Среда, 13 Июнь 2018 09:25

Безопасность доверенных самоуправлениям данных не обеспечена

Оцените материал
(0 голосов)

Проведенный Государственным контролем аудит показал, что безопасность доверенных аудитированным самоуправлениям данных надлежащим образом не обеспечена: риски, связанные с ИТ-защитой, не осознаются, поэтому плохо выполняются и установленные государством требования, хотя к настоящему времени они действуют уже почти десять лет.

Государственный контроль отметил, что ожидаемого развития не обеспечили ни информационная деятельность государства, ни финансовая поддержка.

"Ни в одном из проверенных самоуправлений не была оценена потребность в защите информации, содержащейся в их базах данных. В некоторых самоуправлениях имеются сложности с применением мер безопасности даже самой низкой степени защиты, - сообщил Государственный контроль. - Во многих местах ИТ-пользователям необдуманно предоставлены неограниченные права, часто отсутствовал и обзор, кто и к чему вообще имеет доступ, управление паролями было неудовлетворительным, установка патчей часто была предоставлена пользователям, легальность программного обеспечения в рабочих компьютерах не проверялась".

"В отношении некоторых местных самоуправлений у аудиторов Государственного контроля создалось впечатление, что они напоминают «дикий Запад», куда слухи о действующих в Эстонии требованиях к содержанию информационных систем еще не дошли", - отметил государственный контролер Янар Хольм.

Связанные с ИТ-защитой риски по-прежнему не осознаются, хотя существует множество примеров, когда в информационные системы самоуправлений были совершены препятствующие оказанию услуги хакерские атаки, система была заражена вирусом и повреждены сайты.

Государственный контроль пришел к заключению, что общая культура информационной защиты в самоуправлениях низкая как на уровне служащих, так и на уровне руководства.

Часто отсутствуют инструкции по обращению со средствами ИТ, работников с ними не знакомили или в реальной жизни их не соблюдают; обучение и информационная работа по исполнению требований ИТ внутри учреждений не проводится.

«Самое большое беспокойство как раз вызывает тот факт, что в местных самоуправлениях аудиторы встретили и таких ответственных чиновников, для которых необходимость применения системы защитных мер, в том числе необходимость защиты данных, осталась настолько же непонятной, как и инвестиция в туристическую поездку на Марс - нечто далекое, чего в их жизни все равно не произойдет. В то время, когда количество известных случаев киберзащиты в Эстонии уже превышает 10 000 в год, наивно и опасно по-прежнему думать, что "с нами этого не случится"", - отметил Хольм.

Причина может заключаться в недостаточном количестве ИТ-специалистов в самоуправлениях. Обычно в небольших самоуправлениях сфера ИТ передана под ответственность специалиста какой-либо другой области, в средних самоуправлениях ИТ-служба состоит максимум из двух специалистов.

В основном они способны оказывать техническую поддержку, но специалистов (например, по информационной защите) мало. При применении системы мер безопасности назначение руководителя по информационной защите или исполняющего его обязанности является обязательным и в самоуправлениях. Поскольку не всегда целесообразно нанимать для этого отдельного человека, то, по мнению Государственного контроля, самоуправления могли бы больше сотрудничать с частным сектором или другими самоуправлениями.

По мнению Государственного контроля, министерства могли бы дать самоуправлениям инструкции в сфере ведения баз данных (в том числе в сфере информационной защиты) по всем вопросам, которые их интересуют. Государственный контроль считает, что министерство могло бы и само разработать программное обеспечение для выполнения этой задачи и выступить в роли ответственного обработчика.

Как Департамент государственной инфосистемы (далее - RIA), так и Инспекция по защите данных в своих ответах на рекомендации Государственного контроля сказали, что более масштабный надзор в самоуправлениях осуществляется в соответствии с приоритетностью и возможностями. По словам RIA, они уже планируют после административной реформы провести в самоуправлениях проверки и информационную работу.

Гоударственный сконтроль рекомендовал самоуправлениям назначить исполнителя обязанностей руководителя информационной защиты или заказать услугу руководства информационной защитой; установить требования к применяемым для ведения баз данных стандартным программным решениям, исходя из потребности в защите вводимых данных; убедиться, чтобы решение было совместимо с X-tee, и в договоре с оказывающим услугу лицом договориться об организации аудита мер безопасности.

gif 920x140 gkb2019 rebrend ru

Оставить комментарий

Убедитесь, что вы вводите (*) необходимую информацию, где нужно.


Другие новости раздела Право

Правовые новости на сайте Бухгалтерские Новости www.rup.ee

  • Европейская комиссия разрешила продать банк Luminor американцам

    Европейская комиссия позволила крупнейшей компании США по управлению фондами частного капитала Blackstone Group купить один из крупнейших в странах Балтии банков - Luminor, сообщает rus.err.ee.

    Опубликовано Среда, 23 Январь 2019 14:30
  • Спор между PPA и Gemalto продолжается в Государственном суде

    Спор между производителем ID-карт Gemalto AG и Департаментом полиции и погранохраны (Politsei- ja Piirivalveamet, далее - PPA), касающийся конкурса по поставке новых ID-карт, дошел до Государственного суда; по оценке суда, последняя жалоба Gemalto не была подана вовремя, но у компании есть семь дней на устранение недостатков.

    Опубликовано Вторник, 22 Январь 2019 14:35
  • За границу на автомобиле
    <span class="green_key"></span>За границу на автомобиле

    Жители Эстонии любят путешествовать за границей на своей машине. Но, к сожалению, например, в 2017 году в регистре дорожного страхования Эстонии было отмечено 3200 аварий за рубежом, связанных с зарегистрированным в Эстонии транспортным средством.

    Опубликовано Вторник, 15 Январь 2019 12:08
  • Здоровье как самый ценный актив
    <span class="green_key"></span>Здоровье как самый ценный актив

    Для любого из нас здоровье – это богатство, требующее постоянной заботы. В некоторых случаях расходы на лечение могут быть очень большими, но, как правило, обычному жителю Эстонии о них можно не беспокоиться. В данной статье мы поговорим о разных вариантах медицинского страхования и отметим их особенности.

    Опубликовано Понедельник, 14 Январь 2019 14:22
  • Регистрация работников: кому нужны изменения (исправлено)
    <span class="green_key"></span>Регистрация работников: кому нужны изменения (исправлено)

    Установленная в Законе о налогообложении регуляция состава данных, заносимых в реестр трудовой занятости, стала более общей.

    Опубликовано Пятница, 11 Январь 2019 15:15

Присоединяйтесь к нам в социальных сетях