ИТ-безопасность правительственных агентств США оставляет желать
admin
🕛 28.07.2005, 00:47
Еще месяц назад Счетная палата США (GAO, Government Accountability Office) раскритиковала Комиссию по ценным бумагам (SEC, Securities and Exchange Commission). В результате внешнего аудита, проведенного GAO, было установлено, что SEC не реализовала процедуры контроля над составляемой отчетностью. Таким образом, SEC, в задачи которой входит аудит публичных компаний на предмет наличия соответствующих процедур, сама оказалась уязвима к финансовому мошенничеству и неточностям в финансовой отчетности.<more>Исходя из уже имеющегося опыта, результаты нового отчета GAO, на этот раз посвященному аудиту правительственных агентств, не оказались сюрпризом. GAO сообщила, что подавляющее большинство проверенных организаций, хотя и повысили уровень ИТ-безопасности по сравнению с прошлым годом, все равно еще имеют достаточно серьезные бреши, которые угрожают целостности, конфиденциальности и доступности информации.
Важно заметить, что речь идет не только о несанкционированном доступе к данным (преимущественно финансовой отчетности), но и о противоправном использовании конфиденциальных данных государственными служащими. С формальной точки зрения, это означает, что правительственные агентства не смогли удовлетворить требованиям акта FISMA (Federal Information Security Management Act), который был принят в 2002 году.
Проверив 24 агентства, GAO смогла выделить пять основных типов уязвимостей в системе ИТ-безопасности:
слабый контроль над доступом к данным;
слабый контроль над изменением программного обеспечения;
проблемы с распределением и выделением ролей и обязанностей;
отсутствие непрерывности планирования операций;
отсутствие программ ИТ-безопасности масштаба целого агентства.
Каждая из этих брешей является типовой. Например, в ИТ-инфраструктуре Министерств Обороны, Собственной Безопасности, Юстиции, Транспорта, Торговли и Внутренних Дел были обнаружены все пять уязвимостей.
Проблемы возникли и с минимально допустимыми настройками, которые должны удовлетворять требованиям FISMA. В прошлом году все правительственные агентства впервые заявили о том, что они реализовали масштабную политику ИТ-безопасности в рамках своей организации. Среди прочего такая политика должна покрывать конфигурации и настройки программных средств. Тем не менее, аудит GAO выявил двадцать агентств, которые не смогли удовлетворить требованиям FISMA по минимально допустимым настройкам операционных систем и приложений.
Было бы неверно во всем обвинять сотрудников правительственных учреждений или излишне придирчивых экспертов GAO. Наоборот, вполне резонно предположить, что проблема кроется в самих стандартах (в том числе и FISMA), которые формулируют не совсем точные требования. Вероятно, в самое ближайшее время ответственные государственные организации выпустят дополнительные разъяснения, комментарии к стандартам или руководства, которые позволят уточнить выдвигаемые требования.
Однако ряд прегрешений лежит и на самих проверяемых агентствах, так как реализовать надежные процедуры контроля доступа и изменений программного обеспечения, а также закрепить эти процедуры техническими средствами, агентства просто обязаны.
«Если правительственным организациям так сложно пройти стандартизацию и благополучно пережить внешний аудит, то, что можно сказать о коммерческих компаниях, у которых зачастую и ресурсов намного меньше? Думаю, Счетной палате США (GAO), Федеральной комиссии по торговле (FTC) и другим организациям следует обеспечить максимальное информационное сопровождение своих стандартов: руководства и комментарии к требованиям просто необходимы. Иначе процесс стандартизации может быть бесконечным», - считает Денис Зенкин, директор по маркетингу компании InfoWatch.
Источник: internetnews.com, www.infowatch.ru