Разделение ЮЛ и ИБ - Форум по вопросам информационной безопасности

Добрый день!

Ребят, проконсультируйте, пожалуйста.

Есть у нас контора (ОМСУ). В этой конторе есть МИС. Все сотрудники (отделы) находятся в одной сети, имеют соответствующий доступ к ресурсам. Все армы аттестованы. на периметре сертифицированный межсетевой экран.

И вот очень умные люди хотят разделить нашу контору на 2 юрлица, оставив рабочие места там же, просто два юрлица (ну там плюс еще несколько новых штатных единиц, но это не важно).

Вопрос:
Допусти мол и оставить все как есть и просто заключить соглашение между ЮЛ, где один будет оператором МИС, а другой сегмент МИС?
То есть одна локальная сети, один доступ к ресурсам, но разные документы по аттестации и т.д. и соглашение.
Или нужно делить сети, ставить серт МЭ и предоставлять ограниченный доступ к ресурсам МИС?

Спасибо.

Есть понятие - владелец ИС.
Есть понятие - оператор ИС.

Владелец - кому она принадлежит.
Оператор - кто в ней работает.

Мое мнение такое:

Кто для Вас или кто Вы для второго ЮР лица?
Думаю можно сделать 2 оператора ИС. Нигде не регламентировано.
если Вы зависите друг от друга, сделай нормальную матрицу доступа и все.
Если нет, разбейте МИС на 2 аттестата.
ИМХО.

to Инка

> Допусти мол и оставить все как есть и просто заключить соглашение между ЮЛ, где один будет оператором МИС, а другой сегмент МИС?

В случае разделения ЮЛ без соглашения не обойтись. Именно оно создаст правовую основу взаимодействия между вновь созданными ЮЛ, позволяющее распределить зоны ответственности между ними при совместном использовании имущества и ресурсов (в вашем случае локальной сети и аттестованной системы).
От перераспределения имущества (кому что будет отдано в оперативное управление) в виде программных и программно-аппаратных средств локальной сети и аттестованной системы будет зависеть предмет соглашения взаимодействия. Здесь вопрос чисто юридический. Все технические "нюансы", в том числе описание мероприятий по обеспечению защиты информации, можно указать в Регламенте взаимодействия и сделать этот регламент приложением к соглашению.
Если подойти творчески, то можно найти вариант, когда действие ранее выданного аттестата сохранится.

> Или нужно делить сети, ставить серт МЭ и предоставлять ограниченный доступ к ресурсам МИС?

Зависит от того, к каким информационным ресурсам надо будет разделять доступ между пользователями. Если в локальных сетях будут находиться ресурсы с разным уровнем доступа и для доступа к ним будут использоваться одинаковые АРМы, то, скорее всего, придётся ставить не только МЭ.