФЗ и кучей подзаконных актов, специально создано сложным, мутным и запутанным, чтобы проверки Роскомпозоранадзора были как можно более "урожайными". Послушайте добрый совет: тряхните мошной и оплатите услуги специализированной фирмы. У них разные расценки и объёмы услуг, но поверьте, ваши нервы и штрафы обойдутся дороже. Если хотите, напишите мне в личку, я назову вам одну такую фирму, услугами которой мы воспользовались. За вполне умеренные деньги, вы хотя бы избавитесь от головной боли по подготовке пакета документов, а он, поверьте, получится немалым.

Создается впечатление, что всё что связано с 152-ФЗ и кучей подзаконных актов, специально создано сложным, мутным и запутанным, чтобы проверки Роскомпозоранадзора были как можно более "урожайными" »
Это только на первый взгляд, на самом деле все достаточно просто :)
Послушайте добрый совет: тряхните мошной и оплатите услуги специализированной фирмы. »
Совет достаточно глупый, проплачивать можно за все, лучше самому разобраться - в итоге проблем будет намного меньше.
вы хотя бы избавитесь от головной боли по подготовке пакета документов, а он, поверьте, получится немалым. »
Пакет документов действительно не малый, но его написание занимает неделю. Зато потом не будет никаких головных болей, т.к. когда придет проверка и начнет задавать вопросы, то легко можно будет на них ответить.
З.Ы. Когда тебя спросят акты классификации ИСПДн и почему они так классифицированны, что ты им ответишь? Или почему у тебя так составленна "Модель угроз"? "- Я не знаю, документацию заказывал на фирме..."

Совет достаточно глупый »
А кто говорит? Сами то, теоретик, небось? Ну да, не к вам обращался, не след и реагировать.
krec, решать вам, разобраться и можно, если на эту самую неделю вас полностью разгрузят, освободят от всех текущих забот и дадут возможность погрузиться в тёмные пучины инструкций, написанных старыми отставниками органов, всю жизнь охранявших копировальный аппарат в первом отделе военного завода. :) "журнал учета, хранения, уничтожения носителей информации..." ух, звучит то как! :)
Попробуйте тут поспрашивать (http://www.itsec.ru/forum.php). Удачи! Да минует вас проверка РКН! :)

SibUrsus, спасибо за рекомендацию, но думал самому попытаться делать, ну или хотябы вникать в дело, понять что надо или надо ли вообще ?
Совет достаточно глупый, проплачивать можно за все, лучше самому разобраться - в итоге проблем будет намного меньше. »
Ну вы тоже особо ничего умного не советовали :) тоже самое , что и он посоветовал - я не должен этим заниматься.
Пакет документов действительно не малый, но его написание занимает неделю. Зато потом не будет никаких головных болей, т.к. когда придет проверка и начнет задавать вопросы, то легко можно будет на них ответить. »
Есть сайт, где можно все эти документы генерировать стоит по моему 3000 рублей.
Но есть нюансы, где я не знаю на самом деле что мне надо. Ну и технический часть - что где ставить.

Я стараюсь персональные данные хранить в облаке