[Juiceee]

Для своих нужд не нужно лицензий, если оказываете услуги по защите - нужно. Смотри ПП-313.

[krec]

Juiceee, то есть я сам смогу подготовить все документы и пройти аттестацию, или как он там называется, что наша контора соответствует всем требованиям 152 ФЗ?
Мне сказали, что я напрямую не смогу согласовать с органами, я максимум что могу делать, это подготовить документы, потом найти лицензионного специалиста, который будет уже регистрировать нас и посредничать с органами. На сколько это верно ?

[zai]

Цитата krec:

кто нибудь занимался защитой ПнД, как с документальной частью , так и с технической? »

Я иногда этим занимаюсь, ничего сложного там нет - документация с нуля пишется за неделю. ИБшники не занимаются технической стороной, обычно они не в состоянии даже программу установить, не говоря про установку ОС.

Цитата krec:

я сам смогу подготовить все документы и пройти аттестацию, или как он там называется, что наша контора соответствует всем требованиям 152 ФЗ? »

Да, но аттестацию проходить не обязательно, а по желанию, если есть желание, то можешь пригласить к себе сотрудников ФСБ - они тебя аттестуют.

Цитата krec:

Мне сказали, что я напрямую не смогу согласовать с органами, я максимум что могу делать, это подготовить документы, потом найти лицензионного специалиста, который будет уже регистрировать нас и посредничать с органами. »

Что ты собрался согласовывать и с какими органами? Какого лицензионного специалиста ты решил найти? Специалиста ищут для аттестации чего нибудь - например АРМ и помещения. Что ты собрался регистрировать и с какими органами посредничать?
З.Ы. Зачем ты полез в ИБ, это никакого отношения к компьютерам не имеет! ИБ - это ведение документации и журналов, аттестация АРМ (с помощью организаций имеющих лицензию на данный род деятельности), классификация (составление актов) ИСПДн, а также контроль соблюдения правил (концепции, положения, инструкций) по защите ПДн, согласно разработанного плана.

[krec]

zai, видимо я не правильно поставил вопрос.

У нас торговая компания, оптовая торговля хозтоваров. (ИП)
отсюда и все пошло - нам ведь касается 152 ФЗ ? надо ведь тоже защищать ПнД ?

Вот и хочу понять с чего начать? что надо делать, а что можно не делать?
Не могу понять вот эти азы. везде по разному пишут, то надо, то не надо, то можете, то не можете.

[zai]

Цитата krec:

У нас торговая компания, оптовая торговля хозтоваров. (ИП) »

Какое, это отношение имеет к ПДн?
Впервые слышу, что бы какая нибудь компания занималась защитой ПДн.
Обычно защитой ПДн занимаются гос. организации, где хранятся записи о субъектах ПДн, т.е. паспортные данные, ИНН, СНИЛС и т.п.

Цитата krec:

нам ведь касается 152 ФЗ ? надо ведь тоже защищать ПнД ? »

Вряд ли.

Цитата krec:

Вот и хочу понять с чего начать? что надо делать, а что можно не делать? »

Написать документацию:
1. сначала пишешь концепцию и политику информационной безопасности
2. потом проводишь внеплановую проверку ИСПДн и пишешь отчет (какие ИСПДн и ответственные лица за обработку ПДн), на основе отчета создаешь модель угроз
3. создаешь комиссию из 5 чел. и классифицируешь ИСПДн, обнаруженные в ходе проверки
4. пишешь инструкции администраторов и пользователей ИСПДн, а так же положения о защите ИСПДн
5. пишешь годовой план по защите ПДн и журналы к ним

Цитата krec:

Не могу понять вот эти азы. везде по разному пишут, то надо, то не надо, то можете, то не можете »

Я же тебе написал:

Цитата zai:

Зачем ты полез в ИБ »

[krec]

Цитата zai:

Какое, это отношение имеет к ПДн? Впервые слышу, что бы какая нибудь компания занималась защитой ПДн. »

Прямое. У нас обрабатывается персональные данные. своих сотрудников, клиентов наших.

Цитата zai:

Вряд ли. »

вот этот вряд ли портит всю картину. Надо выяснить надо ? если нет, то какой нибудь официальный документ/источник подтверждающий, что в нашем случае можем ничего не защищать по 152 ФЗ.

Цитата zai:

Зачем ты полез в ИБ »

А кому лезть? может грузчикам? более менее я соображаю в этом, вот и мне поручили этим заниматься.

[zai]

Цитата krec:

У нас обрабатывается персональные данные. своих сотрудников, клиентов наших. »

Тогда просто сделай (вернее кадровик это должен сделать) лист ознакомления работников с 152 ф3 и пускай они в нем распишутся.

Цитата krec:

более менее я соображаю в этом»

Что-то я в этом сильно сомневаюсь

[krec]

Цитата zai:

Тогда просто сделай (вернее кадровик это должен сделать) лист ознакомления работников с 152 ф3 и пускай они в нем распишутся. »

Есть такой уже. где подписывают об обработке персональных данных. а дальше то? как они должны защищаться ?

Цитата zai:

Что-то я в этом сильно сомневаюсь »

твои сомнение мне некуда день. есть задача, надо решать, хочешь сомнениями, хочешь без сомнения

[zai]

Цитата krec:

как они должны защищаться ? »

Трудно судить не зная всей специфики работы. Для начала должны быть защищены помещения где производится обработка ПДн, т.е. решетки на окнах, жалюзи, пропускная система, сигнализация. При необходимости эти помещения должны быть аттестованы, организациями имеющими соответствующие лицензии. Так же должны быть защищены компьютеры, защита устанавливается в зависимости от специфики работы организации и от классификации ПДн - у тебя скорее всего это К3, т.е. сертифицированный антивирус, включенный брандмауэр и персональные учетные данные для каждого пользователя.