Госконтроль: следует больше, чем ранее, проверять обоснованность запросов пользователей в государственных банках данных

ТАЛЛИНН, 9 февраля 2023 г. – Государственный контроль провел аудит пяти государственных банков данных с конфиденциальной информацией и пришел к выводу, что, хотя доступ к данным там имеют только уполномоченные лица, в случае с двумя банками данных права доступа этих лиц неоправданно широки . Следует больше проверять обоснованность запросов данных и анализировать журналы регистрации, чтобы выяснить, кто, когда и по каким причинам использовал данные.

Госконтроль провел аудит таких банков данных, как информационная система социального защиты (SKAIS), регистр социальных услуг и пособий (STAR), регистр наказаний (KARR), интерфейс производства по делам о проступке (VMP) системы e-toimik («э-дело») и система автоматической биометрической идентификации личности (ABIS), находящаяся на стадии разработки.

«Пользователь конфиденциальных данных должен иметь доступ к тем данным, которые непосредственно касаются его работы и которые ему необходимо знать, но не более того, » – сказал государственный контролер Янар Хольм. « По мнению Госконтроля, доступ пользователей к информации банков данных SKAIS1 и STAR Департамента социального страхования слишком обширен, и это создает определенный риск неправомерного использования данных».

В регистре социальных услуг и пособий STAR должностное лицо местного самоуправления может получить доступ к делопроизводствам, касающимся жителей других муниципалитетов, и содержащимся в них данным. Госконтроль указывает, что в регистре STAR не было принято необходимых мер для анализа журналов регистрации и для проверки обоснованности запросов. Количество делопроизводств, к которым имеют доступ пользователи, относительно велико, так как регистр социальных услуг и пособий STAR используется с апреля 2010 года и с тех пор данные не выводились из банка данных (например, не архивировались). Это придает еще больший вес необходимости защиты большого количества персональных данных.

По мнению Госконтроля, пользователи банков данных регистра STAR в местных самоуправлениях должны иметь доступ к данным жителей своего муниципалитета. Если же необходим доступ к делопроизводствам, относящимся к жителям муниципалитетов, то следует определить дополнительную процедуру контроля валидации доступа.

Госконтроль считает, что аудит прав доступа в будущем должен стать обязательным в случае конфиденциальных данных, поскольку это поможет минимизировать риски, связанные с безопасностью данных. Аудит принятия мер информационной безопасности, обязательный для государственных банков данных, был проведен в четырех из пяти аудитированных банков данных. В ходе этих аудитов не проверялись меры безопасности модуля управления доступом, поскольку инструкция по проведению аудита ISKE для трехуровневой стандартной системы безопасности не обязывала аудиторов делать это.

Госконтроль отмечает, что необходимо постоянно анализировать данные журналов регистрации банков данных, чтобы как можно раньше выявлять неправомерное использование данных. В ходе аудита Госконтроль установил, что, хотя данные журнала регистрации – информация о событиях, произошедших в банке данных, – собирались и хранились, их систематический и постоянный анализ не проводился. В документах, регламентирующих деятельность учреждений или банков данных, также отсутствовала обязанность анализировать и контролировать данные журналов регистрации.

Кроме того, в аудитированных банках данных не проводился регулярный или систематический мониторинг или контроль обоснованности запросов данных. Проведение таких проверок подробно не регламентировалось в документах, регулирующих деятельность учреждений или банков данных. Проверки проводились скорее нерегулярно и только после обнаруженных инцидентов, запросов/жалоб от субъектов данных или из-за других внешних событий.

Инциденты безопасности могут быть обнаружены на ранней стадии и без допущения серьезного ущерба только в том случае, если использование банков данных постоянно контролируется и журналы регистрации анализируются. Без этого возникает риск утечки конфиденциальных персональных данных. Следует также оценивать риски, связанные с несанкционированным изменением журналов регистрации, и применять временные метки и/или решения для создания криптографической цепочки с целью обеспечения целостности журналов.

Общая информация

Цель аудита – оценить, организовано ли управление доступом в соответствии с установленными требованиями и передовой практикой, приняты ли в аудитируемых банках данных меры, обеспечивающие доступ к банку данных уполномоченных лиц и предотвращающие доступ посторонних лиц, а также работают ли принятые меры. В результате экспертного отбора был проведен аудит следующих банков данных: информационная система социального защиты (SKAIS), регистр социальных услуг и пособий (STAR), регистр наказаний (KARR), интерфейс производства по делам о проступке (VMP) системы e-toimik («э-дело») и система автоматической биометрической идентификации личности (ABIS) (это банк данных еще находится на стадии разработки).

Основным критерием, на основании которого эти банки данных были отобраны для аудита, служила конфиденциальность этих данных – в случае пяти банков данных был установлен класс безопасности в отношении конфиденциальности S2 или S3 по системе ISKE. Класс безопасности S2 означает секретную информацию: использование информации разрешено только для конкретных, определенных групп пользователей, и доступ к такой информации может быть разрешен, если лицо, ходатайствующее о доступе, имеет к ней оправданный интерес. S3 означает сверхсекретную информацию: использование информации разрешено только для конкретных, определенных пользователей, и доступ к такой информации может быть разрешен, если лицо, ходатайствующее о доступе, имеет к ней оправданный интерес.

Управление доступом должно гарантировать, что пользователи имеют доступ только к тем данным и информационно-техническим ресурсам, которые им необходимы для выполнения их служебных обязанностей, и только в той мере, в какой они уполномочены на это.

Прийт Симсон

Руководитель по коммуникациям Государственного контроля

+372 640 0102
+372 5615 0280

[email protected]
[email protected]

http://www.riigikontroll.ee/

Размещено 09.02.2023 9:41
Дата последнего изменения: 09.02.2023 9:41
Последний прoсмотр: 09.02.2023 9:41

Дополнительные материалы

Документы

Andmekogude juurdepääsuhaldus (Отчет о проверке)
Database access management (Резюме)
Riigikontroll: riigi andmekogudes tuleks senisest enam kontrollida kasutajate päringute põhjendatust (Материалы СМИ)
National Audit Office: the justification of user queries in national databases should be more checked more rigorously (Материалы СМИ)
Госконтроль: следует больше, чем ранее, проверять обоснованность запросов пользователей в государственных банках данных (Материалы СМИ)
Auditiaruande "Andmekogude juurdepääsuhaldus" esitlus Riigikogu riigieelarve kontrolli erikomisjonis 8.2.2023 (pdf)

Госконтроль: следует больше, чем ранее, проверять обоснованность запросов пользователей в государственных банках данных

Дополнительные материалы

Документы

Остальные новости:

Госконтроль: люди с особыми потребностями остаются в поисках помощи в одиночестве

Госконтроль: здравоохранение нуждается в более эффективном контроле качества и системном устранении недостатков

Госконтроль: программа безопасности дорожного движения раздута и Эстония далека от достижения поставленных целей

Госконтроль: утроение производства возобновляемой энергии к 2030 году может быть нереалистичной целью с учетом текущей ситуации

Госконтроль: нехватка соответствующих квалифицированным требованиям учителей больше, чем считалось ранее

Госконтроль: достижение климатических целей государства требует от местных самоуправлений более активных действий по развитию теплового хозяйства

Госконтроль: серьезной проблемы с доступностью услуги ухода на дому нет, но денег, выделенных в рамках реформы системы попечения, недостаточно для развития услуги

Госконтроль: серьезной проблемы с доступностью услуги ухода на дому нет, но денег, выделенных в рамках реформы системы попечения, недостаточно для развития услуги

Госконтроль: Министерству климата следовало бы обновить свои планы по обеспечению непрерывной эксплуатации электросистем

Государственный контролер в докладе Рийгикогу: при выборе будущей электросистемы больше внимания нужно уделять цене

Госконтроль: серверные государственных учреждений нуждаются в лучшей защите

Госконтроль: тюрьмы будут пустеть, было бы разумно отказаться от некоторых площадей тюремной инфраструктуры, чтобы сократить расходы

Госконтроль: чтобы сохранить трудоспособность людей, нужны более конкретные профилактические меры и консультирование работодателей, а не наложение им штрафов

Госконтроль: Nordica – пример нерешительности собственника в управлении своей компанией

Госконтроль: годовой бухгалтерский отчет государства за 2022 год верен, но МВД препятствовало аудиту затрат на рабочую силу

Госконтроль: необходимы более эффективные надзор и защита прав потребителей в сфере потребительских кредитов

Изучение эстонского языка и обучение на эстонском языке в школах с русским языком обучения требует более строгого подхода

Государственный контролер Янар Хольм принял участие в дискуссии об инновациях в государственном секторе, организованной ОЭСР в Париже

Госконтроль: готовность министерств к выполнению задач гособороны недостаточна, бразды правления должна взять на себя Госканцелярия

Государственный контролер Янар Хольм сегодня принял присягу

Организация охраны, созданная Министерством окружающей среды, не обеспечивает сохранения природных ценностей охраняемых лесов

Госконтроль: для назначения прожиточного пособия нужна единая практика, а неравенство и бюрократия должны быть сокращены

Госконтроль: государство медлит со снятием ограничений на использование муниципальных средств

Госконтроль: если Эстония хочет получить Rail Baltic и новые шоссе, в стране будет необходимо открыть новые карьеры

Темный

Выбор фона сайта

Светлый

Выбор фона сайта

Госконтроль: следует больше, чем ранее, проверять обоснованность запросов пользователей в государственных банках данных

Дополнительные материалы

Документы

Остальные новости: