Государственный контроль: Департамент государственной инфосистемы обеспечил надежность X-tee, но никто не проверяет безопасность частных компаний, использующих X-tee

Размер шрифта: [-A] [+A]

Язык: EST | RUS | ENG

Распечатать

ТАЛЛИНН, 2 марта 2021 – Департамент государственной инфосистемы (ДГИ) в целом обеспечил надежность центра X-tee, но, как установил Государственный контроль в опубликованном сегодня отчете об аудите «Администрирование и надежность X-tee», уровень информационной безопасности частных компаний, использующих X-tee, не проверяется при присоединении и использовании X-tee.

В аудиторском отчете Государственный контроль пришел к выводу, что центральные службы инфраструктуры X-tee были относительно надежными: в течение последних трех лет произошло одно вызванное центральным компонентами X-tee значительное прерывание работы служб X-tee. Департамент государственной инфосистемы выяснил наиболее важные угрожающие надежности X-tee риски и оценил их. Для снижения рисков были разработаны меры, многие из которых уже применяются. Однако, учитывая количество запросов, совершаемых через X-tee - в среднем 133 миллиона запросов в месяц - неработоспособность X-tee сделает невозможным или значительно затруднит предоставление большинства государственных услуг. Замена обмена данными через X-tee на неэлектронный обмен данными будет практически невозможна или, по крайней мере, очень затратна.

Вызывает беспокойство то, что во многих случаях учреждения, предоставляющие услуги передачи данных на X-tee, не заключили соглашений об использовании услуги. Если же договоры все же были заключены, ни одно из проверенных государственных учреждений перед заключением соглашения не проверило, принимают ли частные предприниматели достаточные меры по снижению рисков безопасности для обеспечения целостности, конфиденциальности и доступности данных. «Частно-правовые члены X-tee при заключении соглашения об услугах передачи данных подтверждают, что они принимают необходимые меры, но поставщики услуг передачи данных не контролируют это», - прокомментировал руководитель аудита Тоомас Вийра.

Соблюдение соглашений об использовании услуг данных контролируется только несколькими учреждениями, которые предоставляют доступ к данным. «Тот факт, что договоры об использовании услуги данных не заключаются и уровень безопасности частных предпринимателей не проверяется, представляет собой угрозу безопасности», - добавил руководитель аудита Тоомас Вийра. «Таким образом, лица, не имеющие на это права, могут иметь доступ к государственным базам данных и возможность вносить несанкционированные изменения».

Учреждения, внедряющие X-tee, должны принимать необходимые меры для снижения рисков информационной безопасности, но не уточняется, какие меры безопасности должны быть реализованы и на каком уровне. Требования, установленные для X-tee Постановлением Правительства Республики «Слой обмена данными информационных систем», иногда носят общий характер и позволяют абонентам по-разному интерпретировать их при реализации.

Несмотря на то, что Департамент государственной инфосистемы не подготовил отдельный план обеспечения непрерывности функционирования для X-tee, были приняты меры для постоянной работы безопасного обмена данными, а требования по обеспечению непрерывности функционирования изложены в других документах. Недостатками можно считать нерегулярность в выполнении тестов восстановления и отсутствие их документации. Также то, что отдельно не оценивалась жизнеспособность и уязвимость информационных активов, связанных с X-tee.

Государственный контроль рекомендовал генеральному директору Департаменту государственной инфосистемы внести в постановление «Слой обмена данными информационных систем», регулирующее работу X-tee, поправку, которая сделала бы установленные требования более точными и однозначными, чтобы поставщики услуг передачи данных могли выполнять эти требования, а Департамент государственной инфосистемы могло контролировать их выполнение. Также следует разработать необходимые руководства для выполнения требований постановления и провести необходимое обучение для учреждений, использующих X-tee.

Государственный контроль также рекомендовал оценить риски для безопасности баз данных, возникающие из-за незаключения договоров об использовании услуг передачи данных, и внедрить меры по снижению этих рисков. Следует также рассмотреть возможность добавления функциональности для заключения соглашений об использовании услуг данных и рассмотрения ходатайств, чтобы сделать открытие и использование услуг данных портала X-tee менее бюрократическим.

Государственный контроль рекомендовал разработать систему контроля частно-правовых юридических лиц, пользующихся услугами X-tee, для обеспечения целостности, конфиденциальности и доступности данных. Кроме того, Государственный контроль рекомендовал проводить регулярные тесты восстановления центральных компонентов X-tee и документировать их. При обнаружении недостатков необходимо предпринимать необходимые корректирующие меры.

Общая информация:

X-tee — это техническая инфраструктура и среда, обеспечивающая безопасный и проверенный обмен данными через Интернет. По состоянию на 02.02.2021 г. к X-tee подключено 834 учреждения. В 2020 году через X-tee было сделано 1,57 миллиарда запросов. По состоянию на 1 декабря 2020 года к X-tee было подключено 200 учреждений государственного сектора (в т. ч. учреждения местных самоуправлений) и 525 учреждений частного сектора, а услуги X-tee косвенно использовало около 52 000 предприятий и учреждений.

Проверяемым периодом было время с начала 2020 года, когда можно было использовать только 6-ю версию X-tee, включая ее решения, законодательство, руководящие принципы, реализованные меры и т. д.

Аудит проводился на основе действующей редакции постановления X-tee (Постановление Правительства Республики от 23 сентября 2016 г. № 105 «Слой обмена данными информационных систем»).

В ходе аудита была изучена организация работы, связанная с X-tee, и правила разработки X-tee в Департаменте государственной инфосистемы. Кроме того, организация работы, связанной с X-tee, была проверена в следующих учреждениях: Министерство образования и науки, Министерство обороны, Министерство экономики и коммуникаций, Министерство культуры, Министерство окружающей среды, Министерство по делам сельской жизни, Министерство иностранных дел, Налогово-таможенный департамент, Департамент шоссейных дорог, Центр информационных технологий Министерства финансов и Центр регистров и информационных систем. Кроме того, была изучена деятельность трёх местных самоуправлений и трёх государственных объединений: соответственно городских управ Пярну, Тарту и Таллинна, а также АО Elering, ООО TS Laevad и Центр управления государственными лесами.

 

 

Прийт Симсон
Руководитель по коммуникациям Государственного контроля
+372 640 0102
+372 5615 0280
priit.simson@riigikontroll.ee
press@riigikontroll.ee
http://www.riigikontroll.ee/

  • Размещено 02.03.2021 10:00
  • Дата последнего изменения: 02.03.2021 10:12
  • Последний прoсмотр: 02.03.2021 10:12

Тот факт, что уровень безопасности частных предпринимателей не проверяется, представляет собой угрозу безопасности.

Департамент государственной инфосистемы

Дополнительные материалы

Документы

Остальные новости: