Сравнительно недавно вышло в свет Постановление Правительства Республики Коми от 21 марта 2011 г. № 60 "О корпоративной информационно-телекоммуникационной сети органов исполнительной власти Республики Коми, государственных органов Республики Коми, образованных Главой Республики Коми или Правительством Республики Коми, государственных учреждений Республики Коми". Постановление определяет оператором корпоративной информационно-телекоммуникационной сети (КИС) - ЦИТ, оператором безопасности КИС - ЦБИ, утверждает "Положение о КИС". Вроде бы все неплохо, но вот что интересно - в Положении описаны функции, права и обязанности оператора КИС, но при этом аналогичный раздел про оператора безопасности КИС отсутствует, что ведет к тому, что его зона ответственности и полномочия становятся очень размытыми и сложными для того, чтобы можно было с него что-либо спросить.
Также есть замечательный пункт 5.7, который говорит, что
Quote
5.7. Оператор КИС не несет ответственность за ущерб, нанесенный компонентам КИС, безопасности информации в сети или за разглашение информации, доступ к которой ограничен, если данные последствия возникли в результате намеренных действий пользователей КИС или в результате игнорирования ими требований оператора КИС.
При этом по подпункту 4 пункта 5.3 оператор КИС выполняет функции
Quote
по обеспечению защиты информационных ресурсов и сервисов от несанкционированных действий внутренних и внешних пользователей;
В то же время по пункту 8.1
Quote
Защиту информации в КИС обеспечивает оператор безопасности КИС
Оператор безопасности по пункту 8.7
Quote
обязан контролировать трафик, адресацию и источники сообщений, приходящие в сеть и исходящие из нее, выявлять и идентифицировать недобросовестных пользователей КИС, предпринимающих попытки нанесения вреда или ущерба информационным, вычислительным, техническим и сетевым ресурсам, а также обнаруживать попытки несанкционированного доступа
В итоге имеем кучу противоречий в части назначения ответственных за обеспечение информационной безопасности и определения их функций + ответственность за любые инциденты опять никто не несет. Про забавное перемешивание понятий "защита информации" и "информационная безопасность" вообще молчу.
Хотелось бы услышать мнение остальных по данному вопросу. У кого какие впечатления от Постановления и Положения?
