Таллиннский бизнес форум 2018: Будущее уже сегодня

ГОДОВАЯ КОНФЕРЕНЦИЯ
БУХГАЛТЕРОВ 2018

18 октября
Taллинн
Льготная цена
159 евро + НСО
Льготная цена действует
до 9 октября!
Зарегистрироваться
Среда, 13 Июнь 2018 09:25

Безопасность доверенных самоуправлениям данных не обеспечена

Оцените материал
(0 голосов)

Проведенный Государственным контролем аудит показал, что безопасность доверенных аудитированным самоуправлениям данных надлежащим образом не обеспечена: риски, связанные с ИТ-защитой, не осознаются, поэтому плохо выполняются и установленные государством требования, хотя к настоящему времени они действуют уже почти десять лет.

Государственный контроль отметил, что ожидаемого развития не обеспечили ни информационная деятельность государства, ни финансовая поддержка.

"Ни в одном из проверенных самоуправлений не была оценена потребность в защите информации, содержащейся в их базах данных. В некоторых самоуправлениях имеются сложности с применением мер безопасности даже самой низкой степени защиты, - сообщил Государственный контроль. - Во многих местах ИТ-пользователям необдуманно предоставлены неограниченные права, часто отсутствовал и обзор, кто и к чему вообще имеет доступ, управление паролями было неудовлетворительным, установка патчей часто была предоставлена пользователям, легальность программного обеспечения в рабочих компьютерах не проверялась".

"В отношении некоторых местных самоуправлений у аудиторов Государственного контроля создалось впечатление, что они напоминают «дикий Запад», куда слухи о действующих в Эстонии требованиях к содержанию информационных систем еще не дошли", - отметил государственный контролер Янар Хольм.

Связанные с ИТ-защитой риски по-прежнему не осознаются, хотя существует множество примеров, когда в информационные системы самоуправлений были совершены препятствующие оказанию услуги хакерские атаки, система была заражена вирусом и повреждены сайты.

Государственный контроль пришел к заключению, что общая культура информационной защиты в самоуправлениях низкая как на уровне служащих, так и на уровне руководства.

Часто отсутствуют инструкции по обращению со средствами ИТ, работников с ними не знакомили или в реальной жизни их не соблюдают; обучение и информационная работа по исполнению требований ИТ внутри учреждений не проводится.

«Самое большое беспокойство как раз вызывает тот факт, что в местных самоуправлениях аудиторы встретили и таких ответственных чиновников, для которых необходимость применения системы защитных мер, в том числе необходимость защиты данных, осталась настолько же непонятной, как и инвестиция в туристическую поездку на Марс - нечто далекое, чего в их жизни все равно не произойдет. В то время, когда количество известных случаев киберзащиты в Эстонии уже превышает 10 000 в год, наивно и опасно по-прежнему думать, что "с нами этого не случится"", - отметил Хольм.

Причина может заключаться в недостаточном количестве ИТ-специалистов в самоуправлениях. Обычно в небольших самоуправлениях сфера ИТ передана под ответственность специалиста какой-либо другой области, в средних самоуправлениях ИТ-служба состоит максимум из двух специалистов.

В основном они способны оказывать техническую поддержку, но специалистов (например, по информационной защите) мало. При применении системы мер безопасности назначение руководителя по информационной защите или исполняющего его обязанности является обязательным и в самоуправлениях. Поскольку не всегда целесообразно нанимать для этого отдельного человека, то, по мнению Государственного контроля, самоуправления могли бы больше сотрудничать с частным сектором или другими самоуправлениями.

По мнению Государственного контроля, министерства могли бы дать самоуправлениям инструкции в сфере ведения баз данных (в том числе в сфере информационной защиты) по всем вопросам, которые их интересуют. Государственный контроль считает, что министерство могло бы и само разработать программное обеспечение для выполнения этой задачи и выступить в роли ответственного обработчика.

Как Департамент государственной инфосистемы (далее - RIA), так и Инспекция по защите данных в своих ответах на рекомендации Государственного контроля сказали, что более масштабный надзор в самоуправлениях осуществляется в соответствии с приоритетностью и возможностями. По словам RIA, они уже планируют после административной реформы провести в самоуправлениях проверки и информационную работу.

Гоударственный сконтроль рекомендовал самоуправлениям назначить исполнителя обязанностей руководителя информационной защиты или заказать услугу руководства информационной защитой; установить требования к применяемым для ведения баз данных стандартным программным решениям, исходя из потребности в защите вводимых данных; убедиться, чтобы решение было совместимо с X-tee, и в договоре с оказывающим услугу лицом договориться об организации аудита мер безопасности.

Оставить комментарий

Убедитесь, что вы вводите (*) необходимую информацию, где нужно.


Другие новости раздела Право

Правовые новости на сайте Бухгалтерские Новости www.rup.ee

  • Финансовая инспекция продолжает борьбу с отмыванием денег

    По словам председателя совета Финансовой инспекции, министра финансов Тоомаса Тынисте, совет однозначно поддержал действия, предпринятые Финансовой инспекцией в связанной с предупреждением отмывания денег сфере финансового надзора, инспекция продолжит работу в этом направлении.

    Опубликовано Вторник, 16 Октябрь 2018 12:39
  • Рейнсалу отказался от проекта ограничений на обнародование судебных данных
    Министр юстиции Урмас Рейнсалу отозвал инициированные правительством поправки к Закону о защите персональных данных, которые должны были существенно ограничить публичный характер судебного процесса и ограничить публичную доступность к информации о лицах, понесших в судебном порядке наказание.
    Опубликовано Четверг, 11 Октябрь 2018 13:53
  • Tallinna Vesi вряд ли выиграет дело в арбитражном суде - эксперт
    По словам партнера адвокатского бюро Nove присяжного адвоката Урмаса Воленса, принятое весной решение Европейского суда по делу Achmea означает, что Tallinna Vesi, скорее всего, не выиграет в международном арбитражном суде спор о тарифах с эстонским государством.
    Опубликовано Четверг, 11 Октябрь 2018 10:02
  • Налоговая проверка - меры предосторожности
    Налоговая проверка - меры предосторожности

    Не секрет, что Налогово-таможенный департамент на сегодняшний день располагает широкими возможностями для установления обязанности по налогам и выявления различных нарушений налогоплательщиков.

    Опубликовано Вторник, 02 Октябрь 2018 12:29
  • Windoor через арбитражный суд требует от Казахстана 23 млн евро

    Компания Windoor AS возбудила при Всемирном банке в Вашингтоне международное арбитражное дело в размере 23 млн евро против Казахстана.

    Опубликовано Вторник, 02 Октябрь 2018 10:50

Присоединяйтесь к нам в социальных сетях