ТАЛЛИНН, 2 ноября 2023 г. – Хотя в серверных и вспомогательных технических помещениях государственных учреждений, как правило, реализуются базовые меры безопасности, во многих местах следует снизить риски, связанные с неподходящим микроклиматом, пожаром, утечкой воды или недостаточной охраной, как говорится в опубликованном сегодня отчете Государственного контроля.
Госконтроль, проведя проверку 11 государственных учреждений, обнаружил проблемы с обеспечением необходимых условий в серверных ряда государственных учреждений. Например, во многих случаях работа кондиционерного и вентиляционного оборудования, а также датчиков огня, дыма и утечек воды не обеспечивалась с достаточной надежностью. В некоторых наблюдаемых серверных охлаждение помещений было организовано неэффективно; обнаружились серверные, где не использовалось прецизионное оборудование для кондиционирования воздуха. В серверных и подсобном помещении серверной некоторых аудитированных учреждений также хранились легковоспламеняющиеся материалы, такие как картонные коробки.
Госконтроль сделал замечания по поводу постановки серверных и офисных помещений на сигнализацию, а также по защите их систем безопасности. В одном аудитированном учреждении серверная не ставилась на сигнализацию. Госконтроль указывает, что частичное оставление офисного здания без охраны увеличивает риск несанкционированного проникновения и, следовательно, риск кражи данных и информационно-технологического (ИТ-) оборудования или манипуляции ими.
Система видеонаблюдения другого аудитированного учреждения не была достаточно защищена, и к ее центральному оборудованию видеонаблюдения имело доступ слишком много пользователей. В случае ряда учреждений в процедурах не был указан минимальный срок хранения записей видеонаблюдения, а в одном учреждении не было установленного срока хранения журналов доступа и постановки на сигнализацию.
Госконтроль отмечает, что без журнала учета входивших лиц и постановки на сигнализацию невозможно получить представление о том, кто и когда находился в серверных и офисных помещениях и когда была включена техническая охрана. Если журналы и видеозаписи не сохраняются достаточно долго, это затрудняет расследование инцидентов с физическим доступом.
При охране внешнего периметра безопасности зданий серверных имелись проблемы с защитой сооружений, необходимых для работы серверных. Например, внешний периметр здания одного из аудитированных учреждений не был покрыт необходимыми датчиками.
Касательно организации управления доступом Госконтроль обнаружил некоторые проблемы в реализации как организационных, так и технических мер. Например, в серверную одного из аудитированных учреждений имелся доступ с помощью однофакторной аутентификации, с использованием только лишь дверной карточки-ключа. В другом учреждении имелась возможность получить доступ к центральному блоку системы доступа с правами администратора с компьютера в помещении дежурного.
В результате аудита Государственный контроль сделал более подробные замечания по безопасности каждого аудитированного учреждения и дал рекомендации, как улучшить ситуацию.
Общая информация
Цель аудита заключалась в том, чтобы оценить, реализованы ли предусмотренные меры безопасности в серверных, а также в помещениях и офисах, необходимых для функционирования серверных, и снижены ли риски до приемлемого уровня. Общая оценка аудита основывалась на следующих критериях:
- Реализованы ли в серверных государственных учреждений и в технических помещениях, необходимых для работы серверных, меры безопасности, обеспечивающие физическую безопасность помещений.
- Внедрена ли в государственных учреждениях система внутреннего контроля, позволяющая снизить риск несанкционированного доступа в здания и помещения до приемлемого уровня.
Учреждения, используемые которыми серверные вошли в экспертную выборку:
- Целевое учреждение государственных инфокоммуникаций (RIKS),
- Центр информационных технологий Министерства финансов,
- Налогово-таможенный департамент,
- Министерство по делам сельской жизни (ныне Министерство регионов и сельского хозяйства),
- Департамент сельскохозяйственных регистров и информации (PRIA),
- Эстонское национальное телерадиовещание (ERR),
- Центр информационных систем здравоохранения и социального обеспечения,
- Центр информационных технологий Министерства окружающей среды (ныне переподчинен Министерству климата),
- Центр регистров и инфосистем (RIK),
- Центр информационных технологий и развития Министерства внутренних дел и
- Государственный центр информационных и коммуникационных технологий (RIT).
Учреждения, используемые которыми офисные помещения вошли в экспертную выборку:
- Целевое учреждение государственных инфокоммуникаций (RIKS),
- Государственный центр информационных и коммуникационных технологий (RIT),
- Министерство по делам сельской жизни,
- Департамент сельскохозяйственных регистров и информации (PRIA),
- Центр информационных технологий Министерства окружающей среды,
- Центр регистров и инфосистем (RIK),
- Центр информационных технологий Министерства финансов,
- Центр информационных технологий и развития Министерства внутренних дел и
- Центр информационных систем здравоохранения и социального обеспечения.
Период аудита длился с января по июнь 2023 года.
Прийт Симсон
Руководитель по коммуникациям Государственного контроля
+372 640 0102
+372 5615 0280
[email protected]
[email protected]
http://www.riigikontroll.ee/
-
Размещено
02.11.2023 10:00
-
Дата последнего изменения:
01.11.2023 14:13
-
Последний прoсмотр:
01.11.2023 14:13