Госконтроль: серверные государственных учреждений нуждаются в лучшей защите

02.11.2023 | 10:00

Размер шрифта: [-A] [+A]

Язык: EST | RUS | ENG

Распечатать

ТАЛЛИНН, 2 ноября 2023 г. – Хотя в серверных и вспомогательных технических помещениях государственных учреждений, как правило, реализуются базовые меры безопасности, во многих местах следует снизить риски, связанные с неподходящим микроклиматом, пожаром, утечкой воды или недостаточной охраной, как говорится в опубликованном сегодня отчете Государственного контроля.

Госконтроль, проведя проверку 11 государственных учреждений, обнаружил проблемы с обеспечением необходимых условий в серверных ряда государственных учреждений. Например, во многих случаях работа кондиционерного и вентиляционного оборудования, а также датчиков огня, дыма и утечек воды не обеспечивалась с достаточной надежностью. В некоторых наблюдаемых серверных охлаждение помещений было организовано неэффективно; обнаружились серверные, где не использовалось прецизионное оборудование для кондиционирования воздуха. В серверных и подсобном помещении серверной некоторых аудитированных учреждений также хранились легковоспламеняющиеся материалы, такие как картонные коробки.

Госконтроль сделал замечания по поводу постановки серверных и офисных помещений на сигнализацию, а также по защите их систем безопасности. В одном аудитированном учреждении серверная не ставилась на сигнализацию. Госконтроль указывает, что частичное оставление офисного здания без охраны увеличивает риск несанкционированного проникновения и, следовательно, риск кражи данных и информационно-технологического (ИТ-) оборудования или манипуляции ими.

Система видеонаблюдения другого аудитированного учреждения не была достаточно защищена, и к ее центральному оборудованию видеонаблюдения имело доступ слишком много пользователей. В случае ряда учреждений в процедурах не был указан минимальный срок хранения записей видеонаблюдения, а в одном учреждении не было установленного срока хранения журналов доступа и постановки на сигнализацию.

Госконтроль отмечает, что без журнала учета входивших лиц и постановки на сигнализацию невозможно получить представление о том, кто и когда находился в серверных и офисных помещениях и когда была включена техническая охрана. Если журналы и видеозаписи не сохраняются достаточно долго, это затрудняет расследование инцидентов с физическим доступом.

При охране внешнего периметра безопасности зданий серверных имелись проблемы с защитой сооружений, необходимых для работы серверных. Например, внешний периметр здания одного из аудитированных учреждений не был покрыт необходимыми датчиками.

Касательно организации управления доступом Госконтроль обнаружил некоторые проблемы в реализации как организационных, так и технических мер. Например, в серверную одного из аудитированных учреждений имелся доступ с помощью однофакторной аутентификации, с использованием только лишь дверной карточки-ключа. В другом учреждении имелась возможность получить доступ к центральному блоку системы доступа с правами администратора с компьютера в помещении дежурного.

В результате аудита Государственный контроль сделал более подробные замечания по безопасности каждого аудитированного учреждения и дал рекомендации, как улучшить ситуацию.

Общая информация

Цель аудита заключалась в том, чтобы оценить, реализованы ли предусмотренные меры безопасности в серверных, а также в помещениях и офисах, необходимых для функционирования серверных, и снижены ли риски до приемлемого уровня. Общая оценка аудита основывалась на следующих критериях:

  • Реализованы ли в серверных государственных учреждений и в технических помещениях, необходимых для работы серверных, меры безопасности, обеспечивающие физическую безопасность помещений.
  • Внедрена ли в государственных учреждениях система внутреннего контроля, позволяющая снизить риск несанкционированного доступа в здания и помещения до приемлемого уровня.

Учреждения, используемые которыми серверные вошли в экспертную выборку:

  • Целевое учреждение государственных инфокоммуникаций (RIKS),
  • Центр информационных технологий Министерства финансов,
  • Налогово-таможенный департамент,
  • Министерство по делам сельской жизни (ныне Министерство регионов и сельского хозяйства),
  • Департамент сельскохозяйственных регистров и информации (PRIA),
  • Эстонское национальное телерадиовещание (ERR),
  • Центр информационных систем здравоохранения и социального обеспечения,
  • Центр информационных технологий Министерства окружающей среды (ныне переподчинен Министерству климата),
  • Центр регистров и инфосистем (RIK),
  • Центр информационных технологий и развития Министерства внутренних дел и
  • Государственный центр информационных и коммуникационных технологий (RIT).

Учреждения, используемые которыми офисные помещения вошли в экспертную выборку:

  • Целевое учреждение государственных инфокоммуникаций (RIKS),
  • Государственный центр информационных и коммуникационных технологий (RIT),
  • Министерство по делам сельской жизни,
  • Департамент сельскохозяйственных регистров и информации (PRIA),
  • Центр информационных технологий Министерства окружающей среды,
  • Центр регистров и инфосистем (RIK),
  • Центр информационных технологий Министерства финансов,
  • Центр информационных технологий и развития Министерства внутренних дел и
  • Центр информационных систем здравоохранения и социального обеспечения.

Период аудита длился с января по июнь 2023 года.

Прийт Симсон
Руководитель по коммуникациям Государственного контроля
+372 640 0102
+372 5615 0280
[email protected]
[email protected]
http://www.riigikontroll.ee/

  • Размещено 02.11.2023 10:00
  • Дата последнего изменения: 01.11.2023 14:13
  • Последний прoсмотр: 01.11.2023 14:13

В серверных и подсобном помещении серверной некоторых аудитированных учреждений также хранились легковоспламеняющиеся материалы, такие как картонные коробки.

CARO

Дополнительные материалы

Документы

Остальные новости: