Факультет ИСиТ Четверг, 28.03.2024, 13:39
Приветствую Вас Гость | RSS
[ Персональный раздел · Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Ghost  
Факультет ИСиТ СыктГУ - Форум » Сыктывкар и Республика Коми » Информатизация, электронное правительство и электронный гражданин в Коми » Постановление Правительства РК "О корпоративной сети" (Обсуждение Постановление Правительства РК от 21.03.2011 № 60)
Постановление Правительства РК "О корпоративной сети"
BoSSurman Дата: Вторник, 10.05.2011, 00:33 | Сообщение # 1
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
Сравнительно недавно вышло в свет Постановление Правительства Республики Коми от 21 марта 2011 г. № 60 "О корпоративной информационно-телекоммуникационной сети органов исполнительной власти Республики Коми, государственных органов Республики Коми, образованных Главой Республики Коми или Правительством Республики Коми, государственных учреждений Республики Коми".

Постановление определяет оператором корпоративной информационно-телекоммуникационной сети (КИС) - ЦИТ, оператором безопасности КИС - ЦБИ, утверждает "Положение о КИС". Вроде бы все неплохо, но вот что интересно - в Положении описаны функции, права и обязанности оператора КИС, но при этом аналогичный раздел про оператора безопасности КИС отсутствует, что ведет к тому, что его зона ответственности и полномочия становятся очень размытыми и сложными для того, чтобы можно было с него что-либо спросить.

Также есть замечательный пункт 5.7, который говорит, что

Quote
5.7. Оператор КИС не несет ответственность за ущерб, нанесенный компонентам КИС, безопасности информации в сети или за разглашение информации, доступ к которой ограничен, если данные последствия возникли в результате намеренных действий пользователей КИС или в результате игнорирования ими требований оператора КИС.
Данный пункт снимает всю ответственность с оператора КИС, даже за те инциденты, которые могут произойти из-за его бездействия или некорректного выполнения им тех или иных работ по администрированию КИС.

При этом по подпункту 4 пункта 5.3 оператор КИС выполняет функции

Quote
по обеспечению защиты информационных ресурсов и сервисов от несанкционированных действий внутренних и внешних пользователей;

В то же время по пункту 8.1

Quote
Защиту информации в КИС обеспечивает оператор безопасности КИС

Оператор безопасности по пункту 8.7

Quote
обязан контролировать трафик, адресацию и источники сообщений, приходящие в сеть и исходящие из нее, выявлять и идентифицировать недобросовестных пользователей КИС, предпринимающих попытки нанесения вреда или ущерба информационным, вычислительным, техническим и сетевым ресурсам, а также обнаруживать попытки несанкционированного доступа
при этом меры к недобросовестным пользователям (которыми занимается оператор безопасности) обязан каким-то образом по пункту 8.12 применять администратор КИС, назначаемый из работников оператора безопасности.

В итоге имеем кучу противоречий в части назначения ответственных за обеспечение информационной безопасности и определения их функций + ответственность за любые инциденты опять никто не несет. Про забавное перемешивание понятий "защита информации" и "информационная безопасность" вообще молчу.

Хотелось бы услышать мнение остальных по данному вопросу. У кого какие впечатления от Постановления и Положения?


:-P

Сообщение отредактировал BoSSurman - Вторник, 10.05.2011, 00:35
 
BoSSurman Дата: Четверг, 12.05.2011, 00:10 | Сообщение # 2
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
Quote (BoSSurman)
назначаемый из работников оператора безопасности

Опечатался. Имел в виду не оператора безопасности, а оператора КИС.


:-P
 
Бурд Дата: Четверг, 12.05.2011, 16:39 | Сообщение # 3
Ассистент
Группа: Актив
Сообщений: 254
Награды: 0
Статус: Offline
Quote (BoSSurman)
обязан контролировать трафик, адресацию и источники сообщений, приходящие в сеть и исходящие из нее, выявлять и идентифицировать недобросовестных пользователей КИС, предпринимающих попытки нанесения вреда или ущерба информационным, вычислительным, техническим и сетевым ресурсам, а также обнаруживать попытки несанкционированного доступа

Есть ОЧЕНЬ БОЛЬШОЕ СМУЩЕНИЕ: ЦИТ пытается законодательно получить право читать переписку всех пользователей @rkomi.ru. Пока они это "могут" делать это только неофициально. Но если такая "прослушка" гос. почты всплывет - будет скандал.


Главное терпение: вода камень точит. А вот обточенным камнем можно и по башке упертому оппоненту заехать ...
 
Факультет ИСиТ СыктГУ - Форум » Сыктывкар и Республика Коми » Информатизация, электронное правительство и электронный гражданин в Коми » Постановление Правительства РК "О корпоративной сети" (Обсуждение Постановление Правительства РК от 21.03.2011 № 60)
  • Страница 1 из 1
  • 1
Поиск:



Copyright bda-expert.ru © 2008-2024Хостинг от uCoz