ИТ-безопасность правительственных агентств США оставляет желать лучшего

Еще месяц назад Счетная палата США (GAO, Government Accountability Office) раскритиковала Комиссию по ценным бумагам (SEC, Securities and Exchange Commission). В результате внешнего аудита, проведенного GAO, было установлено, что SEC не реализовала процедуры контроля над составляемой отчетностью.

Таким образом, SEC, в задачи которой входит аудит публичных компаний на предмет наличия соответствующих процедур, сама оказалась уязвима к финансовому мошенничеству и неточностям в финансовой отчетности.

Исходя из уже имеющегося опыта, результаты нового отчета GAO, на этот раз посвященному аудиту правительственных агентств, не оказались сюрпризом. GAO сообщила, что подавляющее большинство проверенных организаций, хотя и повысили уровень ИТ-безопасности по сравнению с прошлым годом, все равно еще имеют достаточно серьезные бреши, которые угрожают целостности, конфиденциальности и доступности информации.

Важно заметить, что речь идет не только о несанкционированном доступе к данным (преимущественно финансовой отчетности), но и о противоправном использовании конфиденциальных данных государственными служащими. С формальной точки зрения, это означает, что правительственные агентства не смогли удовлетворить требованиям акта FISMA (Federal Information Security Management Act), который был принят в 2002 году.

Проверив 24 агентства, GAO смогла выделить пять основных типов уязвимостей в системе ИТ-безопасности:

- слабый контроль над доступом к данным;
- слабый контроль над изменением программного обеспечения;
- проблемы с распределением и выделением ролей и обязанностей;
- отсутствие непрерывности планирования операций;
- отсутствие программ ИТ-безопасности масштаба целого агентства.

Каждая из этих брешей является типовой. Например, в ИТ-инфраструктуре Министерств Обороны, Собственной Безопасности, Юстиции, Транспорта, Торговли и Внутренних Дел были обнаружены все пять уязвимостей.

Проблемы возникли и с минимально допустимыми настройками, которые должны удовлетворять требованиям FISMA. В прошлом году все правительственные агентства впервые заявили о том, что они реализовали масштабную политику ИТ-безопасности в рамках своей организации. Среди прочего такая политика должна покрывать конфигурации и настройки программных средств. Тем не менее, аудит GAO выявил двадцать агентств, которые не смогли удовлетворить требованиям FISMA по минимально допустимым настройкам операционных систем и приложений.

Было бы неверно во всем обвинять сотрудников правительственных учреждений или излишне придирчивых экспертов GAO. Наоборот, вполне резонно предположить, что проблема кроется в самих стандартах (в том числе и FISMA), которые формулируют не совсем точные требования. Вероятно, в самое ближайшее время ответственные государственные организации выпустят дополнительные разъяснения, комментарии к стандартам или руководства, которые позволят уточнить выдвигаемые требования.

Однако ряд прегрешений лежит и на самих проверяемых агентствах, так как реализовать надежные процедуры контроля доступа и изменений программного обеспечения, а также закрепить эти процедуры техническими средствами, агентства просто обязаны.

«Если правительственным организациям так сложно пройти стандартизацию и благополучно пережить внешний аудит, то, что можно сказать о коммерческих компаниях, у которых зачастую и ресурсов намного меньше? Думаю, Счетной палате США (GAO), Федеральной комиссии по торговле (FTC) и другим организациям следует обеспечить максимальное информационное сопровождение своих стандартов: руководства и комментарии к требованиям просто необходимы. Иначе процесс стандартизации может быть бесконечным», — считает Евгений Преображенский, генеральный директор компании InfoWatch.

Опубликовано: 27 июля 2005 г.

Ключевые слова: нет

Извините, комментариев пока нет