»“-безопасность правительственных агентств —Ўј оставл€ет желать лучшего

≈ще мес€ц назад —четна€ палата —Ўј (GAO, Government Accountability Office) раскритиковала  омиссию по ценным бумагам (SEC, Securities and Exchange Commission). ¬ результате внешнего аудита, проведенного GAO, было установлено, что SEC не реализовала процедуры контрол€ над составл€емой отчетностью. “аким образом, SEC, в задачи которой входит аудит публичных компаний на предмет наличи€ соответствующих процедур, сама оказалась у€звима к финансовому мошенничеству и неточност€м в финансовой отчетности.

≈ще мес€ц назад —четна€ палата —Ўј (GAO, Government Accountability Office) раскритиковала  омиссию по ценным бумагам (SEC, Securities and Exchange Commission). ¬ результате внешнего аудита, проведенного GAO, было установлено, что SEC не реализовала процедуры контрол€ над составл€емой отчетностью. “аким образом, SEC, в задачи которой входит аудит публичных компаний на предмет наличи€ соответствующих процедур, сама оказалась у€звима к финансовому мошенничеству и неточност€м в финансовой отчетности.

»сход€ из уже имеющегос€ опыта, результаты нового отчета GAO, на этот раз посв€щенному аудиту правительственных агентств, не оказались сюрпризом. GAO сообщила, что подавл€ющее большинство проверенных организаций, хот€ и повысили уровень »“-безопасности по сравнению с прошлым годом, все равно еще имеют достаточно серьезные бреши, которые угрожают целостности, конфиденциальности и доступности информации.

¬ажно заметить, что речь идет не только о несанкционированном доступе к данным (преимущественно финансовой отчетности), но и о противоправном использовании конфиденциальных данных государственными служащими. — формальной точки зрени€, это означает, что правительственные агентства не смогли удовлетворить требовани€м акта FISMA (Federal Information Security Management Act), который был прин€т в 2002 году.

ѕроверив 24 агентства, GAO смогла выделить п€ть основных типов у€звимостей в системе »“-безопасности:

  • слабый контроль над доступом к данным;
  • слабый контроль над изменением программного обеспечени€;
  • проблемы с распределением и выделением ролей и об€занностей;
  • отсутствие непрерывности планировани€ операций;
  • отсутствие программ »“-безопасности масштаба целого агентства.

 ажда€ из этих брешей €вл€етс€ типовой. Ќапример, в »“-инфраструктуре ћинистерств ќбороны, —обственной Ѕезопасности, ёстиции, “ранспорта, “орговли и ¬нутренних ƒел были обнаружены все п€ть у€звимостей.

ѕроблемы возникли и с минимально допустимыми настройками, которые должны удовлетвор€ть требовани€м FISMA. ¬ прошлом году все правительственные агентства впервые за€вили о том, что они реализовали масштабную политику »“-безопасности в рамках своей организации. —реди прочего така€ политика должна покрывать конфигурации и настройки программных средств. “ем не менее, аудит GAO вы€вил двадцать агентств, которые не смогли удовлетворить требовани€м FISMA по минимально допустимым настройкам операционных систем и приложений.

Ѕыло бы неверно во всем обвин€ть сотрудников правительственных учреждений или излишне придирчивых экспертов GAO. Ќаоборот, вполне резонно предположить, что проблема кроетс€ в самих стандартах (в том числе и FISMA), которые формулируют не совсем точные требовани€. ¬еро€тно, в самое ближайшее врем€ ответственные государственные организации выпуст€т дополнительные разъ€снени€, комментарии к стандартам или руководства, которые позвол€т уточнить выдвигаемые требовани€.

ќднако р€д прегрешений лежит и на самих провер€емых агентствах, так как реализовать надежные процедуры контрол€ доступа и изменений программного обеспечени€, а также закрепить эти процедуры техническими средствами, агентства просто об€заны.

Ђ≈сли правительственным организаци€м так сложно пройти стандартизацию и благополучно пережить внешний аудит, то, что можно сказать о коммерческих компани€х, у которых зачастую и ресурсов намного меньше? ƒумаю, —четной палате —Ўј (GAO), ‘едеральной комиссии по торговле (FTC) и другим организаци€м следует обеспечить максимальное информационное сопровождение своих стандартов: руководства и комментарии к требовани€м просто необходимы. »наче процесс стандартизации может быть бесконечнымї, Ч считает ƒенис «енкин, директор по маркетингу компании InfoWatch.

»сточник: internetnews.com, www.infowatch.ru

 


или введите им€

CAPTCHA