Аудит Госконтроля указал на уязвимости в хранении данных э-государства ({{commentsTotal}})

{{1527152340000 | amCalendar}}

Раз в квартал из Таллинна за границу ездят курьеры, в дипломатической почте которых – резервные копии баз данных, имеющих критическое значение с точки зрения государственности, которые хранятся на безопасной территории эстонских посольств. Однако никто не знает, будут ли работать ли эти резервные копии.

Из опубликованного 24 мая аудита Государственного контроля следует, что обеспечение безопасности и сохранности критических баз данных Эстонского государства требует большего внимания: не хватает правовых рамок, в нескольких критических базах данных имеются существенные недостатки в вопросах обеспечения информационной безопасности, например, при анализе логов, тестировании проникновения, защите мобильных средств. До настоящего времени не установлены специальные требования, необходимые для защиты критических данных.

В отношении примерно половины аудита Государственного контроля установлено ограничение доступа – определенные разделы предназначены только для внутриведомственного пользования. Государственный контроль опубликовал фрагменты отчета, затрагивающие общие проблемы. Для того, чтобы не подвергать опасности критические данные и базы данных, более детальные замечания и рекомендации по организации защиты информации Государственный контроль передал учреждениям в виде отдельного документа для внутриведомственного пользования.

Замечания Госконтроля

В Эстонии сейчас идентифицировано десять баз данных, имеющих критическое значение с точки зрения государственности: электронное досье, крепостная книга, коммерческий регистр, информационная система Riigi Teataja, земельный кадастр, информационная система государственной казны, регистр субъектов налога, регистр народонаселения, регистр удостоверяющих личность документов и государственный регистр пенсионного страхования. Поскольку условия для выбора критических баз данных не определены, отсутствует уверенность, что в процесс вовлечены все необходимые базы данных.

Запасные копии аудитированных баз данных, т.е. пяти баз данных один раз в квартал физически переносят с помощью резервированной медиа в иностранные посольства Эстонии, но удастся ли с их помощью и реально восстановить работу информационных систем, не протестировано.
В пяти базах данных из десяти сейчас в случае уничтожения нынешних центров данных не было бы обеспечено сохранение данных, необходимых для существования государства. В некоторых учреждениях еще не полностью осознали, от каких угроз следует защищать базы данных и к каким сценариям опасностей готовиться.

Посольство данных решит проблему?

Для решения проблемы резервирования и сохранения Министерство экономики и коммуникаций планирует создать посольство данных, т.е. свое место на сервере в государственном центре данных иностранного государства, и начать резервировать данные в иностранном государстве электронно, при посредничестве канала связи данных. Это позволило бы, кроме хранения данных, обеспечить также способность оперирования услугами, т.е. если какой-либо центр данных в Эстонии окажется утрачен, его услуги будет возможно оказывать дистанционно. Для достижения этой цели уже сделаны определенные шаги: заключен договор с центром данных в Люксембурге, решаются вопросы, связанные с оборудованием, каналами связи и т.п.

В конце июня планируется запустить посольство данных, т.е. будет готово оснащенное оборудованием помещение сервера для резервирования критических баз данных. Изначально там хранятся только запасные копии, но в дальнейшем планируется также обеспечить возможность оказывать услуги из посольства данных. Создание других посольств пока не планируется, эту тему будет анализировать и решать Министерство экономики и коммуникаций после проекта в Люксембурге. Поскольку сейчас еще не оговорены детали, связанные с деятельностью посольств данных (например, что, каким образом и какими методами будут резервировать), также отсутствует калькуляция, во сколько обойдется электронное резервирование критических баз данных в посольстве данных Люксембурга (например, для каждого владельца базы данных).

Нет детального плана рисков

Для осуществления концепции критических баз данных Эстонии не утверждены план действий, а также требования, отсутствуют детальный анализ рисков и план действий на будущее. Оговоренные дополнительные меры для защиты критических баз данных, в т.ч. конкретный план действий и сроки не определены официально ни в одном документе. Отсутствует юридически обязательный регламент. Действия до настоящего времени частично основаны на информальной активности. Государственный контроль предполагал, что государство определило стороны, связанные с содержанием критических баз данных (например, центральный координатор, владелец критической базы данных), а также их роли (права, обязанности). Аудит показал, что до настоящего времени вся процедура описана только в меморандуме, который рабочая группа критических информационных систем создала в марте 2017 года. Ни в одном правовом акте регламент назначения и содержания критических баз данных официально не определен и не урегулирован.

Аудит защиты данных проводился на 7 лет позже, чем нужно

С требующейся частотой аудит соблюдения обязательной системы защиты информации ISKE в Эстонских государственных учреждениях проведен только в двух критических базах данных из десяти. В двух базах данных с критическим значением аудит защиты данных ISKE проводился только во время действий аудита со стороны Госконтроля в конце 2017 года, т.е. на 7 лет позже, чем его нужно было проводить в подобных базах данных.

Во многих критических базах данных выявились существенные недочеты при обеспечении защиты информации, например при анализе логов, защите мобильных устройств, при криптовании жестких дисков.

Государственный контроль посчитал, что следует использовать также средства проверки целостности файлов. Следует ограничить использование разъемных устройств в компьютерной сети, связанной с критической базой данных. Часть владельцев критических баз данных проводили тестирование безопасности и сканирование внутренней сети, но были и такие критические базы данных, где не проводились регулярные внешние тесты на проникновение или не проверяли, удастся ли взломать базу данных и изменить или уничтожить имеющиеся там данные. Также не стоит недооценивать необходимость в физической защите критических баз данных.

Критические базы данных:

Электронное досье, крепостная книга, коммерческий регистр, Riigi Teataja – владельцем является Министерство юстиции и администратором – Центр регистров и информационных систем Министерства юстиции (RIK).

Земельный кадастр – владельцем является Земельный департамент и администратором – Центр инфотехнологии Министерства окружающей среды.

Информационная система государственной казны – владельцем является Министерство финансов и администратором – Центр инфотехнологии Министерства финансов (RMIT).

Регистр субъектов налога – владельцем является Налоговый и Таможенный департамент и администратором – RMIT.

Регистр народонаселения – владельцем является Министерство внутренних дел и администратором – Центр инфотехнологии и развития Министерства внутренних дел.

Регистр удостоверяющих личность документов – владельцем является Департамент полиции и пограничной охраны (PPA) и администратором – Центр инфотехнологии и развития Министерства внутренних дел.

Государственный регистр пенсионного страхования – владельцем является Департамент социального страхования (SKA) и администратором – Центр информационных систем здоровья и благополучия (TEHIK).

Государственный контролер Янар Хольм: причин для паники нет

Госконтролер Янар Хольм уверен, что причин для паники нет. "Безусловно, нет причин для паники – мы как электронное государство установили для себя довольно высокие требования при обеспечении сохранности данных, и при возникающих проблемах нельзя делать вывод, что критические базы данных не защищены. Если мы хотим принадлежать к числу самых развитых электронных государств, то помимо предъявления к себе высоких требований мы должны уметь их и сами выполнять. Особенно это важно в случае критических баз данных. Тем более, что многие базы данных у нас уже полностью дигитализированы, т.е. у нас уже не хранятся данные на бумажных носителях, с помощью которых можно было бы восстановить уничтоженную информацию".

28 мая пройдет обсуждение аудита Госконтроля в парламентской комиссии контроля за госбюджетом.

Добавлен видеосюжет "Актуальной камеры".

Редактор: Ирина Киреева



ERR kasutab oma veebilehtedel http küpsiseid. Kasutame küpsiseid, et meelde jätta kasutajate eelistused meie sisu lehitsemisel ning kohandada ERRi veebilehti kasutaja huvidele vastavaks. Kolmandad osapooled, nagu sotsiaalmeedia veebilehed, võivad samuti lisada küpsiseid kasutaja brauserisse, kui meie lehtedele on manustatud sisu otse sotsiaalmeediast. Kui jätkate ilma oma lehitsemise seadeid muutmata, tähendab see, et nõustute kõikide ERRi internetilehekülgede küpsiste seadetega.
Hea lugeja, näeme et kasutate vanemat brauseri versiooni või vähelevinud brauserit.

Parema ja terviklikuma kasutajakogemuse tagamiseks soovitame alla laadida uusim versioon mõnest meie toetatud brauserist: