[Rezor666]

233й, Если хотите сами представлять то сходите на курсы по безопасности или хотя бы послушайте онлайн.
Наверно меня сейчас за этот совет в бан отправят

[xoxmodav]

233й, а отдела Информационной Безопасности или Режимно-Секретного Отдела (Первый отдел) у вас на предприятии нет? Если нет - грустно и печально, так как по сути это их работа, а не ваша. Наверняка в том же перечне замечаний есть пункт о создании модели угроз, оценка рисков, классификация автоматизированных и информационных систем - если это так, то вам надо ставить вопрос о привлечении подрядной организации, которая сможет всё это сделать для вас (и даже возможно за разумные деньги).

Если подходить к сути вопроса - у вас в сети есть информация, являющаяся хоть и не гостайной, но тем не менее конфиденциальной (а также коммерческой тайной). Так как вы госконтора на вас распространяются кроме основных законодательных актов РФ отраслевые положения и стандарты. Так как у вас информация о сотрудниках наверняка хранится и обрабатывается в том числе и на компьютерах, то значит и положения об персональных данных также требуют от вас соблюдения. Чтобы во всём этом разобраться самостоятельно - надо сначала детально изучить множество законов, стандартов и других нормативных документов (часть из них наверняка будет с грифом ДСП и если их нет в вашем Первом отделе - придётся заказывать их копии), после чего разобраться как они друг с другом стыкуются (а стыкуются они очень сложно, вызывая огромную кучу вопросов и нюансов). Переварив всё это надо будет понять, что конкретно требуется от вас и какова будет зона вашей ответственности (и нагрузка) после того как вы всё это сделаете. Если я правильно понял, то от вас требуют привести вашу ЛВС в предаттестационное состояние. Т.е. у вас должен быть подготовлен полный пакет документов, описывающий и регламентирующий работу вашей сети, классифицирующий информацию, обрабатываемую в ней, описывающий модели угроз, оценку имеющихся рисков, описывающий то как вы и что защищаете, и если не защищаете, то по каким причинам. Это была только административная часть - то есть работа в основном с людьми и бумагами.

Затем вам придётся на основании подготовленных документов и изученных стандартов переделать вашу сеть в то что должно быть - при этом наверняка многим это не понравится и отсутствие у вас административного ресурса приведёт к тому, что работать всё будет по старому или по новому, но с нарушениями вами же регламентов. Сюда же будет входить приобретение/замена/унификация/обновление программ, компьютеров, сетевого оборудования, серверов, сервисов и т.п. В дальнейшем на вас также ляжет постоянное документирование изменений состояния вашей системы.

P.S. Если вам оно действительно надо и интересно - определите какая информация (наивысший её гриф) обрабатывается в вашей сети, после чего ищите специализированные курсы (там разжёвывают закон и дают азы для самостоятельной работы) и учитесь-учитесь-учитесь. Если же вам это не надо и нести ответственность за всё это вы не хотите - поставьте перед руководством вопрос о привлечении подрядных организаций - та же Positive Technologies запросто вам подготовит всё от А до Я (но за приличные деньги). После чего убедитесь, что вы там не прописаны как самый крайний ))) и продолжайте заниматься своими делами. Есть огромная доля вероятности того, что следующая проверка удовольствуется готовым пакетом документов и работами, выполненными подрядной организацией.

[233й]

xoxmodav, спасибо за развёрнутый ответ!
Режимный отдел у нас есть, и моя должность полностью этому отделу подконтрольна. Есть спец оборудование которое используется чисто для обработки секретной информации. Оно никак в сеть не завязано. Персональные данные мы сами не обрабатываем, всего лишь по старинке их оформляем на бумаге и передаем в общую структуру управления компании. Конфиденциальная информация бывает разной, и не всегда по законам подлежит защите. Про коммерческую я вообще молчу. И если брать по модели угроз, то себестоимость вытока этой информации(что гуляет в локалке) и соответственно ущерба от этого будет получаться ниже чем стоимость обеспечения мер безопасности в том виде как они прописаны в законах. Моя позиция получилась по средине, с одной стороны есть невменяемые требования, с другой начальство ставит задачу "решить" и дать официальный ответ на верх. Речь не идёт о каких то стандартизированных принципах обеспечения защиты(модель угроз, разработка/внедрение ксзи, аттестация), а всего лишь в неких превентивных мерах, благодаря которым можно обеспечить необходимый минимум защиты который устроит вышестоящие органы. Кроме того не забывайте что это гос. структура и с финансами очень напряжено.

[xoxmodav]

233й, госструктуры разные бывают и далеко не у всех проблемы с финансированием. Опять же - если у вас была проверка, которая не потребовала ничего из перечисленного мной (то что требуется по законодательству), а также весьма спокойно относится к соблюдению законодательства РФ, то лучше всего у них же и узнать - какие именно меры, настройки, оборудование и программы лучше всего применить, чтобы они устроили их в качестве исправления выявленных недостатков и зачли в случае последующих проверок.

[233й]

Цитата xoxmodav:

233й, госструктуры разные бывают и далеко не у всех проблемы с финансированием. Опять же - если у вас была проверка, которая не потребовала ничего из перечисленного мной (то что требуется по законодательству), а также весьма спокойно относится к соблюдению законодательства РФ, то лучше всего у них же и узнать - какие именно меры, настройки, оборудование и программы лучше всего применить, чтобы они устроили их в качестве исправления выявленных недостатков и зачли в случае последующих проверок. »

Наверное так и придётся сделать.