Доброе утро,

Эдуард,

Это мне понятно. Вопрос в том, или кто-то эти услуги может предоставить в качестве сервиса в Киеве - аудит / рекомендации / имплементация. Я нахожусь в другом городе и не могу предоставить этот сервис не могу.

Согласен, это может быть грамотный "сисадмин по вызову" (или соответствующая служба). Вопрос в том, кто и что в этом напровлении может сделать / порекомендовать (не по самой безопасности, а по соответствующему сервису / персонам).

С уважением,
--АТ.

Eduard MELNYK wrote:

Доброй ночи!

Так это стандартные задачи админа.

Вопрос в том, есть ли желание внедрять правильно, или, послать админа (сразу или позже), который захочет внедрить правильно (мол, зачем же напрягаться. Все же работает).

PCI DSS Вам порекомендовали именно за тем, чтобы Вы могли самостоятельно пройтись по списку. После этого Вам будет понятны следующие шаги (и их вариации).
Особенно, готовы ли Вы будете мириться с некоторыми (иногда очень важными и значительными) ограничениями в Ваших процессах (не только ИТ, но, которые опираются на ИТ). Открытый процесс в виде "сейчас все перетащим на гуглопочту и пошарим все и всем" тут явно будет лишним.

Так вот, снова же про PCI DSS, например, поставить отдельный вайфай для guest и staff. Сканить эфир на предмет открытых точек, логировать кто и куда ходит, как уничтожать битые винты (дабы никто с них ничего не стянул), как организовывается доступ к SaaS, PaaS и т.д. Какие есть процедуры в бумажном виде, как это все исполняется, кто-то про это все помнит и т.д. Набор вопросов может показаться банальным и не важным. Последствия могут быть только вполне материальными при несоблюдении сознательном или не очень.

On 28/04/15 23:22, Alex Tomashpolsky wrote:

Спасибо за совет, но в данном случае это перебор, разговор идет о внедрении безопасности на уровне здравого смысла, контора не оказывает финансовых сервисов и сертификация ей не нужна.

Надо правильно сконфигурировать брандмауэр, сегментировать сети, построить AD, обновления, антивирус, ACL'и и т.п. - и за всем этим смотреть...

С уважением,
--АТ.

Sergey Smitienko wrote:

Уважаемый коллега,

Берете рекомендацию PCI DSS, в ней есть лист самооценки.
А что косается IT Security service, то там скорее два вопроса - кто все эти люди и почему они требуют столько денег.

 

А не подскажете специалиста (или группу специалистов) по IT безопасности в Киеве, которые смогут сделать оценку IT безопасности небольшой компании (несколько десятков рабочих мест), выработать рекомендации по сегментированию сети, внедрению контроля доступа к ресурсам, управления пользователями и проследить за / помочь с внедрением выработанных рекомендаций?

--
Sergey Smitienko