испдн .с чего начать? где "копать"
 

К знакомому в организацию пришло письмо по поводу информационной системы персональных данных.
Попросил "попробовать" разобраться.
Почитав в интернете понял,что без ящика водки и сторонней организации не обойтись.
Чисто теоретически- с чего начать и стоит ли самим пытаться?.
Чисто практически- Аура и Сгу как понял это ПО.-можно ли купив устанавливать их своими силами?.
Межсетевой экран(можно и программный) и касперский в принципе можно и самим...
Документацию насколько понял-надо,чтоб составляла организация имеющая на это лицензию?

В общем предложите , пожалуйста план действий, при условии,что организация огромная.....целых 4! компьютера. Сетью не соединены. 2 компьютера имеют выход в интернет(почта в основном..ничего особо конфиденциального). 1 бухгалтерский компьютер-1с,смета,Ндфл- без выхода в интернет.

cher, на самом деле программы купить и установить не проблема, однако перед этим надо сначала провести немалую работу по подготовке вагона и маленькой тележки документации. Без неё всё остальное не спасёт вашего товарища. Есть два варианта решения проблемы:
1. Нанять какую-нибудь контору, которая оперативно по имеющимся шаблонам наклепает всю необходимую документацию.
2. Начать курить законодательную базу, тьфу ты - изучать законы, начиная с ФЗ № 152 и заканчивая кучей нормативных актов, СТР-К, документами ФСТЭК и ФСБ, после чего попробовать самостоятельно собрать этот пазл.

И в том и в другом варианте есть свои плюсы и свои минусы, каким идти - решать вам.

Посмотрел- услуги от 30 тысяч и более стоят.Так и есть?

с документацией в любом случае возиться не буду. особо интересовал вопрос, как раз о "полномочности" установки программ обычным физическим лицом.
-Немного ступил. Брат юрист по первой специальности "что то там с лесом"- для своего лесхоза уже составил "данное". Говорит первоначально ушло на "это" 3 недели- зато есть теперь шаблоны. Буду работать с ним. Он документация- я технический "вариант".

Если в рублях, то это самые дешёвые для простых и маленьких ИСПДн, которые не подразумевают полноту ответственности фирмы-исполнителя за проделанную работу.

Сейчас, после принятия новых поправок в различные документы по ПДн, всё стало ещё сложнее, поэтому лучше детально подойти к изучению вопроса. Аттестация абонентских пунктов или отдельных ИСПДн, по идее должна быть заключительным этапом в защите ПДн, но в каком виде она должна быть и кто её должен проводить - отдельный вопрос.

xoxmodav, Для "данной конфигурации" - по логике вообще регистрация в надзорном органе не обязательна. То бишь и проверка маловероятна. Главное-первичный статус -сделано. Из этого и буду исходить. Учитывая первоначальный штраф в 5 тысяч - вполне думаю "попытаться" обойтись своими силами. Ибо для 4-х компьютеров по полной схеме по предварительным расчетам обойдется порядком ~200 тысяч рублей, что явно не приемлемо для маленькой организации без поддержки свыше.

cher, всё зависит ещё и от того как вы подойдёте к хранению и обработке ПНд. Во многих организациях часть ПДн, обрабатываемые в автоматизированных системах вообще не нужны и их можно из АС вывести. Также можно обезличить ПДн или разбить свою организацию на несколько независимых автоматизированных систем и благодаря этому снизить расходы.

Со штрафами тоже вроде не всё так просто - никто и не стал бы напрягаться из-за таких мелочей и вбухивать кучи денег в защиту ПДн. Там есть ряд пунктов, по которым можно даже приостановить деятельность предприятия на какое-то время.

xoxmodav, прошерстил инет. На практике все таки первоначальное "наказание" уже с имеющими случаями проверок все таки начиная от предписания до небольшого штрафа.
Пообщался с "коллегами" с другого района субъекта федерации. У них была оформлена вся документация-с наплевательским отношением к технической стороне вопроса(тупо денег пожалели). В итоге- предписание. Но у них предприятие близко к режимному,с обязательным учетом в реестре и инфраструктурой в разы более, чем в данном случае.
До кучи посмотрел на комментарии сисадминов в крупных предприятиях. В большинстве случаев-" закон витиеват, с первого раза дотошно все исполнить не получается. Только после первой проверки и предписания понятно, что "им" еще надо. В итоге- пытайтесь делать как "знаете/можете"- а после проверки вам "подскажут" ,чего вы еще недоделали."