Госконтроль, проведя проверку 11 государственных учреждений, обнаружил проблемы с обеспечением необходимых условий в серверных ряда государственных учреждений, сообщила BNS пресс-служба ведомства. Например, во многих случаях работа кондиционерного и вентиляционного оборудования, а также датчиков огня, дыма и утечек воды не обеспечивалась с достаточной надежностью.
В некоторых наблюдаемых серверных охлаждение помещений было организовано неэффективно; обнаружились серверные, где не использовалось прецизионное оборудование для кондиционирования воздуха. В серверных и подсобном помещении серверной некоторых аудитированных учреждений также хранились легковоспламеняющиеся материалы, такие как картонные коробки.
Госконтроль сделал замечания по поводу постановки серверных и офисных помещений на сигнализацию, а также по защите их систем безопасности. В одном аудитированном учреждении серверная не ставилась на сигнализацию. Госконтроль указывает, что частичное оставление офисного здания без охраны увеличивает риск несанкционированного проникновения и, следовательно, риск кражи данных и информационно-технологического (ИТ-) оборудования или манипуляции ими.
Система видеонаблюдения другого аудитированного учреждения не была достаточно защищена, и к ее центральному оборудованию видеонаблюдения имело доступ слишком много пользователей. В случае ряда учреждений в процедурах не был указан минимальный срок хранения записей видеонаблюдения, а в одном учреждении не было установленного срока хранения журналов доступа и постановки на сигнализацию.
Госконтроль отмечает, что без журнала учета входивших лиц и постановки на сигнализацию невозможно получить представление о том, кто и когда находился в серверных и офисных помещениях и когда была включена техническая охрана. Если журналы и видеозаписи не сохраняются достаточно долго, это затрудняет расследование инцидентов с физическим доступом.
При охране внешнего периметра безопасности зданий серверных имелись проблемы с защитой сооружений, необходимых для работы серверных. Например, внешний периметр здания одного из аудитированных учреждений не был покрыт необходимыми датчиками.
Касательно организации управления доступом Госконтроль обнаружил некоторые проблемы в реализации как организационных, так и технических мер. Например, в серверную одного из аудитированных учреждений имелся доступ с помощью однофакторной аутентификации, с использованием только лишь дверной карточки-ключа. В другом учреждении имелась возможность получить доступ к центральному блоку системы доступа с правами администратора с компьютера в помещении дежурного.
В результате аудита Государственный контроль сделал более подробные замечания по безопасности каждого аудитированного учреждения и дал рекомендации, как улучшить ситуацию.
Цель аудита заключалась в том, чтобы оценить, реализованы ли предусмотренные меры безопасности в серверных, а также в помещениях и офисах, необходимых для функционирования серверных, и снижены ли риски до приемлемого уровня. Общая оценка аудита основывалась на следующих критериях:
Реализованы ли в серверных государственных учреждений и в технических помещениях, необходимых для работы серверных, меры безопасности, обеспечивающие физическую безопасность помещений.
Внедрена ли в государственных учреждениях система внутреннего контроля, позволяющая снизить риск несанкционированного доступа в здания и помещения до приемлемого уровня.
Учреждения, используемые которыми серверные вошли в экспертную выборку:
Целевое учреждение государственных инфокоммуникаций (RIKS),
Центр информационных технологий Министерства финансов,
Налогово-таможенный департамент,
Министерство по делам сельской жизни (ныне Министерство регионов и сельского хозяйства),
Департамент сельскохозяйственных регистров и информации (PRIA),
Эстонское национальное телерадиовещание (ERR),
Центр информационных систем здравоохранения и социального обеспечения,
Центр информационных технологий Министерства окружающей среды (ныне переподчинен Министерству климата),
Центр регистров и инфосистем (RIK),
Центр информационных технологий и развития Министерства внутренних дел и
Государственный центр информационных и коммуникационных технологий (RIT).
Учреждения, используемые которыми офисные помещения вошли в экспертную выборку:
Целевое учреждение государственных инфокоммуникаций (RIKS),
Государственный центр информационных и коммуникационных технологий (RIT),
Министерство по делам сельской жизни,
Департамент сельскохозяйственных регистров и информации (PRIA),
Центр информационных технологий Министерства окружающей среды,
Центр регистров и инфосистем (RIK),
Центр информационных технологий Министерства финансов,
Центр информационных технологий и развития Министерства внутренних дел и
Центр информационных систем здравоохранения и социального обеспечения.
Период аудита длился с января по июнь 2023 года.
