» Вы уже обеспечили защиту персональных данных на предприятии?

YurikGL
По секрету: для Госучреждений сабж и др. уже давно действует.
для Госструктур:
Корче по Гражданскому кодексу любая Госконтора не является владельцем имущества.
А наделяется правом пользования, оперативного управления. Фишка в том, что контора не может продать, сдать в аренду, списать(т.е. распоряжаться) имущество без разрешения/согласования с уполномоченым органом/вышестоящей организацией. Имущество - это деньги, расчеты, и здания, машины, техника, материалы и т.п. Потому руководитель не вправе тратить деньги на проведение мероприятий по защите без разрешения и согласования с выщестоящей конторой. Надо обосновать обязательность, необходимость. И составить смету..... защита инфы проводится при наличии денег...
Надо только грамотно отбиваться. Пусть идут к ним....

Тоже самое может быть и в отношении коммерческих структур.

Опять же. "Разделяй и Властвуй". - панацея не только для богатых, но и для бедных.

В защищаемой сети выделяешь 1или более станций с сменными носителями/подключениями портов и поручаешь только сидорову и петрову выполнять операции чтения/записи со сменных носителей. Описываешь процедуру.Чтобы вирусов не нахватали. Ведешь учет заявок в журнале.

У остальных Отрубаешь все порты и переферию. Печать на сетевой принтер

Обработка инфы может быть БЕЗ выч техники и С НЕЙ. Требования и методика защиты информации при этом могут СУЩЕСТВЕННО отличаться. В часности при небольшом объеме и высокой степени секретности, низкой востребованости данных/услуг можно делать все на бумаге. Это способно радикально снизить временные, организационные и финансовые затраты. ))))

Читаем открытые нормативные документы. Поиск РУЛит. Руководящие документы СТР-К. http://www.google.ru/search?q=%D0%A1%D0%A2%D0%A0-%D0%9A&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&hl=ru&lr=&newwindow=1&sa=2

Смотрим нормативные документы, акты, статьи читаем. Отвечаем на свои вопросы.

поиск: Информационная безопасность.

Уполномоченый орган по защите инфы http://www.fstec.ru

Разработчик средств защиты http://www.infotecs.ru - описание систем и общих принципов построения защиенных сетей
www.cryptopro.ru/ - криптогрфия - ЭЦП, шифрование


Но там изложено все муторно. Осознать материал тяжело, но надо. Перед этим почитайте открытые материалы. думать, решать и отвечать ... Вам. Вообще тема не из легких. Готового решения для всех и на все случаи жизни нет. потому как у одних вечно нехватка денег, а у других - есть желание законно заработать. + закрытость, разбросаность информации информации. Лучше самому разобраться в предмете. Удачи.

Цитата:

Т.е. считается, что неконтролируемый USB безопаснее, чем контролируемый инет? Но ведь при этом очевидно, что вероятность утечки возрастает (вопрос риторический)?

Почему неконтролируемый USB, Ты эту флешку пропишешь на инвентарный учет и зарегистрируешь в системе безопасности (каждая флешка имеет свой уникальный номер).


Цитата:

Тогда не совсем ясно, что значит "отсутствие подключения к сети Internet". Ведь что бы сделать внешнее соединение, нужно иметь белые IP с обоих сторон. Т.е. железки, находящиеся в защищаемой зоне должны иметь белые IP с другой стороны. Кроме того, на локальных компьютерах в качестве шлюза должена быть железка, которая смотрит в инет.

Там создается криптоканал на основе односторонних математических функций, все остальное закрыто. Это работает на 100 процентов.


Цитата:

А можно ссылку на документ (желательно с указанием пункта) где указано, что ОС обязательно должна быть сертифицирована, а прикладное ПО - нет? И где указано какому классов сертификации операционных систем классам испдн?

Такого документа нет. В регламентирующих документах написано, что должно применяться сертифицированное средство защиты и все.
Дальше смотришь описание на это средство защиты.
По поводу прикладного ПО вообсче ничего не написано так, что делай что хочешь, единственно, что явно запрещено это средства разработки и отладки и средства удаленного управления типа R-admin, так как не выполняются требования по журналированию действий администратора и как следствие невозможность проведения расследования.

Цитата:

Затраты организаций и предприятий по всей этой сертификации будут просто бешенными..
Имхо, при вступлении сабжевого закона в силу, проведутся несколько громких проверок (показательных, как это называется) и всё стихнет.

Для рассчета цены нужно всего несколько параметров, количество комнат с компами и общее колво компов, давай эти данные я тебя дам стоимость всех работ связанных с аттестацией под ключ. (Без учета закупки и установки/настройки средст защиты от ПЭМИН (они я надеюсь увас неопасный канал утечки).

Цитата:

И где указано какому классов сертификации операционных систем классам испдн?

http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls
здесь


Добавлено:
все что написал oaf56 нечитать.
Поясню:
1.
Цитата:

По секрету: для Госучреждений сабж и др. уже давно действует.
для Госструктур:

Закон для всех действует одинаково
2.
Цитата:

А наделяется правом пользования, оперативного управления. Фишка в том, что контора не может продать, сдать в аренду, списать(т.е. распоряжаться) имущество без разрешения/согласования с уполномоченым органом/вышестоящей организацией. Имущество - это деньги, расчеты, и здания, машины, техника, материалы и т.п. Потому руководитель не вправе тратить деньги на проведение мероприятий по защите без разрешения и согласования с выщестоящей конторой. Надо обосновать обязательность, необходимость. И составить смету..... защита инфы проводится при наличии денег...
Надо только грамотно отбиваться. Пусть идут к ним....

Все бред кроме того, что надо составлять смету, ну так такие весчи без проекта вообсче не делаются.
3.
Цитата:

В защищаемой сети выделяешь 1или более станций с сменными носителями/подключениями портов и поручаешь только сидорову и петрову выполнять операции чтения/записи со сменных носителей. Описываешь процедуру.Чтобы вирусов не нахватали. Ведешь учет заявок в журнале.

Раз два человека допущено то снижение требований по безопасности уже нет, а антивирусник в любом случае обязателен.
4.
Цитата:

Разработчик средств защиты http://www.infotecs.ru - описание систем и общих принципов построения защиенных сетей
www.cryptopro.ru/ - криптогрфия - ЭЦП, шифрование

Есть масса других, а это реклама.

Цитата:

Лучше самому разобраться в предмете

Так не выйдет аттестовывать всеравно могут только специализированные организации.

Всем привет.
Меня волнует такой вопрос, где найти вот эти доки:
Перечень нормативно-методических документов ФСТЭК России в области персональных данных
1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
3. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
4. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Может у кого есть?

Цитата:

1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
3. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
4. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Все это запрашивай во ФСТЭК на организацию они все ДСП

Цитата:

все что написал oaf56 нечитать.

Цитата:

2.
.....
Все бред кроме того, что надо составлять смету, ну так такие весчи без проекта вообсче не делаются.

Возможно писал сумбурно, но это был примерный мой ответ оперативным сотрудникам, пришедшим по факту проверки оперативной информации по вопросу получения оборудования и состояния дел по ИБ. Обоснованый ответ со ссылкой на нормативные акты успокоил их. А они хотели наказать нас. Я в товремя исполнял обязаности админа, ИБ +1С. сейчас только занимаюсь только 1С. Но основы еще помню.


Цитата:

Почему неконтролируемый USB, Ты эту флешку пропишешь на инвентарный учет и зарегистрируешь в системе безопасности (каждая флешка имеет свой уникальный номер).

Потому что можно всунуть ЛЮБУЮ флейку. можно записать на нее Ваши данные, а можно запустить троян по незнанию. Есть конечно ПО и железо по защите и мониторингу на уровне портов. Но вопрос в цене и необходимости такой защиты, мониторинга, реагирования на ВСЕХ станциях и серверах сети. Проще и дешевле выделить отдельные ПК с такой функцией.

Цитата:

Потому что можно всунуть ЛЮБУЮ флейку. можно записать на нее Ваши данные, а можно запустить троян по незнанию. Есть конечно ПО и железо по защите и мониторингу на уровне портов. Но вопрос в цене и необходимости такой защиты, мониторинга, реагирования на ВСЕХ станциях и серверах сети. Проще и дешевле выделить отдельные ПК с такой функцией.

Защита на уровне портов в таких системах обязательна иначе ни о какой защите иречи быть не может.

Цитата:

Цитата:Лучше самому разобраться в предмете

Так не выйдет аттестовывать всеравно могут только специализированные организации.

Это правда. Но, здесь же в основном не хозяева, а наемные работники. ЭТО ИМ начальник поручает сделай так, КАК надо и БЕЗ денег.
Так чо им и ПРИЙДЕТСЯ разобраться. Не боги горшки обжигают. Аттестуют лицензированые организации. НО ВЫ определяете ЧТО и КАК будуте защитать. Может они ВАМ запроектируют столько, что вы просто не потянете и будете все равно виноваты.

Цитата:

Цитата:
>Тогда не совсем ясно, что значит "отсутствие подключения к сети Internet". Ведь что бы
>сделать внешнее соединение, нужно иметь белые IP с обоих сторон. Т.е. железки,
>находящиеся в защищаемой зоне должны иметь белые IP с другой стороны. Кроме того, на
>локальных компьютерах в качестве шлюза должена быть железка, которая смотрит в инет.

>Там создается криптоканал на основе односторонних математических функций, все
>остальное закрыто. Это работает на 100 процентов.

Я проксирую выход в инет, открываю на доступ только нужные ресурсы, все остальное закрыто... работает на 100 процентов. Так тоже можно что ли? Просто называю это не доступом до интернета, а доступом до сайта www.icq.com и т.д.



Цитата:

Почему неконтролируемый USB, Ты эту флешку пропишешь на инвентарный учет и зарегистрируешь в системе безопасности (каждая флешка имеет свой уникальный номер).

Как уже писали, вставить можно любую флешку. Поэтому с точки зрения здравого смысла, предложенная система с флешкой резко снижает защищенность системы. И
ли предлагается устанавливать софт, который понимает только зарегистрированные флешки? Но что мне мешает на зарегистрированной флешке унести информацию? И вообще, что мне мешает перетащить информацию на флешке на комп, где есть инет и слить наружу? Дырка то осталась.


Цитата:

Все это запрашивай во ФСТЭК на организацию они все ДСП

По моему, вроде в инете уже все давно есть.

Цитата:

Защита на уровне портов в таких системах обязательна иначе ни о какой защите и речи быть не может.

защита должна быть адекватна
1)уровню секретности
2) ПОТЕНЦИАЛЬНЫМ угрозам
3) выделеным деньгам.
Разработка Проекта ИБ, технологии работы с информацией - это попытка выйти на приемлемые показатели за разумные деньги.

Хороший буклет по ИБ http://www.iemag.ru/upload/iblock/8c0/jrnkjmcginy_nnqcadjevvja_gtzkdxfjgxwq_hjsosg.pdf
и для общего развития
http://www.iso27000.ru/zakonodatelstvo/postanovleniya-pravitelstva-rf/ob-utverzhdenii-polozheniya-ob-obespechenii-bezopasnosti-personalnyh-dannyh-pri-ih-obrabotke-v-informacionnyh-sistemah-personalnyh-dannyh
Кстати набрел на такой ресурс - Проект «Многие грани безопасности»
: http://it4business.ru/itsec/MnogieGraniBezopasnosti?v=1asi
и нормативная база на этом ресурсе http://www.it4business.ru/itsec/NormativnajaBazaRossijjskojjFederaciiPoBezopasnosti2

Добавлено:
Источник http://www.iso27000.ru/zakonodatelstvo/ukazy-prezidenta-rf/o-merah-po-obespecheniyu-informacionnoi-bezopasnosti-rossiiskoi-federacii-pri-ispolzovanii-informacionno-telekommunikacionnyh-setei-mezhdunarodnogo-informacionnogo-obmena/
Ну или любая БД Законов.
Читаем внимательно:
О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена


Указ Президента РФ № 351 от 17 марта 2008 года
В целях обеспечения информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей, позволяющих осуществлять передачу информации через государственную границу Российской Федерации, в том числе при использовании международной компьютерной сети "Интернет", постановляю:

1. Установить, что:

а) подключение информационных систем, информационно- телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к международной компьютерной сети "Интернет" (далее информационно-телекоммуникационные сети международного информационного обмена), не допускается;

б) при необходимости подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, указанных в подпункте "а" настоящего пункта, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю.

Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) средств вычислительной техники;

в) государственные органы в целях защиты общедоступной информации, размещаемой в информационно-телекоммуникационных сетях международного информационного обмена, используют только средства защиты информации, прошедшие в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получившие подтверждение соответствия в Федеральной службе по техническому и экспортному контролю;

г) размещение технических средств, подключаемых к информационно-телекоммуникационным сетям международного информационного обмена, в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, осуществляется только при наличии сертификата, разрешающего эксплуатацию таких технических средств в указанных помещениях.

Финансирование расходов, связанных с размещением технических средств в указанных помещениях федеральных органов государственной власти, осуществляется в пределах бюджетных ассигнований, предусмотренных в федеральном бюджете на содержание этих органов.

2. Федеральной службе охраны Российской Федерации обеспечивать поддержание и развитие сегмента международной компьютерной сети "Интернет" (далее - сеть "Интернет") для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации.

3. Администрации Президента Российской Федерации, Аппарату Совета Федерации Федерального Собрания Российской Федерации, Аппарату Государственной Думы Федерального Собрания Российской Федерации, Аппарату Правительства Российской Федерации, аппаратам Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации, Высшего Арбитражного Суда Российской Федерации и Генеральной прокуратуре Российской Федерации осуществлять взаимодействие с сетью "Интернет" и представлять в нее информацию через сегмент сети "Интернет" для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, находящийся в ведении Федеральной службы охраны Российской Федерации.

В исключительных случаях по согласованию с Федеральной службой охраны Российской Федерации указанные государственные органы могут осуществлять взаимодействие с сетью "Интернет" и представлять в нее информацию через сегменты сети "Интернет" и технологические серверные площадки, находящиеся в ведении федеральных органов исполнительной власти, подведомственных им учреждений и организаций, Российской академии наук, научных академий и иных научных организаций, имеющих государственный статус, а также государственных образовательных учреждений высшего профессионального образования.

4. Признать утратившими силу: Указ Президента Российской Федерации от 12 мая 2004 г. №611 "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" (Собрание законодательства Российской Федерации, 2004, ь 20, ст. 1938); пункт 12 приложения №1 к Указу Президента Российской Федерации от 22 марта 2005 г. №329 "О внесении изменений в некоторые акты Президента Российской Федерации" (Собрание законодательства Российской Федерации, 2005, №13, ст. 1137); Указ Президента Российской Федерации от 3 марта 2006 г. №175 "О внесении изменений в Указ Президента Российской Федерации от 12 мая 2004 г. №611 "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" (Собрание законодательства Российской Федерации, 2006, ь 10, ст.1090).

5. Настоящий Указ вступает в силу со дня его подписания.

Президент Российской Федерации

В. Путин



Добавлено:
svanyashev
на основе личного опыта: аттестуется Конкретный и конечный набор ПО. Типа поискали закладки и ненашли. Особо продвинутые и обеспокоеные ведут учет файлов и их контрольных сумм. Не поменял ли Кто?
например Сбербанк так передает ПО ЭЦП по договору.
Добавление или изменение установленого ПО - нарушение режима ИБ. -> За ЧТО Отвечает администратор ИБ. ((( Вот такие делишки.

Сертификат на ПО облегчит и ускорит аттестацию, при условии соблюдения условий эксплуатации требуемым в формуляре по ИБ к продукту. Кстати Сертифицированое ПО не просто скачивается, а приходит обычной/спецпочтой в упаковке, гарантирующей отсутствие вскрытия. Только оно существенно дороже, чем обычное.

Цитата:

Может они ВАМ запроектируют столько, что вы просто не потянете и будете все равно виноваты.

Цены на проект тоже фиксированы давай количество комнат с компами я скажу цену проекта

Цитата:

Цены на проект тоже фиксированы давай количество комнат с компами я скажу цену проекта

1000 компьютеров, рассеяных по городу? ))

Глупость ИМХО состоит в том, что аттестуют не систему, а рабочее место. И глубоко пофиг, насколько защищенный софт там стоит.

Цитата:

Я проксирую выход в инет, открываю на доступ только нужные ресурсы, все остальное закрыто... работает на 100 процентов. Так тоже можно что ли? Просто называю это не доступом до интернета, а доступом до сайта www.icq.com и т.д.

Нет так нельзя, там тоже должна стаять машина с криптографией они создают канал друг с другом

Цитата:

И
ли предлагается устанавливать софт, который понимает только зарегистрированные флешки? Но что мне мешает на зарегистрированной флешке унести информацию? И вообще, что мне мешает перетащить информацию на флешке на комп, где есть инет и слить наружу? Дырка то осталась.

Это все закрывается организационными мерами

Цитата:

Сертификат на ПО облегчит и ускорит аттестацию, при условии соблюдения условий эксплуатации требуемым в формуляре по ИБ к продукту. Кстати Сертифицированое ПО не просто скачивается, а приходит обычной/спецпочтой в упаковке, гарантирующей отсутствие вскрытия. Только оно существенно дороже, чем обычное.

Совершенно справедливо

Цитата:

Глупость ИМХО состоит в том, что аттестуют не систему, а рабочее место. И глубоко пофиг, насколько защищенный софт там стоит.

атестуют именно систему, если вам атестовали армы это развод

Цитата:

атестуют именно систему, если вам атестовали армы это развод

ха-ха-ха....
судя по

Цитата:

Цены на проект тоже фиксированы давай количество комнат с компами я скажу цену проекта

вас не интересует ни какой софт стоит, ни какая ос, ни какие данные ходят..... Вам нужно число комнат и компов... т.е. рабочих мест...

Повторяю еще раз... аттестовать нужно систему вне зависимости от того, сколько компов... Вот сделали защищенную конфигурацию 1С но так, что подключаться можно с любого места ЛВС. Ее и аттестовали. И ставим дальше без проблем на рабочие места. Вы же аттестуете комнату-компьютер

Цитата:

вас не интересует ни какой софт стоит, ни какая ос, ни какие данные ходят..... Вам нужно число комнат и компов... т.е. рабочих мест...

Это конечно бред но больше на цену проекта ничего не влияет.

Цитата:

Это конечно бред но больше на цену проекта ничего не влияет.

Вот я и говорю... что способа аттестации программной системы на произвольное количество мест нет... Потому что аттестовываются рабочие места, помещения... А на программную составляющую - пофиг

Цитата:

А на программную составляющую - пофиг

Не пояиг конечно но это лишь один из этапов обеспечения безопасности

YurikGL

Цитата:

Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).

по этому закону санкции будут применятся позже сейчас это всё совещательно

Добавлено:
svanyashev
просто не могу себе представить комп на котором обрабатывается перс информация, на котором стоит куча прог типа winzip acrobat riader и проч которые для работы должны обновлятся как это будет происходить? а тот же антивирус который обновляется гораздо чаще что с ним? можно ли обновлятся или эти компы можно будет обновлять только с серверов фстека? и потянет ли это сам фстек? потому как часть работы по развёртыванию защищёных сетей уже переложена на компании типа инфотекс и проч?

Цитата:

просто не могу себе представить комп на котором обрабатывается перс информация, на котором стоит куча прог типа winzip acrobat riader и проч которые для работы должны обновлятся

Таких компов полно

Цитата:

должны обновлятся как это будет происходить?

Да очень просто под переатестацию.

Цитата:

а тот же антивирус который обновляется гораздо чаще что с ним?

Без проблем обновляй и все

Цитата:

можно ли обновлятся или эти компы можно будет обновлять только с серверов фстека?

Можно и с флешки, главное в журнале регистрировать когда и какое обновление было наложено

Цитата:

потому как часть работы по развёртыванию защищёных сетей уже переложена на компании типа инфотекс и проч?

Нет таких регламентирующих документов мы сейчас реализуе несколько крупных проектов по персональным данным

svanyashev

Цитата:

Да очень просто под переатестацию.

а в чём она заключается, кто её будет проводить, и сколько это будет стоить?

Цитата:

а в чём она заключается, кто её будет проводить, и сколько это будет стоить?

Переатестация проводится в объеме аттестационных испытаний, цена зависит от количества компов

svanyashev
ага это значит раз в два-три месяца надо производить переатестацию, пример в гос организации 300 компьютеров и компов 60-80 подподают под статью, и сколько будет стоить переатестация их, при том что это будет постоянно и стоит не копейки? кто нить считал экономические потери и целесообразность этого?

Полностью согласен у нас подпадает 2000 компов, и чего делать мы пока вообсче незнаем, сейчас ставим нир на эту тему

svanyashev
а 2010 уже не за горами

Обновляется часто, например, антивирус? - Да. Посмотрите. Выбирайте. http://company.drweb.com/licenses_and_certificates/?lng=ru

Для каспера такого списка лицензий не нашел, но упоминается: http://www.kaspersky.ru/news?id=207732790
Наверное они сделали ЭТО и предусмотрели возможность обновления. без потери сертикации. === без переатестации?

Так про обновление ативируса вообсче речь не идет обновляйся сколько влезет, это не влечет переаттестацию

svanyashev

Цитата:

Так про обновление ативируса вообсче речь не идет обновляйся сколько влезет, это не влечет переаттестацию

ну при обновлении вирусной базы да, но ведь и модули антивируса могут обновится, и вообще такой подход для чего сделан те сам закон ради какой пользы? а то будет как с випнетом, драйвер випнета защищён от модификации вирусами а програмная часть которая управляет этим драйвером легко коцается вирусами даже не зающими что такое випнет и получится как всегда окна заколотили чердак забетонировали а дверь поставить забыли

svanyashev
1. Если Ваша контора - лицензиат ФСТЭК, то я не завидую Вашим клиентам. Они Вас проклянут.
2. Иначе я не завидую Вашему Шефу, а потом - Вам. Потому как шеф в лучшем случае выгонит тебя.
Была такая мудрость: "Готовься к худшему, надейся на лучшее, действуй. И ТОГДА, возможно, ты избежишь худшего." ))))))))))))))
Читать закон надо так:
Если наказание предусмотрено, "неминуемо", то надо следовать(готовиться) к "пессимистическому" сценарию. И если явно/косвено(?) это не разрешено, то и не расчитывай это использовать.
Конечно можно сказать что мы все купим, а что не сможем купить... Но на основе собственной практики думается это не твой случай. До первого визита граждан ..... Шефу надоест прикрывать "твои просчеты", а ты быдешь не в состоянии исправить или каждый раз отмазываться. тем более проверки МОГУТ проходить разные и часто..
Кроме того есть документальные следы ТВОЕЙ ГЛУПОСТИ и ЖАДНОСТИ ШЕФА с длительным сроком хранения. При проверке в самом начале их смотрят в первую очередь: Проект, выполнение его, аттестация, сертификаты, приказыИБПоконторе, регламенты, служебные обязаности. Беглый осмотр помещений, режима.

Короче идеально все сделать НИКОГДА не получтся. т.е. Хоть мелкие, но недочеты, но будут.... А тут ты сам напрашиваешься на неприятности и УПОРНО даешь такие советы другим.
Так что читай ВНИМАТЕЛЬНО нормативную базу и ДУМАЙ. Выноси суждение не по одному выдернотому из контекста слову или слуху. Тем более В наших законах может "разночтение" в однм написано одно, а в другом про аналогичное - другое. Выбирай худший вариант. Ведь при наказании можно сослаться на не выполнение и одного и/или другого. (
И готовься... запасайся оригиналами и цитатами (ссылками на нормативные акты, инструкции, руководящими письмами). Складывай их в папочку... Прийдут, а ты без суеты и основательно достанешь и будешь обосновывать и проект и все остальное. Кстати излагать все это ты будешь иметь право после предъявления документов на право проверки и удостоверения личности. А то накажут за нарушение режима. ))

oaf56

Цитата:

Короче идеально все сделать НИКОГДА не получтся. т.е. Хоть мелкие, но недочеты, но будут.... А тут ты сам напрашиваешься на неприятности и УПОРНО даешь такие советы другим.

пример плохого совета можно?

Цитата:

пример плохого совета можно?

Миф: сделать можно и без последствий:
1. Установка "своими силами" любого ПО на рабочее место после его аттестации.
2. обновление "своими силами" любого ПО.
3. Пользоваться флешками. и др съемными ностителями.
Правда при последующих уточнениях, выясняется что это можно, но при доп. условиях/затратах. А если человек не сталкивался с этим раньше. Поверит на слово? Что ПРОСТО можно и все? Получается подвели? Хотя понятно, что упомянуть все "мелочи" или само собой разумеющиеся детали затруднительно. Просто возможно при реализациии крупных проектов богатых заказчиков такие "затраты на мелочи" не существены. Или обоснованы необходимостью.

Кстати и я ошибаюсь. И пишу не точно. Каюсь. Так что я не лучше. Возможно я и погорячился в СВОИХ суждениях. Так что извиняюсь. Истина рождается в споре.

Мы лицензиаты встек, я руководитель проектнодоговорной группы.

Цитата:

Установка "своими силами" любого ПО на рабочее место после его аттестации.

Так можно просто уведомляешь орган по аттестации и все

Цитата:

2. обновление "своими силами" любого ПО.

Так тоже можно обновляться кроме операционок

Цитата:

3. Пользоваться флешками. и др съемными ностителями.

Так а почему нет даже под гостайну можно при выполнении определенных процедур