[xoxmodav]

233й, а отдела Информационной Безопасности или Режимно-Секретного Отдела (Первый отдел) у вас на предприятии нет? Если нет - грустно и печально, так как по сути это их работа, а не ваша. Наверняка в том же перечне замечаний есть пункт о создании модели угроз, оценка рисков, классификация автоматизированных и информационных систем - если это так, то вам надо ставить вопрос о привлечении подрядной организации, которая сможет всё это сделать для вас (и даже возможно за разумные деньги).

Если подходить к сути вопроса - у вас в сети есть информация, являющаяся хоть и не гостайной, но тем не менее конфиденциальной (а также коммерческой тайной). Так как вы госконтора на вас распространяются кроме основных законодательных актов РФ отраслевые положения и стандарты. Так как у вас информация о сотрудниках наверняка хранится и обрабатывается в том числе и на компьютерах, то значит и положения об персональных данных также требуют от вас соблюдения. Чтобы во всём этом разобраться самостоятельно - надо сначала детально изучить множество законов, стандартов и других нормативных документов (часть из них наверняка будет с грифом ДСП и если их нет в вашем Первом отделе - придётся заказывать их копии), после чего разобраться как они друг с другом стыкуются (а стыкуются они очень сложно, вызывая огромную кучу вопросов и нюансов). Переварив всё это надо будет понять, что конкретно требуется от вас и какова будет зона вашей ответственности (и нагрузка) после того как вы всё это сделаете. Если я правильно понял, то от вас требуют привести вашу ЛВС в предаттестационное состояние. Т.е. у вас должен быть подготовлен полный пакет документов, описывающий и регламентирующий работу вашей сети, классифицирующий информацию, обрабатываемую в ней, описывающий модели угроз, оценку имеющихся рисков, описывающий то как вы и что защищаете, и если не защищаете, то по каким причинам. Это была только административная часть - то есть работа в основном с людьми и бумагами.

Затем вам придётся на основании подготовленных документов и изученных стандартов переделать вашу сеть в то что должно быть - при этом наверняка многим это не понравится и отсутствие у вас административного ресурса приведёт к тому, что работать всё будет по старому или по новому, но с нарушениями вами же регламентов. Сюда же будет входить приобретение/замена/унификация/обновление программ, компьютеров, сетевого оборудования, серверов, сервисов и т.п. В дальнейшем на вас также ляжет постоянное документирование изменений состояния вашей системы.

P.S. Если вам оно действительно надо и интересно - определите какая информация (наивысший её гриф) обрабатывается в вашей сети, после чего ищите специализированные курсы (там разжёвывают закон и дают азы для самостоятельной работы) и учитесь-учитесь-учитесь. Если же вам это не надо и нести ответственность за всё это вы не хотите - поставьте перед руководством вопрос о привлечении подрядных организаций - та же Positive Technologies запросто вам подготовит всё от А до Я (но за приличные деньги). После чего убедитесь, что вы там не прописаны как самый крайний ))) и продолжайте заниматься своими делами. Есть огромная доля вероятности того, что следующая проверка удовольствуется готовым пакетом документов и работами, выполненными подрядной организацией.