Перейти к основному содержанию

Госконтроль: X-tee надежна, но безопасны ли ее пользователи

Иллюстративное фото.
CC0 Creative Commons
Департамент государственной инфосистемы (RIA) в целом обеспечил надежность центра X-tee, но, как установил Государственный контроль в опубликованном сегодня отчете об аудите «Администрирование и надежность X-tee», уровень информационной безопасности частных компаний, использующих X-tee, не проверяется при присоединении и использовании X-tee, говорится в отчете Государственного контроля.

В аудиторском отчете Государственный контроль пришел к выводу, что центральные службы инфраструктуры X-tee были относительно надежными: в течение последних трех лет произошло одно вызванное центральными компонентами X-tee значительное прерывание работы служб X-tee. RIA выяснил наиболее важные угрожающие надежности X-tee риски и оценил их. Для снижения рисков были разработаны меры, многие из которых уже применяются. Однако, учитывая количество запросов, совершаемых через X-tee – в среднем 133 миллиона запросов в месяц – неработоспособность X-tee сделает невозможным или значительно затруднит предоставление большинства государственных услуг. Замена обмена данными через X-tee на неэлектронный обмен данными будет практически невозможна или, по крайней мере, очень затратна.

Вызывает беспокойство то, что во многих случаях учреждения, предоставляющие услуги передачи данных на X-tee, не заключили соглашений об использовании услуги. Если же договоры все же были заключены, ни одно из проверенных государственных учреждений перед заключением соглашения не проверило, принимают ли частные предприниматели достаточные меры по снижению рисков безопасности для обеспечения целостности, конфиденциальности и доступности данных. «Частно-правовые члены X-tee при заключении соглашения об услугах передачи данных подтверждают, что они принимают необходимые меры, но поставщики услуг передачи данных не контролируют это», – прокомментировал руководитель аудита Тоомас Вийра.

Соблюдение соглашений об использовании услуг данных контролируется только несколькими учреждениями, которые предоставляют доступ к данным. «Тот факт, что договоры об использовании услуги данных не заключаются и уровень безопасности частных предпринимателей не проверяется, представляет собой угрозу безопасности», – добавил Вийра. «Таким образом, лица, не имеющие на это права, могут иметь доступ к государственным базам данных и возможность вносить несанкционированные изменения».

Учреждения, внедряющие X-tee, должны принимать необходимые меры для снижения рисков информационной безопасности, но не уточняется, какие меры безопасности должны быть реализованы и на каком уровне. Требования, установленные для X-tee постановлением правительства Республики «Слой обмена данными информационных систем», иногда носят общий характер и позволяют абонентам по-разному интерпретировать их при реализации.

Несмотря на то, что RIA не подготовил отдельный план обеспечения непрерывности функционирования для X-tee, были приняты меры для постоянной работы безопасного обмена данными, а требования по обеспечению непрерывности функционирования изложены в других документах. Недостатками можно считать нерегулярность в выполнении тестов восстановления и отсутствие их документации. Также то, что отдельно не оценивалась жизнеспособность и уязвимость информационных активов, связанных с X-tee.

Государственный контроль рекомендовал генеральному директору RIA внести в постановление «Слой обмена данными информационных систем», регулирующее работу X-tee, поправку, которая сделала бы установленные требования более точными и однозначными, чтобы поставщики услуг передачи данных могли выполнять эти требования, а RIA мог контролировать их выполнение. Также следует разработать необходимые руководства для выполнения требований постановления и провести необходимое обучение для учреждений, использующих X-tee.

Государственный контроль также рекомендовал оценить риски для безопасности баз данных, возникающие из-за незаключения договоров об использовании услуг передачи данных, и внедрить меры по снижению этих рисков. Следует также рассмотреть возможность добавления функциональности для заключения соглашений об использовании услуг данных и рассмотрения ходатайств, чтобы сделать открытие и использование услуг данных портала X-tee менее бюрократическим.

Государственный контроль рекомендовал разработать систему контроля частно-правовых юридических лиц, пользующихся услугами X-tee, для обеспечения целостности, конфиденциальности и доступности данных. Кроме того, Государственный контроль рекомендовал проводить регулярные тесты восстановления центральных компонентов X-tee и документировать их. При обнаружении недостатков необходимо предпринимать необходимые корректирующие меры.

Полный текст отчета можно найти здесь.

Общая информация:

X-tee — это техническая инфраструктура и среда, обеспечивающая безопасный и проверенный обмен данными через Интернет. По состоянию на 02.02.2021 г. к X-tee подключено 834 учреждения. В 2020 году через X-tee было сделано 1,57 миллиарда запросов. По состоянию на 1 декабря 2020 года к X-tee было подключено 200 учреждений государственного сектора (в т. ч. учреждения местных самоуправлений) и 525 учреждений частного сектора, а услуги X-tee косвенно использовало около 52 000 предприятий и учреждений.

 

7 комментарии

Добавить комментарий

Ограниченный HTML

  • You can align images (data-align="center"), but also videos, blockquotes, and so on.
  • You can caption images (data-caption="Text"), but also videos, blockquotes, and so on.
  • You can use shortcode for block builder module. You can visit admin/structure/gavias_blockbuilder and get shortcode, sample [gbb name="page_home_1"].
  • You can use shortcode for block builder module. You can visit admin/structure/gavias_blockbuilder and get shortcode, sample [gbb name="page_home_1"].