ТАЛЛИНН, 24 мая 2018 г. – Аудит Государственного контроля показал, что обеспечение безопасности и сохранности критических баз данных Эстонского государства требует большего внимания: не хватает правовых рамок, в нескольких критических базах данных имеются существенные недостатки в вопросах обеспечения информационной безопасности, например при анализе логов, тестировании проникновения, защите мобильных средств. До настоящего времени не установлены специальные требования, необходимые для защиты критических данных.
В отношении примерно половины аудита Государственного контроля установлено ограничение доступа – определенные разделы предназначены только для внутриведомственного пользования. Государственный контроль опубликовал фрагменты отчета, затрагивающие общие проблемы. Для того, чтобы не подвергать опасности критические данные и базы данных, более детальные замечания и рекомендации по организации защиты информации Государственный контроль передал учреждениям в виде отдельного документа для внутриведомственного пользования.
Кратко замечания Государственного контроля следующие:
* В Эстонии сейчас идентифицировано десять баз данных, имеющих критическое значение с точки зрения государственности: электронное досье, крепостная книга, коммерческий регистр, информационная система Riigi Teataja, земельный кадастр, информационная система государственной казны, регистр субъектов налога, регистр народонаселения, регистр удостоверяющих личность документов и государственный регистр пенсионного страхования. Поскольку условия для выбора критических баз данных не определены, отсутствует уверенность, что в процесс вовлечены все необходимые базы данных.
Запасные копии аудитированных баз данных, т.е. пяти баз данных один раз в квартал физически переносят с помощью резервированной медиа в иностранные посольства Эстонии, но удастся ли с их помощью и реально восстановить работу информационных систем, не протестировано. Владельцы критических баз данных выразили в ходе аудита мнение, что, скорее всего, эти копии невозможно легко и быстро сделать функционирующими, поскольку для восстановления работы и услуг необходимо, чтобы действовали прикладное программное обеспечение и различные опорные услуги.
В пяти базах данных из десяти сейчас в случае уничтожения нынешних центров данных не было бы обеспечено сохранение данных, необходимых для существования государства. В некоторых учреждениях еще не полностью осознали, от каких угроз следует защищать базы данных и к каким сценариям опасностей готовиться.
* Для решения проблемы резервирования и сохранения Министерство экономики и коммуникаций планирует создать посольство данных, т.е. свое место на сервере в государственном центре данных иностранного государства, и начать резервировать данные в иностранном государстве электронно, при посредничестве канала связи данных. Это позволило бы, кроме хранения данных, обеспечить также способность оперирования услугами, т.е. если какой-либо центр данных в Эстонии окажется утрачен, его услуги будет возможно оказывать дистанционно. Для достижения этой цели уже сделаны определенные шаги: заключен договор с центром данных в Люксембурге, решаются вопросы, связанные с оборудованием, каналами связи и т.п. В конце июня планируется запустить посольство данных, т.е. будет готово оснащенное оборудованием помещение сервера для резервирования критических баз данных. Изначально там хранятся только запасные копии, но в дальнейшем планируется также обеспечить возможность оказывать услуги из посольства данных. Создание других посольств пока не планируется, эту тему будет анализировать и решать Министерство экономики и коммуникаций после проекта в Люксембурге. Поскольку сейчас еще не оговорены детали, связанные с деятельностью посольств данных (например, что, каким образом и какими методами будут резервировать), также отсутствует калькуляция, во сколько обойдется электронное резервирование критических баз данных в посольстве данных Люксембурга (например, для каждого владельца базы данных).
* Для осуществления концепции критических баз данных Эстонии не утверждены план действий, а также требования, отсутствуют детальный анализ рисков и план действий на будущее. Оговоренные дополнительные меры для защиты критических баз данных, в т.ч. конкретный план действий и сроки не определены официально ни в одном документе. Отсутствует юридически обязательный регламент. Действия до настоящего времени частично основаны на информальной активности. Государственный контроль предполагал, что государство определило стороны, связанные с содержанием критических баз данных (например, центральный координатор, владелец критической базы данных), а также их роли (права, обязанности). Аудит показал, что до настоящего времени вся процедура описана только в меморандуме, который рабочая группа критических информационных систем создала в марте 2017 года. Ни в одном правовом акте регламент назначения и содержания критических баз данных официально не определен и не урегулирован.
* С требующейся частотой аудит соблюдения обязательной системы защиты информации ISKE в Эстонских государственных учреждениях проведен только в двух критических базах данных из десяти. В двух базах данных с критическим значением аудит защиты данных ISKE проводился только во время действий аудита со стороны Госконтроля в конце 2017 года, т.е. на 7 лет позже (sic!), чем его нужно было проводить в подобных базах данных.
* Во многих критических базах данных выявились существенные недочеты при обеспечении защиты информации, например при анализе логов, защите мобильных устройств, при криптовании жестких дисков. Государственный контроль посчитал, что следует использовать также средства проверки целостности файлов. Следует ограничить использование разъемных устройств в компьютерной сети, связанной с критической базой данных. Часть владельцев критических баз данных проводили тестирование безопасности и сканирование внутренней сети, но были и такие критические базы данных, где не проводились регулярные внешние тесты на проникновение или не проверяли, удастся ли взломать базу данных и изменить или уничтожить имеющиеся там данные. Также не стоит недооценивать необходимость в физической защите критических баз данных.
Критические базы данных:
Электронное досье, крепостная книга, коммерческий регистр, Riigi Teataja – владельцем является Министерство юстиции и администратором – Центр регистров и информационных систем Министерства юстиции (RIK).
Земельный кадастр – владельцем является Земельный департамент и администратором – Центр инфотехнологии Министерства окружающей среды.
Информационная система государственной казны – владельцем является Министерство финансов и администратором – Центр инфотехнологии Министерства финансов (RMIT).
Регистр субъектов налога – владельцем является Налоговый и Таможенный департамент и администратором – RMIT.
Регистр народонаселения – владельцем является Министерство внутренних дел и администратором – Центр инфотехнологии и развития Министерства внутренних дел.
Регистр удостоверяющих личность документов – владельцем является Департамент полиции и пограничной охраны (PPA) и администратором – Центр инфотехнологии и развития Министерства внутренних дел.
Государственный регистр пенсионного страхования – владельцем является Департамент социального страхования (SKA) и администратором – Центр информационных систем здоровья и благополучия (TEHIK).
Государственный контролер Янар Хольм прокомментировал результаты аудита:
«Безусловно, нет причин для паники – мы как электронное государство установили для себя довольно высокие требования при обеспечении сохранности данных, и при возникающих проблемах нельзя делать вывод, что критические базы данных не защищены. Если мы хотим принадлежать к числу самых развитых электронных государств, то помимо предъявления к себе высоких требований мы должны уметь их и сами выполнять. Особенно это важно в случае критических баз данных. Тем более, что многие базы данных у нас уже полностью дигитализированы, т.е. у нас уже не хранятся данные на бумажных носителях, с помощью которых можно было бы восстановить уничтоженную информацию.
Обеспечение безопасности баз данных, несомненно, не является такой популярной темой, на которую министерства могли бы делать эффектные пресс-релизы, как при распределении из госбюджета всевозможных пособий для той или иной группы интересов. Или, например, в сфере ИТ можно привлечь больше внимания и одобрения с помощью какой-нибудь новой и заманчивой электронной услуги. Защита информации, к сожалению, является одной из таких тем в жизни государства, в случае которой трудно завоевать похвалу (и голоса) от общественности, когда все хорошо, но в то же время можно многое потерять, если воплотится какой-либо риск безопасности.
«Невидимость» решений в сфере защиты информации создала ситуацию, когда многие чиновники правительственных учреждений, отвечающие за сохранность информации, жалуются аудиторам Госконтроля, что они не способны разъяснить необходимость в инвестициях или простейших мерах предотвращения рисков руководству своего учреждения или политикам наряду с другим выборами. В ходе аудита выяснилось, что существует достаточно причин для того, чтобы принять эти меры всерьез и требовать их выполнения.
Министерство экономики и коммуникаций определило свою деятельность к настоящему моменту как пилотный проект, в ходе которого пока еще идет поиск более подходящих технических и правовых решений для организации резервирования. Большей результативности движения в правильном направлении мы бы достигли, если бы у ответственных лиц были точнее определены цели и план действий в этом проекте. Польза была бы от создания четких правовых рамок и долгосрочного финансового планирования».
Государственный контроль посоветовал министру предпринимательства и инфотехнологии
- определить регламент для дополнительной защиты баз данных, в т.ч. для выбора критических баз данных, обработки данных в них и резервирования критических для государства данных, а также оценить, финансировать ли эти занятия дополнительно, и если да, то как;
- проанализировать разные этапы создания посольств данных – как с точки зрения финансового планирования, так и защиты информации, и применить при прохождении этих этапов лучшие обычаи управления проектами.
Министерство экономики и коммуникаций согласилось с большей частью рекомендаций Госконтроля
Госконтроль представил свои рекомендации по укреплению защиты информации в отправленных владельцам баз данных детально изложенных итогах контрольных вопросников. Например, Государственный контроль рекомендовал следующее:
- Определить в порядке защиты информации, через какие промежутки времени, как и в каком объеме следует оценивать слабые места в критических базах данных.
- Для установления отклонений регулярно анализировать логи событий и составлять через определенные промежутки времени отчеты об этом.
- Оценить уровень осведомленности персонала учреждений и сфер управления о защите информации и на основании этого составить планы семинаров базового уровня защиты информации и планы для повышения осведомленности.
- Определить в порядке защиты информации, как обеспечивается в системах критического значения контроль целостности файлов.
- Регулярно заказывать внешние и внутренние тесты на проникновение, чтобы выявить слабые места баз данных или слабые места защиты.
Для информации:
Сохранение государственности Эстонии означает в наше время наряду с физической защитой территории Эстонии также сохранение самого необходимого дигитального имущества, учитывая события, которые представляют для Эстонской Республики наибольшую опасность. Больше всего нуждается в защите дигитальное имущество, которым располагает государство о проживающих здесь людях, о территории Эстонской Республики и правотворчестве. Также необходимо защищать данные, затрагивающие принадлежащие людям в Эстонском государстве собственность, недвижимость и права.
По инициативе Министерства экономики и коммуникации при совете киберзащиты действует рабочая группа критических баз данных, которая стала реализовывать в вышеназванных базах данных защиту самых важных для государственности, т.е. критических данных.
В ходе аудита Госконтроль проследил, как государство выбрало для обеспечения способности продолжения государственности критические данные и базы данных. Также исследовалось, обеспечена ли и с помощью каких средств сохранность этих данных и баз данных, и как обеспечена долгосрочная непрерывность функционирования баз данных, содержащих эти данные.
Благодаря тому, что Эстония является членом НАТО и Европейского Союза, физическая безопасность государства обеспечена лучше, чем когда-либо раньше. Все же Эстония должна считаться с возможностью, что при эскалации проблем безопасности кибербезопасность также может оказаться под угрозой. Подобные сценарии опасности, а также участившиеся в последнее время инциденты защиты данных, такие как кибератаки и утечка информации, неизбежно могут поставить под угрозу важнейшие для государства данные и базы данных.
Если данные первой необходимости для государства изменят без имеющихся на то полномочий, произойдет их утечка или они погибнут, государство не сможет больше действовать в необходимых функциях, в т.ч. обеспечить безопасность проживающих в государстве людей, оказывать им необходимые услуги, создавать для предпринимательства необходимую среду и т.п.
Тоомас Маттсон
Руководитель службы коммуникации Государственного контроля
+372 640 0777
+372 513 4900
[email protected]
[email protected]
-
Размещено
24.05.2018 11:00
-
Дата последнего изменения:
24.05.2018 10:59
-
Последний прoсмотр:
24.05.2018 10:59