Как подготовиться к проверке ФСТЭК по защите информации?

Question

[Koshelenok]

Прошу помощи у более опытных.

Осенью в организации ожидается проверка ФСТЭК по защите информации. Какие мероприятия необходимо в связи с этим провести?
Что можно почитать не опытному администратору системы защиты персональных данных, чтобы было написано все простым понятным языком от А до Я?
Станет ли проблемой то, что на компьютерах в организации стоит Windows XP, которая с апреля больше не будет поддерживаться Microsoft?

Answer 1

[d8m8n]

Насчет почитать - сложно, потому как законы нужно читать(а они сложны для помнимания), консультант+ в помощь. И на хабре было несколько статей.
Проводишь аудит обработки персональных данных(какие данные, что с ними делается, куда передаются, где хранятся и тд), составляешь модель угроз, далее определяешь уровень защищенности. На каждое действие - документы(акты).
Проводишь аудит всех систем по обработке/передаче/хранению ПД. Если существующие средства защиты не подходят под уровень защищенности - доделываешь.
С виндой - по большому счету - пофик, главное закрыть все "недокументированные возможности".

ispdn.ru тут на форуме много обсуждений, даже с примерами актов.

Answer 2

[Евгений]

@Koshelenok Если не секрет, как прошла проверка?

Answer 3

[fdsc]

> Какие мероприятия необходимо в связи с этим провести?

Если никаких мероприятий ещё не было сделано - то застрелится.
Быстро там ничего не сделаешь.

Дождитесь проверки, ФСТЭК составит акт о проверке с предписанием об устранении нарушений.

1. Если ваша фирма лицензиат ФСТЭК, то делать вам ничего не надо, т.к. если вы не знаете, что делать, то этим занимаются другие специально обученные люди.
2. Если ваша фирма не лицензиат ФСТЭК, но имеет соглашение о защите ИС с лицензиатом ФСТЭК, то делать тоже ничего не надо, только сообщить о факте проверки этим людям
3. Если у вас нет ни лицензии, ни договора с лицензиатом - готовится к привлечению организации и должностных лиц к административной ответственности.