Таллиннский бизнес форум 2018: Будущее уже сегодня

ГОДОВАЯ КОНФЕРЕНЦИЯ
БУХГАЛТЕРОВ 2018

18 октября
Taллинн
Льготная цена
89 евро + НСО
Льготная цена действует
до 1 июля!
Зарегистрироваться
Среда, 13 Июнь 2018 09:25

Безопасность доверенных самоуправлениям данных не обеспечена

Оцените материал
(0 голосов)

Проведенный Государственным контролем аудит показал, что безопасность доверенных аудитированным самоуправлениям данных надлежащим образом не обеспечена: риски, связанные с ИТ-защитой, не осознаются, поэтому плохо выполняются и установленные государством требования, хотя к настоящему времени они действуют уже почти десять лет.

Государственный контроль отметил, что ожидаемого развития не обеспечили ни информационная деятельность государства, ни финансовая поддержка.

"Ни в одном из проверенных самоуправлений не была оценена потребность в защите информации, содержащейся в их базах данных. В некоторых самоуправлениях имеются сложности с применением мер безопасности даже самой низкой степени защиты, - сообщил Государственный контроль. - Во многих местах ИТ-пользователям необдуманно предоставлены неограниченные права, часто отсутствовал и обзор, кто и к чему вообще имеет доступ, управление паролями было неудовлетворительным, установка патчей часто была предоставлена пользователям, легальность программного обеспечения в рабочих компьютерах не проверялась".

"В отношении некоторых местных самоуправлений у аудиторов Государственного контроля создалось впечатление, что они напоминают «дикий Запад», куда слухи о действующих в Эстонии требованиях к содержанию информационных систем еще не дошли", - отметил государственный контролер Янар Хольм.

Связанные с ИТ-защитой риски по-прежнему не осознаются, хотя существует множество примеров, когда в информационные системы самоуправлений были совершены препятствующие оказанию услуги хакерские атаки, система была заражена вирусом и повреждены сайты.

Государственный контроль пришел к заключению, что общая культура информационной защиты в самоуправлениях низкая как на уровне служащих, так и на уровне руководства.

Часто отсутствуют инструкции по обращению со средствами ИТ, работников с ними не знакомили или в реальной жизни их не соблюдают; обучение и информационная работа по исполнению требований ИТ внутри учреждений не проводится.

«Самое большое беспокойство как раз вызывает тот факт, что в местных самоуправлениях аудиторы встретили и таких ответственных чиновников, для которых необходимость применения системы защитных мер, в том числе необходимость защиты данных, осталась настолько же непонятной, как и инвестиция в туристическую поездку на Марс - нечто далекое, чего в их жизни все равно не произойдет. В то время, когда количество известных случаев киберзащиты в Эстонии уже превышает 10 000 в год, наивно и опасно по-прежнему думать, что "с нами этого не случится"", - отметил Хольм.

Причина может заключаться в недостаточном количестве ИТ-специалистов в самоуправлениях. Обычно в небольших самоуправлениях сфера ИТ передана под ответственность специалиста какой-либо другой области, в средних самоуправлениях ИТ-служба состоит максимум из двух специалистов.

В основном они способны оказывать техническую поддержку, но специалистов (например, по информационной защите) мало. При применении системы мер безопасности назначение руководителя по информационной защите или исполняющего его обязанности является обязательным и в самоуправлениях. Поскольку не всегда целесообразно нанимать для этого отдельного человека, то, по мнению Государственного контроля, самоуправления могли бы больше сотрудничать с частным сектором или другими самоуправлениями.

По мнению Государственного контроля, министерства могли бы дать самоуправлениям инструкции в сфере ведения баз данных (в том числе в сфере информационной защиты) по всем вопросам, которые их интересуют. Государственный контроль считает, что министерство могло бы и само разработать программное обеспечение для выполнения этой задачи и выступить в роли ответственного обработчика.

Как Департамент государственной инфосистемы (далее - RIA), так и Инспекция по защите данных в своих ответах на рекомендации Государственного контроля сказали, что более масштабный надзор в самоуправлениях осуществляется в соответствии с приоритетностью и возможностями. По словам RIA, они уже планируют после административной реформы провести в самоуправлениях проверки и информационную работу.

Гоударственный сконтроль рекомендовал самоуправлениям назначить исполнителя обязанностей руководителя информационной защиты или заказать услугу руководства информационной защитой; установить требования к применяемым для ведения баз данных стандартным программным решениям, исходя из потребности в защите вводимых данных; убедиться, чтобы решение было совместимо с X-tee, и в договоре с оказывающим услугу лицом договориться об организации аудита мер безопасности.

Оставить комментарий

Убедитесь, что вы вводите (*) необходимую информацию, где нужно.


Другие новости раздела Право

Правовые новости на сайте Бухгалтерские Новости www.rup.ee

  • Ликвидаторы Versobank AS начнут выплату крупных компенсаций

    Поскольку активы ликвидируемого Versobank превышают известные обязательства, ликвидаторы решили досрочно компенсировать всем вкладчикам хранившиеся на вкладах и счетах деньги в размере 200 000 евро и еще дополнительно 30% от превышающего их сальдо.

    Опубликовано Четверг, 14 Июнь 2018 15:53
  • Безопасность доверенных самоуправлениям данных не обеспечена

    Проведенный Государственным контролем аудит показал, что безопасность доверенных аудитированным самоуправлениям данных надлежащим образом не обеспечена: риски, связанные с ИТ-защитой, не осознаются, поэтому плохо выполняются и установленные государством требования, хотя к настоящему времени они действуют уже почти десять лет.

    Опубликовано Среда, 13 Июнь 2018 09:25
  • Таллинн привлек к борьбе с коррупцией адвокатское бюро

    Мэр Таллинна Таави Аас образовал рабочую группу по выработке антикоррупционной стратегии Таллинна, консультировать которую будет адвокатское бюро Sorainen, призванное также извещать о возможных нарушениях власти Таллинна и полицию.

    Опубликовано Среда, 06 Июнь 2018 14:20
  • Собственный капитал должен быть под контолем
    <span class="green_key"></span>Собственный капитал должен быть под контолем

    Нетто-имущество не должно быть меньше половины паевого капитала или меньше размера минимального паевого капитала, установленного в Коммерческом кодексе.

    Опубликовано Вторник, 05 Июнь 2018 14:58
  • Испытательный срок как «вступительный экзамен»
    <span class="green_key"></span>Испытательный срок как «вступительный экзамен»

    Приведенные ниже решения Государственного суда дают представление о том, в каких случаях работник не должен питать надежд на продолжение трудовых отношений, какие уведомления банка можно считать полученными клиентом, а также на кого возлагается бремя доказывания при нанесении вреда работодателю.

    Опубликовано Вторник, 29 Май 2018 14:06

Присоединяйтесь к нам в социальных сетях