Ну в принципе в документе ничего особо сложного нет.
В отделениях УФК всяко есть отдел ИБ, которые все необходимые мероприятия проводит.
А если для простых смертных (ежели прям полноценного ИБ нет, а на кого-то "возложили обязанности"), то:
1. АРМ, с которых идёт работа, завести в домен (сразу получаем централизованное управления правами учётных записей, политики паролей и т.д.)
2. Развернуть на них Kaspekskiy Endpoint Security с управлением через Kasperskiy Security Center (антивирус, веб-фильтр и т.д.)
3. У учётных записей сотрудников права на уровне обычных пользователей
4. Инструктаж про правила обращения с ключами подписей.
Наверное всё.
Понятно, что любая проверка сделает многие замечания. Но по факту (а не по документам) вполне приемлемый уровень этой самой ИБ мы получаем.
P.S. -- на самом деле тема интересная. Причём, наверное, не столько сами УФК, сколько клиентам (как вы нас называете
) УФК.
Подробнее...